Requisitos de HIPAA Datos
Cualquier información colocada en su historia clínica por los proveedores de atención de la salud , como médicos y enfermeras se protege datos, así como cualquier discusión entre los médicos y otros proveedores de salud . Cualquier información de facturación está protegido como es la información en poder de su compañía de seguros . Esta información se denomina información de salud protegida ( PHI). Información PHI también incluye información como el número de seguro social , dirección, número de teléfono o fecha de nacimiento. HIPAA protege de " pasado, presente o futura condición de salud física o mental. "
Lineamientos de Protección de Datos
La instalación que contiene los registros , como el consultorio de un médico o el hospital se conoce como la " entidad cubierta ". De acuerdo con las reglas de la HIPAA , la entidad cubierta debe establecer métodos para proteger su información personal de salud . Deben limitar la divulgación de la información médica para lo que se considera razonable. Las entidades cubiertas deben asegurarse de que las personas que tienen un contrato con la organización protegen la información por las mismas normas. Procedimientos de protección de datos y la formación sobre los procedimientos deben ser desarrollados y en uso para proteger los datos contra el acceso de personal no autorizado.
Junto con la no divulgación de PHI , registros físicos se deben colocar en un área con acceso limitado. Las medidas de seguridad para evitar que personas no autorizadas deben estar en su lugar . Esta disposición se denomina "Acceso y Control de Instalaciones . "
Requisitos de datos electrónico
HIPAA tiene una disposición separada para los registros médicos electrónicos que se almacenan o transmiten . Es llamada la " regla de seguridad " para obtener información de salud personal o e- PHI. ¿Cómo se supone que un hospital o clínica para proteger el e- PHI no está específicamente definido . En general , la entidad cubierta debe proteger la integridad de los datos electrónicos , así como la confidencialidad y disponibilidad . La entidad cubierta debe protegerse de las "amenazas anticipadas razonablemente . "
Ejemplos de protección pueden ser sistemas de copia de seguridad de hardware , firewalls y contraseñas de seguridad para el acceso a los datos.
Políticas generales para datos
El centro de salud o compañía de seguros debe crear políticas y procedimientos para identificar quién ha accedido a los datos físicos y electrónicos. Si se produce una violación , se deben tomar "medidas razonables" para rectificar la situación . La entidad cubierta debe crear las políticas y procedimientos que se proponen utilizar y esos registros deben conservarse durante seis años a partir de la última fecha en la que fueron eficaces .