The Health Insurance Mobilitet og Accountability Act ( HIPAA ) blev indført af regeringen i 1996. Dette sæt af regler dækker mange forskellige områder af sygesikring , herunder dækning for arbejdstagere, der har mistet eller skiftet job , definition af standarder for elektroniske patientjournaler og privatliv patientens data. Teknologiske krav er beskrevet til opbevaring , transmission, skabelse og destruktion af patientdata . Enheder der er omfattet af disse regler omfatter sundhedspersonale , institutioner og sundhed forsikringsselskaber. Fysisk adgang
Fysisk adgang til serveren , der indeholder systemets logfiler med patienternes helbred oplysninger skal begrænses til det minimum antal mennesker, der kræver adgang til at udføre deres jobfunktion . Fysisk skal være begrænset adgang med passende anordninger såsom låste døre eller server stativer. Acceptable metoder til styring af adgang omfatter fysiske nøgler, scanning af fingeraftryk , nethinden scanning og fysiske badges . Logger indeholder adgang til information om hvem, hvornår og hvorfor serverne blev fysisk adgang tilskyndes til brug i forbifarten HIPAA revisioner. Besøgende får adgang til et område med HIPAA oplysninger skal tildeles en eskorte for varigheden af besøget.
Opbevaring af krævede oplysninger
Logfiler bør bevare kun nødvendige data kræves for teknisk personale til at udføre deres jobfunktion . Hvis personlige helbredsoplysninger lagres bør data maskering ( skjule af en del af data for at gøre den ubrugelig ) anvendes, såfremt det er muligt, for at forhindre tab af personlige data. Tab af logfiler indeholder personlige sundhedsoplysninger skal indberettes til Department of Health and Human Services. Destruktion af logfiler skal overholde sikker sletning kravene i HIPAA regler. Tilstrækkelig adgang kontrol skal være på plads for at sikre personlige sundhedsoplysninger ikke ændres utilsigtet.
Data i Transit
transmission af data, såsom serverlogs udenfor af det interne netværk for den enhed ejer serveren , skal de data, der skal krypteres . Fælles kryptering standarder, såsom Secure Socket Layer ( SSL) , opfylder forordningens krav. Overførsel en server log fra en intern enhed til en anden ikke kræver data skal krypteres i transit.
Sikkerhedskontrol
Årlig træningssessioner er nødvendige for personer med adgang , enten fysisk eller via computer , til server logs . Disse kurser skal indeholde oplysninger detaljering , hvad der er personlige sundhedsoplysninger , og hvordan man korrekt håndterer denne form for data . Politikker og procedurer skal skabes for at dokumentere korrekt håndtering af filer, der indeholder oplysninger omfattet af HIPAA . Garantier, som digitale signaturer eller checks beløb, skal bruges til at validere filer med HIPAA information at bevare deres oprindelige integritet.