Lover på plass for å beskytte pasientens helse informasjon kan finnes innenfor helseforsikring bærbarhet og Accountability Act of 1996 (HIPAA). Sikkerhet, personvern og konfidensialitet av elektroniske helseopplysninger er i fokus for HIPAA krav. Samsvar med denne loven krever at alle dekket helserelaterte organisasjoner til å gi skriftlige retningslinjer som en del av HIPAA uttalte administrative krav.

Administrative Krav

HIPAA lov sentre rundt to hovedmål utformet for å ivareta helse informasjon: personvern og sikkerhet. Organisasjonens administrative krav faller inn under sikkerhetsregler fastsatt i henhold HIPAA. Ifølge University of Miami, disse reglene legger ut visse standarder og retningslinjer for gjennomføring av en organisasjons administrative krav. Skriftlige retningslinjer for personvern fungere som formelle retningslinjer og rutiner i en organisasjon som adresse helseinformasjon ledelse, vedlikehold, ansattes roller og sikkerhetstiltak for å beskytte pasienten helseinformasjon. I sin helhet, disse kravene gir en sikkerhet rammeverk for hvordan organisasjoner og ansatte tilgang til og bruke pasientens helseopplysninger. Opplæring av ansatte, tildeler en HIPAA sikkerhetsoffiser og regelmessig gjennomgang av dagens politikk er også inkludert under administrative krav.

Tilgang og sporing krav

Skriftlige retningslinjer i henhold til HIPAA loven krever helseorganisasjoner for å lage retningslinjer og prosedyrer som skisserer tilgang fullmakter og metoder for sporing for pasientens helse informasjon i henhold til HIPAA Survival Guide. Tilgangs fullmakter innebærer å identifisere hvilke personell krever tilgang til systemet og sette begrensninger på tilgangen basert på mengden av informasjon som er nødvendig for å oppfylle en medarbeiders jobb ansvar. Sporing krav involvere utviklings retningslinjer og prosedyrer for overvåking av aktivitet innenfor pasientjournaler og utvikle straffetiltakene når vi oppdager brudd. Skriftlige retningslinjer også identifisere utpekte områder for datastasjoner og eventuelle sikkerhetstiltak som er involvert med å få tilgang til disse arbeidsstasjoner. Retningslinjer og prosedyrer adressering forretningsforbindelse kontrakter er også nødvendig for organisasjoner som arbeider med tredjepartsleverandører eller tilknyttede organer.

Risk Management Krav

Som en del av HIPAA krav, må helserelaterte organisasjoner utvikle en politikk som identifiserer deres risikostyring og sikkerhetsprosedyrer, i henhold til HIPAA Survival Guide. Prosedyrer for risikostyring beskrive hvordan en organisasjon går om å avdekke, korrigere og inneholder noen sikkerhetsbrudd som oppstår. En plan for å identifisere risikoområder og sårbarheter innen operasjonelle prosedyrer i en organisasjon faller også innenfor risikostyring kravet. Politikk må også ta opp ansattes bevissthet om sikkerhetstiltak i formelle opplæringsprogrammer. Skriftlige retningslinjer vedrørende sikkerhetsprosedyrer må inkludere en nødsituasjon beredskapsplan for tilgang til pasientopplysninger i tilfelle systemsvikt, brann eller enhver hendelse som gjengir et system nettverk ubrukelig. Beredskapsplaner omfatter metoder for sikkerhetskopiering av systemdata og gjenopprette tapte systemdata og vedlikeholde forretningsprosesser i et nødstilfelle hendelse.