書面によるプライバシーポリシーとHIPAA法の要件
-
管理要件
-
HIPAAの法律は、健康情報を保護するために設計された2つの主要な目的を中心にしています:プライバシーとセキュリティ。組織の管理要件は、HIPAAに基づいて定められたセキュリティルールに該当します。マイアミ大学によると、これらの規則は、組織の管理要件を実装するための特定の基準とガイドラインをレイアウトしています。書面によるプライバシーポリシーは、患者の健康情報を保護するために設計された健康情報管理、メンテナンス、従業員の役割、セキュリティ対策に対処する組織内の正式なポリシーと手順として機能します。全体として、これらの要件は、組織と従業員が患者の健康情報にアクセスして使用する方法に関するセキュリティフレームワークを提供します。従業員のトレーニング、HIPAAセキュリティ担当者の割り当て、および現在のポリシーの定期的なレビューも管理要件に含まれています。
アクセスおよび追跡要件
-
HIPAA法に基づく書面によるプライバシーポリシーでは、HEPTAA Survival Guideに従って、患者の健康情報を追跡するためのアクセス許可と方法を概説するポリシーと手順を保健団体に作成する必要があります。アクセス許可には、従業員の職務責任を満たすために必要な情報量に基づいて、システムへのアクセスを必要とする人がシステムへのアクセスを必要とし、アクセスに制限を設定するかを特定することが含まれます。追跡要件には、患者の記録内で活動を監視するためのポリシーと手順を開発し、違反が検出されたときに懲罰的措置を開発することが含まれます。書面によるプライバシーポリシーは、コンピューターステーションの指定された領域と、これらのワークステーションへのアクセスに関連するセキュリティ対策も特定しています。ビジネスアソシエイト契約に対処するポリシーと手順は、サードパーティの請負業者または関連機関と連携する組織にも必要です。
リスク管理要件
-
HIPAA Survival Guideによると、HIPAAの要件の一部として、健康関連の組織は、リスク管理とセキュリティ手順を特定するポリシーを開発する必要があります。リスク管理手順は、組織が発生するセキュリティ違反の検出、修正、封じ込めの方法を説明しています。組織の運用手順内のリスクと脆弱性の領域を特定するための計画も、リスク管理の要件に該当します。また、ポリシーは、正式なトレーニングプログラムにおけるセキュリティ対策の従業員の認識にも対処する必要があります。セキュリティ手順に関する書面によるプライバシーポリシーには、システム障害、火災、またはシステムネットワークを動作不能にする場合に患者情報にアクセスするための緊急緊急時対応計画を含める必要があります。緊急時対応計画には、システムデータをバックアップし、失われたシステムデータを回復し、緊急イベント中にビジネスプロセスを維持するための方法が含まれます。
-