3 HIPAA PHI存储最佳实践

HIPAA将受保护的健康信息(简称PHI)定义为按名称标识患者的信息,或与其他信息一起使用或与其他信息一起使用以标识患者的信息。 HIPAA的目标是保护患者的隐私,因此,确保此标识健康信息的私密性和安全性是存储的主要目标。 但是,防止数据泄露和未经授权访问存储的信息并不总是听起来那么容易。 下面,我们将讨论您的业务和业务伙伴如何应用存储保护措施来确保PHI和ePHI在符合HIPAA要求的存储中安全。

PHI与ePHI

几十年来,PHI一直是医疗保健组织关注的重点。 但是,越来越多的医疗保健组织正在利用ePHI或受电子保护的健康信息,以在不增加其他文书工作的情况下最大程度地降低存储成本并增加存储冗余。

PHI和ePHI都需要通过应用HIPAA设置的标准来保护。 虽然物理文档的存储与虚拟文档的存储在过程上可能会有所不同,但两者都强调需要严格的访问控制以禁止未经授权的访问,并且都必须遵守适当的违规通知程序 。 以下最佳做法将对如何实施每种保护提供更详细的说明:

PHI存储最佳实践

根据PHI是物理的还是电子的,PHI必须在存储和传输期间满足某些技术,行政和物理防护措施,才能符合HIPAA。 涵盖实体和业务伙伴(云存储合作伙伴等)都必须实施这些保护措施。

1. 管理 最佳实践 -涵盖的实体和业务伙伴应各自任命安全管理员,以监督是否按照HIPAA来应用所有存储最佳实践。 该管理员应创建存储策略,确保所有业务伙伴和云提供商都签署了“业务伙伴协议”,并进行审核以确保适当的实践按预期进行。

如果您要将ePHI与云备份或云存储提供商一起存储,则他们应该对其服务组织的控制措施进行年度独立审核,以确保其设施和程序达到或超过行业安全标准

安全管理员还应该进行风险评估,以确定PHI和ePHI在组织内的位置,威胁组织的风险(即自然灾害,恶意破坏等),然后制定技术和物理最佳实践计划以阻止这些威胁并降低他们承担的风险。

2. 物理 最佳实践 -适用于计算机,工作站,服务器,数据中心以及存储ePHI或PHI的所有其他位置。 PHI的物理保护措施包括将纸质记录保存在上锁的柜子中,将PHI存放在未经授权的个人看不见的地方,并通过以下方式提供对记录的物理访问控制:安全机构,PIN垫,ID刷卡

尽管ePHI以数字方式存储,但仍应采取物理保护措施。 硬盘驱动器,计算机和便携式设备是由于设备丢失,盗窃,自然灾害和疏忽而容易受到破坏和数据丢失的物理设备。

此外,应将存储在任何物理位置或任何物理设备上的文档和ePHI备份到云中的非物理位置以防止丢失或删除患者数据。

如果您与作为业务伙伴的云合作伙伴一起帮助您将数据存储和备份到云 ,则需要确保它们在其数据中心提供适当的物理保护。 其中包括生物特征指纹扫描仪,武装的保安人员,锁定的服务器机柜

请记住,除HIPAA之外,每个州都设置其自己的记录保留长度以获取患者健康信息。 该时间段通常会覆盖患者的生命,因此您需要确保云提供商能够使您至少恢复数据的时间如此长。

3. 技术 最佳实践 -技术标准适用于所有ePHI,并且必须由业务伙伴和所涵盖实体共同实施,以保护和控制对数据的访问和传输。

将数据存储在云中时,必须先进行传输。 但是,重要的是,即使在迁移到云期间,也应保护ePHI免受未经授权和恶意的访问。 因此,仅加密是不够的。 您选择用来存储和备份数据的云提供商应提供端到端加密,这意味着即使在传输过程中也将对数据进行加密。

为了确保业务连续性和恢复ePHI的能力,即使由于物理,人为或自然灾害而丢失或删除ePHI,也应使用提供无限的先前文件版本历史记录的提供商将数据备份到云中。 使用具有此功能云备份服务将使您能够从任何时间点恢复患者健康信息,并且如果您意识到其完整性已被病毒危害,则可以将其恢复到原始状态。

Nordic Backup提供端到端加密和无限的先前文件版本控制,以确保数据安全地传输到云中,并且如果不幸发生,可以将其还原到任何先前的文件版本。 此外,通过提供连续自动运行的备份服务,您的实践可以消除人为错误和记住计划备份的风险。

单击此处为您的医疗机构或办公室开始30天的免费云备份试用,并记住要求签署BAA概述我们遵守HIPAA法规的共同合作伙伴关系。