Безопасность IIS

       

На кого распространяется закон HIPAA?


HIPAA относится ко всем здравоохранительным организациям и связанным с ними объектам, включая клиники, больницы, частные врачебные организации, персонал, страховые компании, расчетные палаты, пункты выписки счетов, поставщиков информационных систем, организации сферы услуг и учебные заведения. Правило секретности предусматривает защиту секретности информации, относящейся к здоровью лиц, лечению или плате за медицинские услуги. Правило секретности дает лицам право на получение письменного уведомления о том, какие действия выполняются с их информацией, а также право на доступ и изменение информации о состоянии здоровья. Клиники и поставщики других услуг, связанных со здоровьем, должны предоставлять клиентам журналы с данными о разглашении информации и получать письменное разрешение клиентов на использование информации в целях, которыми не являются лечение, внесение платежей или операции, связанные со здравоохранением. Организации должны ограничить до необходимого минимума разглашение информации. На сегодняшний день срок действия Правила секретности уже истек (апрель 2003 г.), хотя некоторые его детали прорабатываются до сих пор. Срок действия Правила безопасности еще не установлен, поэтому трудно говорить о том, как "попадающая под действие закона" организация может соответствовать Правилу секретности без применения мер, о которых говорится в Правиле безопасности.

Для веб-сайтов HIPAA применяется аналогично положениям о принципах честного информационного взаимодействия. Каждый раз при предоставлении личной информации через сайт ее владелец должен в обязательном порядке уведомляться об этом. Информация должна шифроваться при передаче (здесь устанавливаемым требованиям вполне отвечает SSL) и быть защищенной при хранении (что означает ее хранение вне самого веб-сервера). Запросы на доступ к личной информации могут поступать через веб-сайт, но в этом случае нужно соблюдать особую осторожность. Если на сайте не реализована аутентификация, то нельзя гарантировать, что доступ к информации получит именно тот, кому эта информация принадлежит. Аутентификация может проводиться в различных формах, вплоть до обычных бумажных анкет, заполняемых владельцем информации.

Совет. Для привлечения внимания руководства к закону HIPAA следует уведомить его о том, что закон предусматривает строгие наказания по гражданской и уголовной ответственности, включая штрафы до $25 000 за неоднократное нарушение закона за календарный год, даже если эти нарушения несущественны. Нецелевое использование информации о здоровье может привести к штрафам до $250 000 и/или тюремному заключению на срок до десяти лет.



Содержание раздела