La Loi sur l`accessibilité de l`information Portability Santé et, ou HIPAA, adoptée en 1997, protège les renseignements médicaux du patient et restreint comment les autres peuvent utiliser et partager ces informations. HIPAA impose des restrictions similaires sur le processus de développement de logiciels, y compris les exigences spécifiques que les développeurs de logiciels doivent respecter. Ces exigences comprennent l`exploitation forestière stricte de toutes les activités, de-identification des données chaque fois que possible et de la gestion de configuration solide tout au long du processus de développement. Les exigences dictent également les formats de transmission de données standard concernant les données envoyées entre les organisations.
Comprendre le concept d`information de santé protégée, ou PHI. PHI DATA couvrent la plupart des informations sur les patients, les dossiers médicaux, les médecins et les hôpitaux. Si les données peuvent pointer vers un individu ou groupe d`individus, ce sont des données susceptibles PHI. Les développeurs doivent traiter toutes les données PHI avec la plus stricte confidentialité.
Commencez par un modèle de sécurité forte. Tous les programmes devraient avoir les écrans de connexion initiaux pour garantir que seules les personnes autorisées à accéder aux données. Limitez tous les accès au niveau minimum nécessaire pour effectuer chaque fonction de travail. Envisager des dispositifs biométriques ou lecteurs de cartes magnétiques lorsque l`accès aux données critiques.
Connectez-vous tout accès ou modification des données PHI. Tenir un journal de transaction distincte liste qui a accédé, modifié ou supprimé toutes les données RPS. Soulever des alarmes ou des notifications lorsque l`accès aux données semble devenir excessive ou inappropriée.
De-identifier les données PHI chaque fois que possible. Bien que certains l`identification du patient est nécessaire lors de l`exécution des soins aux patients ou la facturation médicale, essayez de présenter les données d`une manière qui ne révèle pas l`identité du patient. Lors de la présentation des rapports de synthèse ou l`analyse statistique, de suppression des données qui permettraient d`identifier les patients spécifiques.
Transfert de données en utilisant les formats de données HIPAA conformes. Télécharger les spécifications, et les utiliser lors de la transmission ou la réception de données de soins de santé. Aussi, pensez à utiliser les mêmes champs de données et méthodes de codage lors de la conception de la base de données. Cela simplifiera la couche de communication, ce qui limite le montant de la traduction et la cartographie nécessaire.
Utiliser une méthodologie de développement formel avec la gestion de configuration solide tout au long du processus de développement logiciel. Cela inclut une gestion rigoureuse du projet, les exigences détaillées du programme, le code source de contrôle de version, le code de passage, les plans de tests complets et le suivi des problèmes détaillés. Sachant qui a accédé et modifié le code du programme est tout aussi important que de savoir qui a accédé aux données.
Attribuer une seule personne le travail de HIPAA Compliance Officer. Cette personne devrait être responsable de veiller à ce que toutes les exigences HIPAA sont remplies et que les audits périodiques sont effectués pour vérifier la conformité.
