下载
有效日期:2017年4月10日
策略
信息管理,隐私和安全

针对BU健康计划的HIPAA政策:政策2:保护PHI的个人责任

负责办公室 澳门威尼斯人注册网站研究合规

本政策2是HIPAA政策的一部分,用于BU健康计划手册- BU健康计划的受保护健康信息的隐私和安全。

2.1保护纸张和其他有形PHI

使用或披露PHI的BU健康计划员工有责任采取适当的预防措施,以防止在日常操作过程中未经授权访问PHI,包括:

  • 除非HIPAA联系人批准,否则不要移除纸质或有形的PHI。
  • 如果您被允许移除PHI,请不要将其或任何包含PHI的文件、盒子、公文包或便携式电子设备留在容易被盗的地方,例如汽车。
  • 避免在主要的公共场所或访客必须经过才能进入设施其他部分的场所展示或储存PHI。
  • 报告任何可疑活动,包括不适当或计划外的物理维护。
  • 当不工作时,不要把PHI留在桌子上。即使您离开办公桌或工作区域仅一分钟,也可以安全地保存PHI。
  • 晚上把所有的PHI都锁在柜子里或上锁的办公室里。
  • 永远不要把纸或其他有形的PHI扔进垃圾桶。使用横切碎纸机。
  • 不要把PHI存放在桌子下面的“碎纸盒”里。很容易把它和垃圾混淆。
  • 可以使用非现场存储的纸质记录,前提是存储公司提供适当的安全条件并签署业务合作协议。
  • 通过美国邮政(US Mail)或其他可靠的递送服务(如UPS、联邦快递和DHL)传送纸质或其他有形的PHI是允许的,但请使用常识,不要在信封里塞满东西,并使用适当的盒子和信封,以尽量减少运输过程中丢失的可能性。
  • 通过传真传送纸质PHI是允许的。请将常用号码输入传真机,并确认传真到正确的号码。


2.2保护口头PHI

不要在公共场所(如候诊室、自助餐厅、餐厅、街道、电梯、楼梯井或其他任何地方)讨论有关参与者的BU健康计划信息和其他敏感信息。您可能认为不使用姓名或不告诉所有细节是在掩盖个人身份,但这仍然是不合适的,并且有违反HIPAA的风险。

固定电话和移动电话上的PHI是相当安全的,可用于通信PHI。打电话的人仍然应该使用常识性的预防措施:

  • 确保附近没有人能听到谈话内容;
  • 避免使用免提电话,如果未经授权的人可以听到谈话;和
  • 当给个人留言时,除非对方书面授权你留下实质性的信息,否则只留下最少必要的信息。最低限度的必要语音邮件应该是这样的,“此语音邮件是为[参与者姓名]准备的。这是[您的名字],在[BU健康计划名称]。请回我电话617-xxx-xxxx。”


2.3保护电子PHI

  1. 仅使用BU健康计划批准使用的电子设备。
  2. 仅将ePHI存储在BU健康计划批准的设备上。
  3. 仅使用BU运行状况计划批准的应用程序和存储位置共享ePHI
  4. 如果BU健康计划的程序允许其员工从个人设备访问ePHI,则员工必须确保设备符合第8节中定义的安全规则的所有方面。
  5. 通过电子邮件发送ePHI时:
    1. 确保接收人有权访问ePHI
    2. 使用加密,例如:
      1. 经批准的电子邮件通讯工具(DataMotion);
      2. 在发送之前加密文档或电子表格。如果您选择加密文档并通过非安全电子邮件发送,请注意避免在电子邮件的主题行或正文中识别患者。
  6. 不通过短信发送ePHI
  7. 不要将显示ePHI的监视器放置在BU健康计划“防火墙澳门威尼斯人注册”之外的任何人都可以查看的位置,这些澳门威尼斯人注册被允许访问健康计划所持有的敏感信息,包括PHI和ePHI。
  8. 仅在HIPAA联系人批准的应用程序和系统中使用PHI。
  9. 保护帐户、密码和工作站:
    1. 创建并定期更改符合选择密码最佳实践的密码,即使系统没有强制执行或要求。
    2. 如果有理由相信密码已被未经授权的人不当披露、访问或使用,请立即更改密码并通知信息安全部门
    3. 请勿与他人共用任何大学系统的密码。
    4. 不要为任何非大学帐户使用大学密码。
    5. 仅在必要时使用具有授权权限的管理员帐户。
  10. 仅使用加密的可移动媒体(cd - rom、dvd、USB密钥、磁带等)存储ePHI。另请参见可移动媒体和媒体目录。
  11. 通过安全地删除或移除任何不必要的电子副本,避免在设备上重复存储ePHI。
  12. 向您的HIPAA联系人或信息安全部门报告任何异常的系统活动,包括:
    1. 由系统或应用程序显示的提示问题的警报
    2. 不寻常的行为,如似乎失去对鼠标或键盘的控制
    3. 安全软件显示的警报,旨在防止恶意代码,如防病毒
  13. 向您的HIPAA联系人或信息安全部门报告潜在的安全事件,例如:
    1. 包含或访问ePHI的设备(个人或大学拥有)丢失;
    2. 丢失二级认证令牌,如SecurID或Duo;
    3. 不寻常的帐户活动,例如在不寻常的时间发生的最后登录事件;或
    4. 未经授权访问PHI的人员。
  14. 根据信息安全的规定,ePHI必须妥善处理媒体销毁单张. 这意味着:
    1. 应该安全地删除计算机系统上的文件。
    2. 当媒体不再需要时,必须物理销毁。
  15. 仅在以下情况下发送或接收ePHI数据:
    1. 利用波士顿大学的有线或无线网络,
    2. 使用加密的通信协议,如安全电子邮件(DataMotion)、https、ssh、sftp、远程桌面等
    3. 通过VPN (Virtual Private Network)业务建立连接后。

大多数病人的照片、录音和录像都以电子方式存储。使用与任何电子PHI相同的防护措施。

澳门威尼斯人注册本政策的其他资源

相关的BU政策和程序

部网站