下载
有效日期:2013年8月1日 修正:2024年9月20日
策略
信息管理,隐私和安全,澳门威尼斯人注册网站研究和学术活动

承保组件的医疗保健提供者的HIPAA政策:政策2,保护PHI的个人责任

负责办公室 澳门威尼斯人注册网站研究合规

本政策2是HIPAA政策手册的一部分:BU医疗保健提供商承保组件的受保护健康信息的隐私和安全。

2.1保护纸张和其他有形PHI

与概述如何执行BU HIPAA安全计划的第8节不同,政策2的三个部分概述了个人员工必须如何在日常运营过程中保护有形、口头和电子PHI免受未经授权的访问。例如:

  • 除非得到HIPAA联系人的批准,否则不要从承保组件中移除纸质或有形的PHI(例如x射线或照片);
  • 如果允许取出PHI,请不要将其留在容易被盗的地方,例如汽车后座;
  • 避免在公共场所或走廊展示或存放PHI;
  • 报告任何可疑活动,如计划外维修;
  • 当不工作时,不要把PHI留在桌子上。即使您离开办公桌或工作区域仅一分钟,也可以安全地存放PHI;
  • 把所有的PHI在晚上锁起来,当不工作时,锁在柜子里或上锁的办公室里;
  • 如果从外部可以看到被覆盖的组件设施,请关闭百叶窗以防止向外部泄露,或确认患者舒适;
  • 永远不要把纸或其他有形的PHI扔进垃圾桶。使用安全的销毁方法,如横切碎纸机;
  • 不要在桌子下面放一个“碎纸盒”。清洁人员很容易将其与垃圾混淆,并以不安全的方式处理;
  • 允许通过传真、邮件或可靠的递送服务发送纸质或其他有形PHI,但请仔细检查目的地地址并使用适当的盒子和信封;

2.2保护口头PHI

对话

不要在候诊室或电梯等公共场所讨论病人。

等候室配置安排等候区,以尽量减少一个病人无意中听到另一个病人的谈话。有用的方法包括:

  • 张贴一个标志,让病人在接待处谈话后排队等候,
  • 和/或播放环境音乐或白噪音以掩盖接待谈话。

固定电话和移动电话上的PHI对于通话来说是相当安全的。

采取预防措施,确保附近的人不会听到谈话(例如,关闭办公室门,使用隔音设备)。如果病人或澳门威尼斯人注册网站研究对象给你留下语音信息,最好的做法是在语音信息中加入劝阻他们不要包含敏感信息的语言。同样,当你留下语音信息时,记得避免透露任何敏感信息。例如:“这个语音信箱是为[病人的名字]准备的。这是[您的姓名],在[承保组件名称]处。请回我电话617-xxx-xxxx。”

2.3电子防护(ePHI)

  1. 仅使用受保护组件批准的设备、应用程序、服务和存储。这里列出了符合BU IS&T HIPAA的应用程序,这里列出了存储选项。
  2. 不要使用个人台式机、笔记本电脑或平板电脑访问、处理或存储ePHI。对于任何想要承担允许个人台式电脑、笔记本电脑或平板电脑风险的受保组件,他们必须向BU HIPAA政策提交例外申请,概述他们将如何:(1)验证学生计算机符合BU最低安全标准,(2)记录验证,以及(3)在将个人台式电脑、笔记本电脑和平板电脑从受保组件清单中移除之前,验证其是否已删除ePHI。
  3. 微软的应用程序可以在个人手机上使用,如果
    1. 加密和屏幕锁定是启用的,通常需要密码、密码或生物识别来登录设备。
    2. 云同步到苹果或b谷歌或任何其他服务除了BU微软HIPAA兼容的应用程序被禁用
    3. 在允许任何人或实体访问手机之前进行出厂重置。例如,在更换手机升级或将手机送给家人之前,必须进行出厂重置。
  4. 永远不要打开BU电子邮件自动转发到非BU电子邮件系统。例如,您在name@bu.edu地址收到的电子邮件不能自动转发到您在BU之外的电子邮件地址,例如name@gmail.com、name@apple.com或name@yahoo.com。
  5. 一般来说,电子邮件不是发送ePHI的安全方法。虽然允许发送日程安排信息(如BU Teams或Zoom会议链接、预约选项和提醒),但有关患者病情或治疗的信息永远不能通过BU Outlook发送,除非如下所述:a.确保收件人有权访问ePHI。b.永远不要使用Gmail或其他Gmail应用程序。
  6. 直接从BU Microsoft Teams、SharePoint或OneDrive共享包含ePHI的文件;微软将向收件人发送一封带有该文件链接的电子邮件。或者,从Microsoft位置复制到文件的链接,并将链接添加到收件人的BU Outlook电子邮件中。a.使用经批准的邮件沟通工具(DataMotion)。b.使用符合HIPAA的BU Outlook帐户,它有几个额外的控制,包括自动删除365天前的电子邮件。不能使用常规的BU Outlook帐户。
  7. a.您可以通过短信向同事发送去身份的患者信息,例如,“您2:00的约会取消了”或“我们明天中午见面讨论一下我们的新帕金森患者好吗?”b.使用BU Teams或Zoom聊天功能将ePHI安全地发送给同事或患者。c.使用安全短信应用,如BU REDCap和Twilio安全短信服务。
  8. 不要将显示epi的监视器放置在公众可以看到的地方(例如,患者走廊)。
  9. 保护帐户和密码:a.创建和定期更改密码,即使系统没有强制执行,也要符合选择密码的最佳实践;b.如果有理由认为密码已被未经授权的人员不当披露、访问或使用,请立即更改密码并通知信息安全部门;c.请勿共享密码;d.不得为任何非大学帐户使用大学密码;e.仅在必要时使用具有权限的管理员帐户。
  10. 一般来说,在BU HIPAA Components中,BU管理的台式机、笔记本电脑和平板电脑上的便携式媒体被封锁,以降低恶意软件感染的风险。如果您使用的计算机有例外情况,请仅使用经HIPAA联系人批准并清点的外部媒体(例如,CD, USB拇指驱动器)。
  11. 向您的HIPAA联系人和/或ithelp@bu.edu报告潜在的安全事件,例如:a.包含或可以访问ePHI的设备(个人或学校拥有的)丢失;b.异常行为,如鼠标失去控制或安全软件(如Crowdstrike)警报;c.不寻常的帐户活动,例如在不寻常的时间发生的最后一次登录事件;或d.未经授权访问ePHI的人员。
  12. 仅在以下情况下传输或接收ePHI数据:a.在校园内,使用波士顿大学的有线或无线网络;b.校外,使用波士顿大学的双因素VPN

澳门威尼斯人注册本政策的其他资源

相关政策、程序和指南

部网站