The Health Insurance Mobilitet og Accountability Act ( HIPAA ) ble innført av regjeringen i 1996 . Dette regelverk dekker mange forskjellige områder av helseforsikring , herunder dekning for arbeidstakere som har mistet eller skiftet jobb , definisjon av standarder for elektroniske helsetjenester poster og personvernet til pasientens data . Teknologiske krav er detaljert for lagring , overføring, skapelse og ødeleggelse av pasientdata . Foretak som omfattes av denne forskriften omfatter helsepersonell , institusjoner og helse forsikringsselskaper. Fysisk tilgang

Fysisk tilgang til serveren som inneholder systemloggene med pasienten helseinformasjon må begrenses til det minimum antall personer som krever tilgang til å utføre jobben sin funksjon. Fysisk tilgang må begrenses ved hjelp av egnede enheter som låste dører eller server rack . Akseptable metoder for å kontrollere tilgangen omfatter fysiske taster , skanning av fingeravtrykk , retina skanning og fysiske merker. Logger som inneholder tilgang til informasjon om hvem , når og hvorfor serverne var fysisk tilgang oppfordres til bruk i forbifarten HIPAA revisjoner. Besøkende følger med tilgang til et område med HIPAA informasjon må være tildelt en eskorte for varigheten av besøket.
Lagring av nødvendig informasjon

Loggfiler bør opprettholde bare nødvendige data som kreves for teknisk personell til å utføre jobben sin funksjon. Hvis personlige helse informasjon er lagret , bør data maskering ( gjemmer seg av en del av data for å gjøre den ubrukelig ) brukes , om mulig , for å hindre tap av personlige data . Tap av loggfiler som inneholder personlig helseinformasjon må rapporteres til Department of Health and Human Services. Ødeleggelse av loggfiler må samsvare med sikker sletting krav som finnes i HIPAA forskrifter. Tilstrekkelig tilgang kontroller må være på plass for å garantere personlig helseinformasjon ikke endres utilsiktet.

Data i Transit

Overføring av data, for eksempel serveren logger utenfor av det interne nettverket av foretakets eie serveren, krever at data skal krypteres . Vanlige kryptering standarder , slik som Secure Socket Layer ( SSL ) , oppfyller forskriftens krav . Overføre en server loggen fra en intern enhet til en annen krever ikke dataene skal krypteres i transitt .
Beskytter

Årlig treningene er nødvendig for personer med tilgang, enten fysisk eller via datamaskinen , til serveren logger. Disse treningene må inneholde informasjon som utdyper det er personlig helseinformasjon og hvordan du skal håndtere denne formen for data . Retningslinjer og prosedyrer må være opprettet for å dokumentere forsvarlig håndtering av filer som inneholder opplysninger som omfattes av HIPAA . Beskyttelsestiltak, for eksempel digitale signaturer eller sjekk summer, må brukes til å validere filer med HIPAA informasjon til å beholde sin opprinnelige integritet .