Requisitos HIPAA para pastas SecureBox com PHI
Ao configurar as pastas SecureBox com o envolvimento do Oficial de Segurança da HIPAA, é necessário. Entre em contato com o coordenador de privacidade e segurança da HIPAA na UW-Madison para receber ajuda. Este artigo descreve os requisitos HIPAA para pastas SecureBox com PHI.
Visão geral do serviço de armazenamento e colaboração on-line gratuito de UW-Madisons usando o armazenamento de arquivos da Box Cloud
A UW-Madison fornece um serviço gratuito de armazenamento e colaboração on-line usando a caixa, que fornece um local de armazenamento central para todos os arquivos. Os usuários podem acessar e editar arquivos de qualquer lugar do campus e também podem fazer backup de seus arquivos automaticamente. Além disso, eles podem acessar seus arquivos fora do campus com o uso de uma rede privada virtual. No entanto, esses serviços não são adequados para armazenar dados confidenciais ou dados protegidos regulatórios.
Para acessar a conta da caixa UW-Madison, você precisará fazer login com seu NetID e senha. Seu NetID é usado para muitas aplicações diferentes do campus, incluindo a caixa. É usado para colaboração, criação de documentos e compartilhamento. Este serviço pode ser usado em qualquer dispositivo com uma conexão com a Internet. Há uma cota de armazenamento limitada, mas você sempre pode solicitar mais espaço.
Requisitos para o uso de pastas SecureBox com PHI
Ao usar pastas de caixa seguras para armazenar PII, você precisa cumprir a regra de segurança HIPAA. Esta regra governa a maneira como um provedor compatível com a HIPAA configura o software. Também exige que você implemente políticas organizacionais para garantir que informações confidenciais do paciente sejam mantidas seguras.
Primeiro, você deve configurar seus sistemas para segurança. Você pode entrar em contato com o Escritório de Segurança Cibernética se não tiver certeza de como configurar seu sistema. Por exemplo, você não pode acessar a pasta SecureBox de um computador pessoal. Você também precisa garantir que todos os dispositivos usados para pastas SecureBox no UW-Madison estejam configurados de acordo com os requisitos específicos de segurança de dados restritos. Isso inclui a possibilidade de ativar o agente da Cloud Qualys para gerenciamento de vulnerabilidades e conformidade de políticas, ativar o software de proteção de malware avançado da Cisco, ativar o firewall do host e remover os direitos do administrador das contas do usuário final.
Ao compartilhar arquivos no SecureBox, lembre -se de garantir que todos os colaboradores tenham permissões apropriadas. Você deve escolher níveis de permissão intencionalmente. Por exemplo, o UITS recomenda que os usuários escolham o nível de permissão do upload do espectador, embora também seja possível definir níveis de permissão mais altos. Na maioria dos casos, esse nível de permissão é adequado para as tarefas de edição, mas não permite a exclusão e a sincronização do conteúdo.
Ao nomear arquivos e pastas no SecureBox, siga as diretrizes do oficial de privacidade. Essas diretrizes ajudarão a evitar acesso inadequado e uso não autorizado da PHI. Além de seguir as diretrizes, você também deve evitar incluir nomes de arquivos individuais no nome da pasta. Descrição da caixa e tags são opções adicionais, mas têm um limite de 255 caracteres.
As pastas SecureBox com PHI devem ser armazenadas em uma conta da University Box. Dessa forma, não será exposto quando o proprietário da conta individual deixar a universidade. Além disso, ele não deve ser armazenado em nenhuma pasta hospedada em servidores externos. Você pode distinguir essas pastas pelos ícones de pasta da caixa cinza.
As pastas SecureBox com PHI são protegidas pelo CipherCloud. Ele detecta alterações feitas nos arquivos no SecureBox, envia as informações para o sistema de prevenção de perda de dados do UCSFS e, posteriormente, verifica se o arquivo corresponde ao índice dos registros do paciente. Quando os arquivos estão no SecureBox, os arquivos não podem ser compartilhados fora da UCSF sem a permissão da pessoa que fez a alteração.
Ao compartilhar links, verifique se eles são criptografados. Isso impedirá que usuários não autorizados os visualizem. O uso do CipherCloud para criptografar arquivos PHI impedirá que o destinatário visualize o arquivo. Quando você escolhe um link para compartilhar um arquivo, você também deve escolher um link que diz compartilhado. Isso permitirá que você compartilhe o arquivo com os colaboradores. Você também pode controlar quem pode acessar o arquivo definindo uma data de expiração do link.
Requisitos para o uso de pastas SecureBox com envolvimento do HIPAA Security Officer
As pastas de caixa seguras permitem que os usuários trabalhem com a PHI em uma plataforma segura baseada em nuvem. Antes de usá-los para tarefas relacionadas ao PHI, os usuários devem primeiro configurar as pastas para garantir a conformidade do HIPAA. Para obter ajuda, entre em contato com seu coordenador de privacidade HIPAA ou Oficial de Segurança da HIPAA. Eles podem recomendar os melhores aplicativos a serem usados. Isso inclui o Microsoft Office, Google Drive, PubMed e GraphPad Prism. As pastas podem ser usadas em um sistema operacional Windows, Linux e Android.
A regra de segurança da HIPAA também exige que os prestadores de serviços de saúde nomeem um oficial de segurança da HIPAA, responsável pela implementação de políticas e procedimentos. Além de garantir a implementação adequada dos controles técnicos, o Oficial de Segurança da HIPAA deve realizar avaliações regulares de risco e gerenciar incidentes para garantir a conformidade com a regra. As avaliações de risco devem cobrir as três principais categorias de riscos de segurança: administrativo, físico e técnico.