Elektronisk personlig helseinformasjon ( e - PHI ) er beskyttet av " Security Rule ". E - PHI informasjon kan ikke gis til personer som ikke er autorisert til å se det eller oppgi noe informasjon fra postene samtidig gjør postene tilgjengelig av mennesker autorisert til å gjennomgå postene . The Security Rule beskytter også mot å endre eller ødelegge data ved uautoriserte måter .
Hvordan denne regelen er implementert er ikke regulert . Små klinikker kan ha en annen måte å holde poster i motsetning til et sykehus som har avdelinger over hele landet .
Fysisk begrense tilgangen
sikkerhetstiltak er nødvendig for å være i plass som begrenser tilgangen til postene av uvedkommende. Dette kalles " Facility tilgang og kontroll. "
"Dekket enhet ", som er det stedet som har de postene som et legekontor , må bruke retningslinjer og prosedyrer for " riktig bruk av og tilgang til arbeidsstasjoner og elektroniske medier , "ifølge HIPAA . Dette gjelder også å sende poster , fjerne filer , ødelegge filer og til og med gjenbruk av elektroniske medier som en lese /skrive- CD .
Electronic Security arkiv
Politiets må opprettes og brukes for maskinvare og programvare for å lage oversikt over hvem som har tilgang til informasjonen . En prosedyre må være på plass for å vurdere hvem som har tilgang til postene . Systemer må være på plass for å beskytte poster blir endret eller ødelagt . For eksempel kan et backup-system anvendes for å beskytte elektroniske data. Vern skal også gis i løpet av å sende data elektronisk. Dette er vanligvis en informasjonsteknologi sikkerhetssystem.
Forretningsansvar
dekket enhet må løse eventuelle brudd som hvis en uautorisert person gjør få tilgang til private registre . Må tas " rimelige tiltak " for å løse situasjonen , ifølge HIPAA . Det er ansett som et brudd hvis dekket enheten ikke har sikringstiltak som adgangskontroll på plass .
Records Forvaltning
Retningslinjer og prosedyrer må være på plass for å opprettholde poster . Foreløpig er HIPAA regel å holde politikk og prosedyre poster samt eventuelle skriftlige nødvendige tiltak for seks år fra datoen for etableringen eller den "siste ikrafttredelsesdato. " Den dekket person skal også foreta vurderinger av sine poster og implementere nye retningslinjer etter behov . Sikkerhetsrådet regel ikke satt oppbevaring regler for de medisinske poster .