Jokainen varastettu potilastieto maksaa jopa 20 dollaria – kaksikymmentä kertaa enemmän kuin luottokorttitiedot. Identiteettivarkauksien, petosten ja kiristysten estämiseksi kaikkien terveydenhuoltosovellusten on Yhdysvalloissa oltava HIPAA-lain (Health Insurance Portability and Accountability Act) mukaisia. Tämä on yksinkertainen oppaamme HIPAA-yhteensopiviin ohjelmistoihin.

Muun muassa HIPAA suojaa potilaiden terveystietoja.

Anthem, Yhdysvaltain suurin vakuutusyhtiö, oppi tämän kantapään kautta.

Mikä alkoi yksinkertaisesta phishing-sähköpostiviestistä, johti historian suurimpaan terveydenhuollon tietomurtoon. Hakkerit varastivat 79 miljoonan potilaan tiedot. Tietoihin sisältyi heidän nimensä, sosiaaliturvatunnuksensa ja lääkärintunnuksensa.

Vihastuneet potilaat haastoivat Anthemin oikeuteen ja saivat 115 miljoonan dollarin korvauksen. Vaikka yhtiö vältti sääntelyviranomaisen sakot, se joutuu käyttämään jopa 260 miljoonaa dollaria tietoturvansa parantamiseen.

HHS:n kansalaisoikeusvirasto (Office for Civil Rights, OCR) valvoo HIPAA:n noudattamista. Pelkästään vuonna 2017 se on määrännyt yhdysvaltalaisille terveydenhuollon tarjoajille lähes 20 miljoonan dollarin sakot.

Jopa pienessä organisaatiossa HIPAA-vaatimusten laiminlyönti voi johtaa vakaviin ongelmiin.

Vuonna 2013 Fresenius Medical Care North Americalle sattui viisi tietomurtoa. Yhdessä ne paljastivat vain 525 potilaan tiedot. Yritys joutui kuitenkin maksamaan hirvittävän 3,5 miljoonan dollarin sakon, koska se ei analysoinut tietoturvariskejä kunnolla.

Laiminlyönnin asteen mukaan HIPAA-sakkoja on neljää eri rengasastetta:

HIPAA-sanasto

Sinun on hyvä ymmärtää nämä kolme keskeistä termeä, ennen kuin ryhdyt käsittelemään HIPAA-vaatimuksia.

  • Suojattu terveystieto (Protected Health Information, PHI) – kaikki tiedot, joita voidaan käyttää potilaan tunnistamiseen.

PHI koostuu kahdesta osasta: terveystiedoista ja henkilötunnisteista. Jälkimmäisiä ovat muun muassa potilaan nimi, osoite, syntymäaika, sosiaaliturvatunnus, potilastiedot, valokuvat jne. Se, että henkilö on saanut lääkäripalveluja, on jo itsessään PHI.

Mitä pidetään PHI:nä? Täydellinen luettelo.

  • Suojatut yksiköt – organisaatiot ja yksityishenkilöt, jotka tarjoavat terveydenhuoltopalveluja/toimintoja tai hyväksyvät niistä maksuja.

Neihin kuuluvat kaikki terveydenhuoltopalvelujen tarjoajat (esim. sairaalat, lääkärit, hammaslääkärit, psykologit), terveydenhuoltosuunnitelmat (esim. vakuutuksenantajat, HMO-organisaatiot, julkiset ohjelmat, kuten Medicare- ja Medicaid-ohjelmat) ja clearinghouset (organisaatiot, jotka toimivat terveydenhuoltopalvelujen tarjoajien ja vakuutusyhtiöiden välisinä välikäsinä).

  • Liiketoimintayhteistyökumppanit – Kolmannet osapuolet, jotka käsittelevät PHI-tietoja suojattujen yksiköiden puolesta.

Tähän luokkaan kuuluvat muun muassa terveydenhuollon sovellusten kehittäjät, isännöinti-/tietotallennuspalvelujen tarjoajat, sähköpostipalvelut jne.

HIPAA:n mukaan sinun on allekirjoitettava liikekumppanuussopimus (Business Associate Agreement, BAA) jokaisen osapuolen kanssa, joka pääsee käsiksi PHI-tietoihin. Jos päätät olla allekirjoittamatta BAA-sopimusta, se ei vapauta sinua HIPAA-vaatimuksista.

Sekä suojattujen yksiköiden että liiketoimintayhteistyökumppaneiden on noudatettava HIPAA:ta. Laissa ei ole ”safe harbor” -lauseketta, mikä tarkoittaa, että sinun on noudatettava lakia, vaikka käsittelisit PHI-tietoja tahattomasti.

Arkaluonteiset tiedot voivat päätyä järjestelmääsi monin tahattomin tavoin.

Vastaanottakaamme esimerkiksi palvelu, jonka avulla lääkärit voivat diagnosoida ihosairauksia nimettömien valokuvien perusteella. Sovellus ei käsittele PHI-tietoja, koska sen käyttäjiä ei voi tunnistaa. Mutta heti kun valokuviin lisätään henkilön nimi tai osoite, niistä tulee PHI:tä.

Jos sovelluksesi kerää, tallentaa tai välittää PHI:tä suojattuihin yksiköihin, sinun on noudatettava HIPAA:ta.

Miten tulla HIPAA:n mukaiseksi?

HIPAA:n mukaiseksi tullaksesi sinun on tehtävä säännöllisiä teknisiä ja ei-teknisiä arviointeja toimista, joita teet suojataksesi terveystietojasi, ja dokumentoitava ne perusteellisesti. Sääntelyviranomainen on julkaissut esimerkin auditointiprotokollasta, joka voi auttaa sinua arvioimaan HIPAA-vaatimustenmukaisuuttasi.

Voit palkata riippumattoman auditoijan tekemään arvioinnin puolestasi. On olemassa monia järjestöjä, kuten HITRUST, jotka ovat erikoistuneet tällaiseen. Muista vain, että OCR ei tunnusta kolmansien osapuolten sertifikaatteja.

Kehittäessäsi HIPAA-yhteensopivia ohjelmistoja joudut useimmiten käsittelemään tietoturvasäännössä esitettyjä teknisiä ja fyysisiä suojatoimia.

Tekniset suojatoimet. Turvatoimenpiteet, kuten kirjautuminen, salaus, hätäyhteys, toimintalokit jne. Laissa ei täsmennetä, mitä tekniikoita sinun pitäisi käyttää PHI:n suojaamiseen.

Fyysisten suojatoimien tarkoituksena on turvata tilat ja laitteet, joissa PHI:tä säilytetään (palvelimet, tietokeskukset, tietokoneet, kannettavat tietokoneet jne.).

Nykyaikaisten pilvipohjaisten ratkaisujen myötä tätä sääntöä sovelletaan enimmäkseen HIPAA:n mukaiseen isännöintiin.

Turvasäännössä esitetyt suojatoimet voivat olla joko ”vaadittavia” (required”) tai ”kohdennettavissa” (addressable). Molemmat ovat pakollisia. Jos jätät ”osoitettavissa olevan” suojatoimen pois, sinun on osoitettava, että tämä on tilanteesi kannalta riittävän järkevä päätös.

Lakia sovelletaan monenlaisiin lääketieteellisiin ohjelmistoihin. Sairaalan hallintajärjestelmä (HMS) eroaa radikaalisti etädiagnostiikkasovelluksista. On kuitenkin joitakin ominaisuuksia, jotka ovat välttämättömiä kaikissa HIPAA-yhteensopivissa sovelluksissa.

Tässä on siis vähimmäisluettelo HIPAA-yhteensopivien ohjelmistojen vaadittavista ominaisuuksista:

1. Pääsynvalvonta

Kaiken PHI-tietoja tallentavan järjestelmän tulisi rajoittaa sitä, kuka voi tarkastella tai muuttaa arkaluonteisia tietoja. HIPAA Privacy Rule -säännön mukaan kenenkään ei pitäisi nähdä enempää potilastietoja kuin mitä hänen työnsä tekeminen edellyttää. Säännössä määritellään myös tunnistamisen poistaminen, potilaan oikeudet tarkastella omia tietojaan ja hänen mahdollisuutensa antaa tai rajoittaa pääsyä PHI-tietoihinsa.

Yksi keino tämän toteuttamiseksi on antaa jokaiselle käyttäjälle yksilöllinen tunnus. Näin voit tunnistaa ja seurata järjestelmääsi käyttävien henkilöiden toimintaa.

Seuraavaksi sinun on annettava jokaiselle käyttäjälle luettelo oikeuksista, joiden avulla hän voi tarkastella tai muuttaa tiettyjä tietoja. Voit säädellä pääsyä yksittäisiin tietokantakokonaisuuksiin ja URL-osoitteisiin.

Yksinkertaisimmillaan käyttäjäpohjainen pääsynvalvonta koostuu kahdesta tietokantataulusta. Toinen taulukko sisältää luettelon kaikista käyttöoikeuksista ja niiden tunnuksista. Toinen taulukko määrittää nämä oikeudet yksittäisille käyttäjille.

Tässä esimerkissä lääkäri (käyttäjätunnus 1) voi luoda, tarkastella ja muokata potilastietoja, kun taas radiologi (käyttäjätunnus 2) voi vain päivittää niitä.
Rooliin perustuva käyttöoikeuksien hallinta on toinen tapa toteuttaa tämä vaatimus. Sen avulla voit antaa oikeuksia eri käyttäjäryhmille heidän asemansa mukaan (esim. lääkärit, laboratorioteknikot, ylläpitäjät).

2. Henkilön tai tahon todennus

Sen jälkeen kun olet antanut oikeudet, järjestelmäsi pitäisi pystyä todentamaan, että PHI-tietoihin pääsyä yrittävä henkilö on se, joka hän väittää olevansa. Laki tarjoaa useita yleisiä tapoja, joilla voit toteuttaa tämän turvatoimen:

Salasana on yksi yksinkertaisimmista todennusmenetelmistä. Valitettavasti se on myös yksi helpoimmista murtaa. Verizonin mukaan 63 prosenttia tietomurroista tapahtuu heikkojen tai varastettujen salasanojen vuoksi. Toisen raportin mukaan viidenneksellä yrityskäyttäjistä on helposti murrettavissa olevat salasanat.

Toisaalta todella turvallinen salasana:

  • Koostuu vähintään kahdeksasta kahteentoista merkistä, joihin kuuluu isoja kirjaimia, numeroita ja erikoismerkkejä;
  • Ei sisällä yleisesti käytettyjä yhdistelmiä (esim. ”salasana”, ”123456”, ”qwerty” ja jostain käsittämättömästä syystä ”apina”) ja sanastosanat;
  • Estä kaikki käyttäjätunnuksen variaatiot;
  • Estä salasanan uudelleenkäytön.

Vaihtoehtoisesti se voi olla merkkijono sattumanvaraisia sanoja, jotka on lyöty toisiinsa kuin betoninen jäätelö.

Sovelluksesi voisi tarkistaa nämä vaatimukset kirjautumisnäytöllä ja evätä pääsyn käyttäjiltä, joilla on heikko salasana.

Lisää turvaa ei ole olemassakaan. Lähde: mailbox.org

Jotkut organisaatiot pakottavat työntekijänsä vaihtamaan salasanat noin 90 päivän välein. Tämän tekeminen liian usein voi itse asiassa vahingoittaa tietoturvatoimia. Kun ihmiset pakotetaan vaihtamaan salasanoja, he keksivät usein epäoriginaalisia yhdistelmiä (esim. salasana ⇒ pa$$word).

Lisäksi hakkerit voivat murtaa huonon salasanan muutamassa sekunnissa ja käyttää sitä välittömästi.

Sentähden sinun kannattaa harkita kaksitekijätodennuksen käyttöä. Tällaiset järjestelmät yhdistävät turvallisen salasanan ja toisen varmistusmenetelmän. Tämä voi olla mitä tahansa biometrisestä skannerista tekstiviestillä saatuun kertakäyttöiseen turvakoodiin.

Ajatus on yksinkertainen: vaikka hakkerit saisivat salasanasi jotenkin haltuunsa, heidän olisi varastettava laitteesi tai sormenjälkesi päästäkseen käsiksi PHI-tietoihin.

Mutta turvallinen todennus ei riitä. Jotkut hyökkääjät saattavat päästä käyttäjän laitteen ja palvelimesi väliin. Näin hakkerit voisivat päästä PHI-tietoihin käsiksi vaarantamatta tiliä. Tätä kutsutaan istunnon kaappaukseksi, eräänlaiseksi man-in-the-middle-hyökkäykseksi.

Yksi mahdollisista tavoista kaapata istunto. Lähde: Heimdal Security

Digitaalinen allekirjoitus on yksi tapa puolustautua tällaisia hyökkäyksiä vastaan. Salasanan syöttäminen uudelleen asiakirjan allekirjoittamisen yhteydessä todistaisi käyttäjän henkilöllisyyden.

Kun järjestelmän roolit muuttuvat monimutkaisemmiksi, HIPAA-valtuutus voi olla esteenä potilaiden auttamiselle. On järkevää ottaa käyttöön hätäoikeudet. Tällaiset menettelyt antavat valtuutetuille käyttäjille mahdollisuuden tarkastella mitä tahansa tarvitsemiaan tietoja tilanteen niin vaatiessa.

Lääkäri voisi esimerkiksi hätätapauksessa päästä käsiksi minkä tahansa potilaan PHI-tietoihin. Samalla järjestelmä ilmoittaisi automaattisesti useille muille henkilöille ja käynnistäisi tarkistusmenettelyn.

3. Tietojensiirron turvallisuus

Sinun pitäisi suojata PHI-tiedot, joita lähetät verkon kautta ja järjestelmäsi eri tasojen välillä.

Sentähän varten sinun pitäisi pakottaa HTTPS-käytäntö kaikkeen tiedonsiirtoon (tai ainakin kirjautumisnäytöillä, kaikilla PHI-tietoja sisältävillä sivuilla ja valtuutusevästeillä). Tämä suojattu viestintäprotokolla salaa tiedot SSL/TLS:llä. Käyttämällä erityistä algoritmia se muuttaa PHI:n merkkijonoksi, joka on merkityksetön ilman salausavaimia.

Tiedosto nimeltä SSL-varmenne sitoo avaimen digitaaliseen identiteettiisi.

Kun muodostat HTTP-yhteyden sovellukseesi, selain pyytää varmentajaasi. Tämän jälkeen asiakas tarkistaa sen uskottavuuden ja aloittaa niin sanotun SSL-kättelyn. Tuloksena on salattu viestintäkanava käyttäjän ja sovelluksesi välillä.

Voidaksesi ottaa HTTPS:n käyttöön sovelluksessasi hanki SSL-varmenne joltakin luotettavalta palveluntarjoajalta ja asenna se asianmukaisesti.

Varmista myös, että käytät PHI-tietoja sisältävien tiedostojen lähettämiseen suojattua SSH- tai FTPS-protokollaa tavallisen FTP:n sijaan.

SSL-kättely; lähde: SSL-kauppa

Sähköposti ei ole suojattu tapa lähettää PHI-tietoja.

Suositut palvelut, kuten Gmail, eivät tarjoa tarvittavaa suojausta. Jos lähetät PHI:tä sisältäviä sähköpostiviestejä palomuurilla varustetun palvelimesi ulkopuolelle, ne on salattava. On olemassa monia palveluja ja selainlaajennuksia, jotka voivat tehdä tämän puolestasi. Vaihtoehtoisesti voit käyttää HIPAA:n mukaista sähköpostipalvelua, kuten Pauboxia.

Sinun tulisi myös ottaa käyttöön käytännöt, joilla rajoitetaan sitä, mitä tietoja sähköpostitse voidaan jakaa.

4. Salaus/purkaminen

Salaus on paras tapa varmistaa PHI:n eheys. Vaikka hakkerit onnistuisivat varastamaan tietosi, ne näyttäisivät siansaksaiselta ilman salausavaimia.

Salaamattomat kannettavat tietokoneet ja muut kannettavat laitteet ovat yleinen HIPAA-tietosuojaloukkausten lähde. Varmuuden vuoksi kannattaa salata kaikkien PHI-tietoja sisältävien laitteiden kiintolevyt. Voit tehdä tämän ilmaisilla salaustyökaluilla, kuten BitLocker Windowsille tai FileVault Mac OS:lle.

5. PHI:n hävittäminen

Sinun tulisi tuhota PHI pysyvästi, kun sitä ei enää tarvita. Niin kauan kuin sen kopio säilyy jossakin varmuuskopiossasi, tietoja ei katsota ”hävitetyiksi”.

Vuonna 2010 Affinity Health Plan palautti kopiokoneensa leasing-yhtiölle. Se ei kuitenkaan poistanut niiden kiintolevyjä. Tästä seurannut tietoturvaloukkaus paljasti yli 344 000 potilaan henkilötiedot.

Affinity joutui maksamaan tästä tapauksesta 1,2 miljoonaa dollaria.

PHI-tiedot voivat piileskellä monissa odottamattomissa paikoissa: kopiokoneissa, skannereissa, biolääketieteellisissä laitteissa (esim. magneettikuvaus- tai ultraäänilaitteissa), kannettavissa laitteissa (esim.esim. kannettavat tietokoneet), vanhat levykkeet, USB-muistitikut, DVD-/CD-levyt, muistikortit, emolevyissä ja verkkokorteissa oleva flash-muisti, ROM/RAM-muisti jne.

Tietojen pyyhkimisen lisäksi PHI:tä sisältävät tietovälineet tulisi myös hävittää asianmukaisesti ennen niiden heittämistä tai luovuttamista. Tilanteesta riippuen voit joko poistaa ne magneettisesti (esim. degausserilla), ylikirjoittaa tiedot DBAN:n kaltaisella ohjelmistolla tai tuhota aseman fyysisesti (esim. murskata sen vasaralla).

Flash-pohjaisissa muistitikuissa (esim. USB-tikuissa) tiedot on levitetty koko medialle kulumisen estämiseksi. Tämän vuoksi arkaluonteisia tietoja on vaikea poistaa kokonaan tavallisilla tietojen tuhoamisohjelmilla. Voit kuitenkin käyttää valmistajan apuohjelmia, kuten Samsung Magician -ohjelmistoa, flash-asemien hävittämiseen (tai käyttää vain vasaraa).

6. Tietojen varmuuskopiointi ja tallentaminen

Varmuuskopiot ovat välttämättömiä tietojen eheyden kannalta. Tietokannan vioittuminen tai palvelimen kaatuminen voi helposti vahingoittaa PHI-tietojasi. Niin tekee myös tulipalo tietokeskuksessa tai maanjäristys.

Sentähden on tärkeää, että PHI-tietojasi säilytetään useita kopioita useissa eri paikoissa.

PHI-tietojesi varmuuskopiointisuunnitelmassasi olisi määriteltävä tietojen vaarantumisen todennäköisyys. Kaikki suuren ja keskisuuren riskin tiedot olisi varmuuskopioitava päivittäin ja säilytettävä turvallisessa tilassa. Sinun tulisi myös allekirjoittaa BAA-sopimus varmuuskopiointitoimittajien kanssa.

Varmuuskopio on hyödytön, jos sitä ei voi palauttaa.

Elokuussa 2016 Martin Medical Practice Concepts joutui lunnasohjelmahyökkäyksen uhriksi. Yritys maksoi hakkereille PHI:n salauksen purkamisesta. Varmuuskopiointivian vuoksi paikalliset sairaalat menettivät kuitenkin 5 000 potilaan tiedot.

Testaat järjestelmääsi säännöllisesti, jotta vältät palautusvirheet. Sinun tulisi myös kirjata ylös järjestelmän käyttökatkokset ja mahdolliset epäonnistumiset PHI-tietojen varmuuskopioinnissa.

Ja muista, että itse varmuuskopioiden tulisi olla HIPAA-tietoturvastandardien mukaisia.

7. Tarkastusvalvonta

Tarkastusvalvonnan puuttuminen voi johtaa korkeampiin sakkoihin.

Seuraa, mitä järjestelmääsi tallennetuille PHI-tiedoille tehdään. Kirjaa ylös jokainen kerta, kun käyttäjä kirjautuu järjestelmääsi ja poistuu siitä. Sinun pitäisi tietää, kuka, milloin ja missä arkaluonteisia tietoja käytettiin, päivitettiin, muutettiin tai poistettiin.

Valvonta voidaan toteuttaa ohjelmistojen, laitteistojen tai menettelytapojen avulla. Yksinkertainen ratkaisu olisi käyttää tietokannassa olevaa taulukkoa tai lokitiedostoa, johon kirjataan kaikki vuorovaikutukset potilastietojen kanssa.

Tällaisen taulukon tulisi koostua viidestä sarakkeesta:

  • user_id. PHI:n kanssa vuorovaikutuksessa olleen käyttäjän yksilöllinen tunniste;
  • entity_name. Entiteetti, jonka kanssa käyttäjä on ollut vuorovaikutuksessa (Entiteetti on jonkin reaalimaailman käsitteen edustus tietokannassasi, esim. terveystieto);
  • record_id. Entiteetin tunniste;
  • action_type. Vuorovaikutuksen luonne (luo, lue, päivitä tai poista);
  • action_time. Vuorovaikutuksen tarkka ajankohta.

Tässä esimerkissä lääkäri (user_id 1) on luonut potilastietueen, radiologi on katsonut sitä ja myöhemmin sama lääkäri on muuttanut tietuetta.

Toimintalokit on tarkastettava määräajoin, jotta voidaan havaita, käyttävätkö jotkut käyttäjät oikeuksiaan väärin PHI-tietoihin pääsemiseksi.

8. Automaattinen uloskirjautuminen

Järjestelmän, jossa on PHI-tietoja, pitäisi automaattisesti lopettaa kaikki istunnot tietyn käyttämättömyysajan jälkeen. Jatkaakseen käyttäjän olisi syötettävä salasanansa uudelleen tai valtuutettava itsensä jollakin muulla tavalla.

Tämä suojaisi PHI:tä, jos joku hukkaa laitteensa ollessaan kirjautuneena sovellukseesi.

Kirjautumisen laukaisevan toimimattomuusajan tarkan keston olisi riiputtava järjestelmäsi erityispiirteistä.

Turvallisessa työpisteessä, joka sijaitsee erittäin suojatussa toimintaympäristössä, ajastimen kestoksi voi asettaa 10-15 minuuttia. Verkkopohjaisissa ratkaisuissa tämä aika ei saisi ylittää 10 minuuttia. Ja mobiilisovellukselle voit asettaa aikakatkaisun 2-3 minuutiksi.

Erilaiset ohjelmointikielet toteuttavat automaattisen uloskirjautumisen eri tavoin.

Lähde: MailChimp

9. Mobiilisovellusten lisäturvallisuus

Mobiililaitteisiin liittyy monia lisäriskejä. Älypuhelin voidaan helposti varastaa tai kadottaa vilkkaasti liikennöidyllä alueella vaarantaen arkaluonteiset tiedot.

Tämän estämiseksi voit käyttää:

  • näyttölukitusta (Android/iOS);
  • täyden laitteen salausta (Android/iOS);
  • tiedon etätyhjennystä (Android/iOs).

Käyttäjiä ei voi pakottaa näihin ominaisuuksiin, mutta heitä voi kannustaa käyttämään niitä. Voit sisällyttää ohjeet käyttöönottoon tai lähettää sähköpostiviestejä, joissa kuvataan, miten ne otetaan käyttöön.

Vinkki: Voit säilyttää PHI-tiedot suojatussa säiliössä erillään henkilötiedoista. Näin voit poistaa terveystiedot etänä vaikuttamatta mihinkään muuhun.

Monet lääkärit käyttävät henkilökohtaisia älypuhelimia terveystietojen lähettämiseen. Voit neutralisoida tämän uhan suojatuilla viestialustoilla.

Tällaiset sovellukset isännöivät arkaluonteisia tietoja suojatussa tietokannassa. Päästäkseen käsiksi PHI-tietoihin käyttäjien on ladattava sanansaattaja ja kirjauduttava tililleen.

Toinen ratkaisu ovat salatut salasanasuojatut terveysportaalit, joissa potilaat voivat lukea lääkäreidensa viestejä. Tällaiset portaalit lähettävät ilmoituksia, joissa ei ole PHI-tietoja (esim. ”Hyvä käyttäjä, sinulle on tullut uusi viesti osoitteesta ”).

Muista, että push-ilmoitukset eivät ole oletusarvoisesti suojattuja. Ne voivat näkyä näytöllä, vaikka se olisi lukittu. Varmista siis, ettet lähetä PHI-tietoja push-ilmoitusten kautta. Sama pätee tekstiviesteihin ja kaikkiin automaattisiin viesteihin.

Lähde: Bridge Patient Portal

Toinen huomioon otettava asia on, että FDA saattaa luokitella jotkin mHealth-sovellukset lääkinnällisiksi laitteiksi (ohjelmistot, jotka vaikuttavat terveydenhuollon ammattilaisten päätöksentekoprosessiin).

Muista siis tarkistaa, onko sovelluksesi oltava muiden terveydenhuoltosäädösten mukainen ennen kuin aloitat kehittämisen. Voit tarkistaa tämän Federal Trade Commissionin testin saadaksesi nopean vastauksen.

Pakkaus

Nyt sinulla on HIPAA-yhteensopivan ohjelmiston ominaisuuksien vähimmäisluettelo.

Yksinään ne eivät takaa sen turvallisuutta. Ne eivät suojaa sinua tietojenkalastelulta tai sosiaaliselta manipuloinnilta.

Mutta näiden ominaisuuksien pitäisi vakuuttaa tilintarkastaja siitä, että olet tehnyt tarpeeksi suojellaksesi asiakastietojasi.

Tehdäksesi tarkastuksista vähemmän kivuliaita dokumentoi kaikki HIPAA-vaatimustenmukaisuuspyrkimyksesi. Esitä sovelluksesi jokaisesta versiosta kirjalliset määrittelyt, suunnitelmat sen tietoturvan testaamiseksi ja niiden tulokset. Äläkä unohda tarkistaa, tarvitseeko sinun noudattaa muita säädöksiä ennen kehityksen aloittamista.

Vastaa

Sähköpostiosoitettasi ei julkaista.