プログラマーは開発とテストのためにPHIにアクセスする必要がありますか？

一般に、プログラマは実際の患者データにアクセスする必要はありません。

ただし実際には、プログラマーrequireバグが特定のデータ（文字エンコーディングに関連する問題、特にDICOMのような、多くのことがあるDICOMのようなもの）でしか再現できない場合、匿名化されていない実際のデータへのアクセス日本語名のエッジ条件）。このような場合、これらの状況に対処するためのポリシーと手順（顧客の合意と通知、データが顧客のサイトを離れた場合の暗号化方法、保持ポリシー）を用意する必要があります。通常、データは不要になったらすぐに削除します。 ）。

私たちの会社では、雇用契約に特別なセクションがあり、生産システムからのデータは機密であり、そのように扱われるべきであると述べています。

以前は、開発チームは本番データのコピーに取り組み、開発を非常に簡単にしましたが、自動テストを非常に困難にしていました。現在、自動テストや日常の開発で使用できる固定データセットに移行しています。これらのデータセットを構築するとき、私たちは実際の例を取り、それらを匿名化しようとします。これらのデータセット（十分な数がある場合）に対する開発は、リアルタイムデータに対する開発と同じくらい簡単です。

プログラマーが実際の患者データを見る理由はありません。はい、システムをテストおよび開発するためにデータを操作する必要がありますが、実際のデータからダミーデータを構築できます。識別子のスクランブル、他の患者とのデータの交換など。最悪の場合、ダミーデータを最初から作成する必要があり、テストなどのすべてのシナリオをカバーすることはできません。私の意見では（私は弁護士ではありません）識別可能な患者を使用することは、データ保護法の下で、および/またはカルディコット原則に従って英国でどのように倫理的または合法的であるか。

絶対に日常的にはありません。開発目的でシミュレートされたデータセットは、実際のデータから簡単に構築でき、PHIをプロセスから完全に削除します。

プログラマーにそんなことをさせてもらえないでしょう。おそらく私は、生物統計学者か、そうした種類の記録にすでにアクセスできる機関のスタッフの別のメンバーに頼ることになるでしょう。 PHIは1回プルする必要があります。これは、最終的なデータがどのように見えるかを確認するために開発していることを確認しますが、実際の人のレコードは使用しないでください。ほんのわずかな利益のために曝露のリスクが高すぎる。

HIPAAは、PHIへのアクセスを可能な限り制限する必要があることを明確に示しています。必要なタスクを実行できるようにするには、過度の負担をかけないでください。それは医者だけでなくプログラマーにも当てはまるでしょう。

HITECH法のおかげで、ビジネスアソシエイトは他のヘルスケアプロバイダーと同様にHIPAAに準拠する必要があるため、これはさらに重要です。

答えは、場合によります。適切なマスキングアルゴリズムを使用して開発環境を更新できる場合、本番データを使用する必要はありません。データがまだ完全であり、PHIだけがアルゴリズムを使用してマスキングされるように、マスキングについて関係を検討する必要があります。これにより、本番データを確実に使用し、PHIコンプライアンスを確実に維持できます。