web-dev-qa-db-ja.com

ePHIを使用するすべてのアプリケーションでディザスタリカバリが必要ですか?

HIPAA要件では、ディザスタリカバリ計画は必須の実装であり、HIPAAセキュリティルールの管理上の保護に関するセクションのHIPAA緊急時対応計画標準で定義されているようです。

問題のアプリケーションがミッションクリティカルではなく、元のアプリケーションではなく記録システムのコピーを使用し、それが利用できなくなっても医療機関のコアサービスに影響を与えない場合はどうでしょうか。言い換えれば、HIPAAは、ヘルスケアビジネスを行っていて、コアePHIデータベースの抽出を使用する内部ビジネスプロセスを改善するための小さなアプリケーションを作成する場合、DR計画を提供し、その小さなアプリケーションを完全に回復可能にする必要があると言っています。費用?

1
Robert Pellerin

まず、私は弁護士ではなく、これは法律上の助言ではありません。ソリューションを実装する前に、資格のある弁護士のアドバイスを求めてください。

可用性ルールの目的は、患者が常にサービスに完全にアクセスできる可能性を最大限に高めることです。したがって、これが本当に「ミッションクリティカル」でない場合は、患者固有ではありません。その場合は、HIPAA規則の対象外となるように、データの匿名化に努めます。その後、それは問題になりません。

これが患者固有のプロセスである場合、それはあなたが提供しなければならないサービスであり、私はそれがルールに該当すると思います。

問題は、このツールが「単なるオプティマイザー」であっても、患者が改善されたプロセスと応答時間に依存するようになる可能性があることです。これは、裁定および請求活動の応答時間にも及びます。可能な限り遅い応答時間を含むSLAを公開すると、問題が解決する可能性があります。したがって、最適化された関数が通常1秒で実行され、最適化されていない関数が10秒で実行される場合は、 SLA 15秒、両方をカバーします。

1
John Deters