web-dev-qa-db-ja.com

PDFブラウザベースのアプリからローカルにダウンロードすることはHIPAAの問題ですか?

ここにシナリオがあります:

  1. イントラネットCPOEアプリケーション
  2. ユーザーはレポートを実行し、PDFとしてダウンロードし、ローカルPC上のAcrobatで開きます。
  3. ユーザーがログアウトしたり、Acrobatを閉じたりせずにPCを離れる
  4. CPOEはタイムアウトし、ユーザーを自動ログアウトします
  5. PDF機密データは開いたままです。また、ブラウザのキャッシュ/ダウンロードフォルダに保存されます

これはHIPAAの問題ですか? CPOEベンダーができることはありますか?クリップボード、スクリーンショットなど、他にも同様の問題が発生します。

9
Martin Haluza

しばらく前にやや関連のある質問をしましたが、追加の調査を行った後、私はあなたに答えがあると思います。

短い答えははい、それはHIPAAの問題です。ただし、これは暗黙的にHIPAA違反ではありません。問題のシステムからCPOEについて説明しているので、プロバイダー組織のワークステーションまたはプロバイダーのワークステーションを取り上げていると想定します。どちらの場合も、この情報がマシンに残されたままの状態で、この情報を保護するための適切なセキュリティ対策と実践を実装する責任は、ワークステーション所有者にあります。

1)PII/PHIの痕跡を残さずに、UIワークフローに組み込まれた「キャンセル」/中止アクションを介して、キャッシュ/ダウンロードフォルダーを迅速かつ暗黙的にクリーニングできる必要があります。 (acrobatを起動して、ダウンロードフォルダーへのダウンロードをトリガーする場合、ユーザーが「これを生成する」と言ったところにいると思います。ケアプロバイダーは、通知するたびにポップアップが気に入らない場合がありますそれらはHIPAAの考慮事項ですが、「今後このメッセージを表示しない」というパターンで十分です。

2)システム(Windowsなど)認証のスマートな構成により、サインインしたユーザーのファイル構造(キャッシュ/ダウンロードフォルダーを含む)を保護できます。認証なしに他の誰もこのデータにアクセスできない場合、それは潜在的に大丈夫です。

3)HIPAAコンプライアンスを扱うほとんどの責任ある組織は、厳格な自動ログアウト手順(例:10分)を持っていますが、ログアウトせずに離れて、あなたが説明したようにAcrobatを開いたままにしておくことは良い動きではありません(そのため、ユーザーに負担をかけないでください)製品設計における責任)。これは、組織のHIPAAコンプライアンスのための、より包括的で、公開され、頻繁に維持されるセキュリティフレームワークの一部である必要があります。

4)ワークステーションが悪意のある人に渡った場合に備えて、データ/ディスクを暗号化することをお勧めします。

結論として、「印刷」機能を提供するほとんどすべてのアプリケーションが、求めているワークフローを導入できます。そのため、これ自体はHIPAA違反ではありません。

私の関連する質問は、私が患者に臨床文書のコピーを提供することについて尋ねていた、おそらく異なるシナリオに関するものでした。ここでの回答は基本的に、このデータの所有権の引き渡しをエンドユーザー(最初にドキュメントへのアクセスが許可されていると想定されている)に明示的に伝えている限り、パスワードを入力する必要がないことを確認しました-ドキュメント自体を保護、暗号化などします。

お役に立てれば。転送、保存などについて多くの議論があるので、他のHIPAAタグ付きアイテムもここで閲覧してください!

7
Wayne Heilala