私たちはヘルスケアIT企業です。私のマシンにはPHIが搭載されています。私のIT請負業者は、私のプリンターを修理するためにリモートで接続できるかどうかを口頭で尋ねたので、私は確信しました。私はそれを許可するためにある種のプロンプトを期待していましたが、彼はそのままでした。ある種のVNCの形式だと思います。
よろしいですか? HIPAAに関しては?
HIPAAはポリシーの詳細に達していません。その本質は、組織がデータを保護するために十分な管理を行う必要があるということです。他の制御(認証、承認、アクセス制御リスト、アクセスログと監査、サポートPCのマルウェア対策、サポート組織と組織の間で締結されている法的合意)さえあれば、HIPAAの観点からのプロンプトなしのテイクオーバーには本質的に問題はありません。等)が設置されている。
したがって、ITセキュリティポリシー、プロセス、および手順に関して組織が何を持っているかを知らなければ、伝える方法はありません。
プロンプトなしのテイクオーバーが良いことであるかどうかについては、そうではありません。誰かがサポートのためにPCを引き継いだり、画面を見たりしているときに警告を表示したいのです。
実際には、どちらかと言えば十分な詳細情報を提供していません。認証プロンプトが表示されなかったという事実は、認証プロンプトが存在することを妨げるものではありません。
リモートアクセスツール[〜#〜] i [〜#〜]自分のジョブで使用(これもHIPAAを扱います)では、ドメイン管理者の資格情報で認証する必要があり、ユーザーに承認を求めるプロンプトを表示しません接続、私はそれらをそのように構成したので。
コメントで著者の好む陳述を使用する:
ITサポート請負業者が許可なしにリモートでアクセスできることは問題ありませんか?
通常の状況では、はい。
特定のキーワードについて話しましょう。
リモート:自宅で仕事をしていないと仮定すると、IT管理者は1日の終わりに椅子に座ってワークステーションにログインし、アップデートをインストールして、コンピュータのイメージを再作成できます。あなたは会社を辞めます。彼らはすでにあなたのコンピュータへの完全なアクセス権を持っており、(通常)コンピュータ上のすべてを見ることができます。彼らが会社のデータベースや健康記録にもアクセスできる可能性があるため、リモートセッション中に画面上に表示される可能性があり、リモートセッションの外部にはまだアクセスできない可能性があります。それを見てください。その場合は、コンピューターを乗っ取る前に許可を求めることは、法的要件というよりもむしろ礼儀と考えることができます。
請負業者:多くの請負業者は会社の延長として働いており、NDA、HIPAAの開示に署名し、トレーニングに参加し、すべての従業員と同じセキュリティ、プライバシー、倫理に関する規則と法律に従う必要があります行う。請負業者に署名を求められなかった場合でも、法律違反の許可は与えられません。
注:これらのステートメントは、ヘルスケア業界に適用される可能性がある一般化ですが、必ずしもすべての業界に適用されるわけではありません。たとえば、防衛産業では、ユーザーがIT担当者のクリアランスレベルを超えるドキュメントを表示している場合、ユーザーが操作しなければ、IT担当者がマシンにリモートアクセスできないようにすることができます。 (ただし、極秘文書を閲覧するための専用の機械を備えた専用の部屋がある場合は問題ありません。)
これは法律上の問題であるため、居住している国によって大きく異なります。雇用契約で署名した場合、このアプローチは法的に正しい州もあれば、プライバシーポリシーのためにこの手続きを完全に禁止する州もあります。