¿Es la recuperación de desastres un requisito para todas y cada una de las aplicaciones que utilizan cualquier ePHI?

Question

¿Es la recuperación de desastres un requisito para todas y cada una de las aplicaciones que utilizan cualquier ePHI?

#1 de John Deters (1 votos)

1

Los requisitos de HIPAA parecen indicar que un plan de recuperación de desastres es una implementación requerida, definida dentro del estándar del Plan de Contingencia de HIPAA en la sección de Garantías Administrativas de la Regla de Seguridad de HIPAA.

¿Qué pasa si la aplicación en cuestión no es crítica para la misión, utiliza una copia del sistema de registro y no la original, y si no está disponible no afectará los servicios principales de una entidad de atención médica? En otras palabras, HIPAA dice que si tengo un negocio de atención médica y creo una aplicación pequeña para mejorar un proceso de negocios interno que utiliza un extracto de mi base de datos ePHI principal, debo proporcionar un plan de DR y hacer que esa pequeña aplicación sea completamente recuperable. gasto?

hipaa

pregunta Robert Pellerin 01.11.2013 - 00:11

fuente

1 respuesta

Lea otras preguntas en las etiquetas hipaa

Convertir un certificado codificado DER a un certificado codificado PEM ¿Cuál es la debilidad de OFB en el modo de 8 bits?

score 1 · Answer 1

Primero, no soy abogado, y esto no es un consejo legal. Busque el consejo de un abogado calificado antes de implementar cualquier solución.

La intención de la regla de disponibilidad es asegurarse de que sus pacientes siempre tengan la mejor oportunidad posible de acceso completo a sus servicios. Entonces, si esto realmente no es "de misión crítica", no sería específico para el paciente. Si ese es el caso, me esforzaría por anular la identificación de los datos para que ya no estén cubiertos por las reglas de HIPAA. Entonces se convierte en un problema no.

Si este es un proceso específico para el paciente, entonces es un servicio que está obligado a brindar, y creo que está bajo la regla.

El problema es que incluso si esta herramienta es "solo un optimizador", sus pacientes pueden volverse dependientes de sus procesos mejorados y tiempos de respuesta. Eso también se extiende a los tiempos de respuesta para las actividades de adjudicación y facturación. Podría salirse con la suya si publica un SLA que abarque sus tiempos de respuesta más lentos posibles. Entonces, si la función optimizada normalmente se ejecuta en un segundo, y su función no optimizada se ejecuta en diez segundos, publique un SLA de 15 segundos, que abarcaría ambos.