Hace un tiempo hice una pregunta un tanto relacionada, y después de una investigación adicional, creo que tengo una respuesta para ti.
La respuesta corta es Sí, es un problema de HIPAA. Sin embargo, no es implícitamente una violación de HIPAA. Asumiré que, dado que está discutiendo CPOE desde el sistema en cuestión, estamos tomando la estación de trabajo de una organización proveedora, o la estación de trabajo de un proveedor. En cualquier caso, la responsabilidad del propietario de la estación de trabajo es implementar medidas y prácticas de seguridad adecuadas para proteger esta información, ya que se ha dejado en la máquina.
1) La carpeta de caché / descarga debe poder limpiarse rápida e implícitamente mediante cualquier acción "cancelar" / abortar incorporada en el flujo de trabajo de la IU, sin dejar rastro de PII / PHI. (Si ha lanzado Acrobat y se activa una descarga en su carpeta de descargas, asumo que estamos en el punto en el que el usuario ha dicho "generar esto". Es posible que a los proveedores de atención no les guste una ventana emergente cada vez que lo recuerden En cuanto a las consideraciones de HIPAA, sin embargo, el patrón 'no mostrar más este mensaje' debería ser suficiente.
2) La configuración inteligente de la autenticación del sistema (por ejemplo, las ventanas) puede proteger la estructura de archivos del usuario que ha iniciado sesión (incluida la carpeta de caché / descarga). Si nadie más puede acceder a estos datos sin autenticar, está potencialmente bien.
3) La mayoría de las organizaciones responsables que se ocupan del cumplimiento de HIPAA tienen estrictos procedimientos de cierre automático de sesión (por ejemplo, 10 minutos), sin embargo alejarse sin cerrar la sesión y dejar Acrobat abierto como usted describe no es un buen paso (así que no se preocupe) usuarios con esta responsabilidad en el diseño de su producto). Esto debería ser parte de un marco de seguridad más completo, publicado y mantenido con frecuencia para el cumplimiento de HIPAA de la organización.
4) Es mejor que los datos / el disco estén cifrados en caso de que la estación de trabajo llegue a las manos equivocadas.
La conclusión es que casi cualquier aplicación que ofrezca la capacidad de "impresión" puede introducir el flujo de trabajo que está preguntando. Como tal, esto en sí mismo no es una violación de HIPAA.
Mi pregunta relacionada tenía que ver con un escenario supuestamente diferente, en el que estaba preguntando por proporcionarle a un paciente una copia de la documentación clínica. Las respuestas aquí básicamente confirmaron que mientras esté indicando explícitamente la transferencia de la propiedad de estos datos al usuario final (quien supuestamente ha iniciado sesión para que se le otorgue acceso al documento en primer lugar), no necesita una contraseña. Proteger, cifrar, etc., el documento en sí.
Espero que esto ayude. ¡También navega por los otros elementos etiquetados por HIPAA aquí, ya que hay mucha discusión sobre la transmisión, el almacenamiento, etc.!