Trabajo con una compañía que vende suministros y equipos médicos. Como parte de esto, conservamos la información del paciente o la Información de salud protegida (PHI). ¿Qué medidas ha tomado al proporcionar acceso a estos datos en una base de datos? ¿Se debería permitir a los desarrolladores el acceso sin restricciones a toda la base de datos, ya que es parte de su trabajo, o hay medidas que deben tomarse para ocultar o cambiar los datos?
Respuesta corta: No, a los desarrolladores no se les debe permitir el acceso a la PHI. Pero para permitirles trabajar en un entorno que refleje correctamente el mundo real, ¡muchos lo hacen!
Una de las opciones que solía ver donde la organización tenía la capacidad era proporcionar a los desarrolladores una copia desinfectada de la base de datos en vivo.
Obviamente esto requiere algún recurso
Simplemente pensé en actualizar para dar un poco más de información sobre la desinfección. Para información sensible, esto realmente significa eliminar información de identificación. He visto hacer esto al completar un reemplazo completo de nombres y números de cuenta por aleatorios (pero únicos), o al realizar un intercambio de datos, por lo que los nombres ya no están conectados a las direcciones y detalles médicos con los que comenzaron. Este es un trabajo arduo, especialmente porque generalmente debe asegurarse de que la edad y el sexo de cada individuo sean apropiados (especialmente para las bases de datos médicas); de lo contrario, las pruebas pueden ser complicadas (por ejemplo, intentar localizar casos de uso para una mujer embarazada de 90 años) p>
Si sus necesidades de desarrollo no son tan profundas, podría proporcionar una pequeña base de datos con datos inventados, mucho más simple, pero no tan cerca de las condiciones del mundo real.
Lea otras preguntas en las etiquetas databases compliance