Cumplimiento de HIPAA o ¿Qué medidas recomendaría para proteger la PHI de los desarrolladores?

6

Trabajo con una compañía que vende suministros y equipos médicos. Como parte de esto, conservamos la información del paciente o la Información de salud protegida (PHI). ¿Qué medidas ha tomado al proporcionar acceso a estos datos en una base de datos? ¿Se debería permitir a los desarrolladores el acceso sin restricciones a toda la base de datos, ya que es parte de su trabajo, o hay medidas que deben tomarse para ocultar o cambiar los datos?

    
pregunta Ben Dauphinee 07.01.2011 - 03:28
fuente

1 respuesta

5

Respuesta corta: No, a los desarrolladores no se les debe permitir el acceso a la PHI. Pero para permitirles trabajar en un entorno que refleje correctamente el mundo real, ¡muchos lo hacen!

Una de las opciones que solía ver donde la organización tenía la capacidad era proporcionar a los desarrolladores una copia desinfectada de la base de datos en vivo.

Obviamente esto requiere algún recurso

  • necesitas un desarrollo real medio ambiente, no solo uno con punteros a una base de datos en vivo
  • el saneamiento es un recurso pesado y consume mucho tiempo
  • gestión de cambios en torno a la desarrollo y producción Ambientes y promoción de códigos. se vuelve crítico

Simplemente pensé en actualizar para dar un poco más de información sobre la desinfección. Para información sensible, esto realmente significa eliminar información de identificación. He visto hacer esto al completar un reemplazo completo de nombres y números de cuenta por aleatorios (pero únicos), o al realizar un intercambio de datos, por lo que los nombres ya no están conectados a las direcciones y detalles médicos con los que comenzaron. Este es un trabajo arduo, especialmente porque generalmente debe asegurarse de que la edad y el sexo de cada individuo sean apropiados (especialmente para las bases de datos médicas); de lo contrario, las pruebas pueden ser complicadas (por ejemplo, intentar localizar casos de uso para una mujer embarazada de 90 años) p>

Si sus necesidades de desarrollo no son tan profundas, podría proporcionar una pequeña base de datos con datos inventados, mucho más simple, pero no tan cerca de las condiciones del mundo real.

    
respondido por el Rory Alsop 07.01.2011 - 12:52
fuente

Lea otras preguntas en las etiquetas