Olemmeko todella HIPAA-yhteensopivia vai luotammeko vain markkinointilupauksiin? Cloud PACS tuntuu modernilta ja tehokkaalta, mutta yksikin huomiotta jätetty asetus voi mitätöidä vuosien potilasluottamuksen.
Tämä tarkistuslista on tarkoitettu niille, jotka elävät tämän jännitteen kanssa. Saatat johtaa radiologiaa, hallinnoida IT-palveluita tai omistaa kasvavan klinikan, joka käyttää PostDICOMia tutkimusten tallentamiseen ja katseluun. Et halua epämääräisiä vakuutteluja. Haluat konkreettisia kysymyksiä, jotka voit esittää tiimillesi ja pyytää rehellisiä vastauksia.
Monet kirjoittavat hakukenttään jotakin kuten "HIPAA compliance checklist for cloud PACS cloud services free" ja toivovat löytävänsä täydellisen lomakkeen. Yksikään mallipohja ei voi taata vaatimustenmukaisuutta, mutta kohdennettu kysymyssarja voi ohjata sinut kohti ohjelmaa, jonka viranomaiset tunnistavat vakavasti otettavaksi.
Käsittele tätä narratiivisena versiona HIPAA-vaatimustenmukaisuuden tarkistuslista-PDF:stä. Kopioi sopivat kysymykset, mukauta ne omaan ympäristöösi ja säilytä ne riskinarviointisi yhteydessä.
Ennen kuin tarkistat salausasetuksia tai käyttölokeja, sinun on tiedettävä, mikä asemasi on HIPAA:n alaisuudessa ja missä sähköiset suojatut terveystiedot (ePHI) todella liikkuvat.
Jos olet klinikka, sairaala tai kuvantamiskeskus, olet lähes varmasti velvoitettu toimija. Jos käsittelet kuvia muiden puolesta, saatat toimia myös liikekumppanina. Turvallisuussääntö (Security Rule) pätee kummassakin tapauksessa, mutta sopimuksesi ja dokumentaatiosi muuttuvat roolisi mukaan. Olemmeko kirjanneet selkeästi, mitä roolia esitämme kullakin liiketoiminta-alueella? Kun lakiosasto, vaatimustenmukaisuus ja operatiivinen toiminta kuvaavat meitä, käyttävätkö ne kaikki samoja termejä? Jos eivät, suhteesi mihin tahansa Cloud PACS -palveluntarjoajaan on jo epävakaalla pohjalla.
Seuraa yhtä tutkimusta skannerista arkistoon. Mihin se päätyy ensin? Mitkä yhdyskäytävät, katseluohjelmat ja pilvipäätepisteet koskettavat sitä? Kun PostDICOM tallentaa kyseisen tutkimuksen, kuka pääsee siihen käsiksi, mistä sijainneista ja millaisten kirjautumisvaiheiden jälkeen? Onko meillä ajantasainen kaavio, joka näyttää, miten kuvat kulkevat Cloud PACS -järjestelmäämme ja sieltä ulos, mukaan lukien opetuskirjastot ja viennit? Ovatko väliaikaiset tallennuspaikat, kuten työasemien välimuistit, mobiililaitteet tai ladatut ZIP-tiedostot osa tätä kuvaa, vai teeskentelemmekö, ettei niitä ole olemassa?
HHS:n virallinen yhteenveto turvallisuussäännöstä korostaa ymmärrystä siitä, missä sähköisiä suojattuja terveystietoja luodaan, vastaanotetaan, ylläpidetään ja siirretään, koska suojatoimien on katettava kaikki nämä pisteet, ei vain pääarkistoa.
Sääntelyviranomaiset ovat joustavia työkalujen suhteen mutta tiukkoja yhdestä asiasta. Sinun on suoritettava riskianalyysi ja päivitettävä se järjestelmien muuttuessa. NIST SP 800 66, joka kääntää turvallisuussäännön käytännön vaiheiksi, asettaa riskianalyysin vaatimustenmukaisen ohjelman keskiöön.
Pikaistatarkistus:
Olemmeko tunnistaneet konkreettisia uhkia Cloud PACS -järjestelmällemme, kuten virheelliset asetukset, varastetut tunnukset ja palveluntarjoajan katkokset, ja kirjanneet ne ylös? Luokittelemmeko nämä riskit todennäköisyyden ja vaikutuksen mukaan ja yhdistämmeko ne tiettyihin kontrolleihin, vai pidämmekö vain staattista listaa näön vuoksi?
Käsittelevätkö kirjalliset menettelymme käyttöoikeuksien hallintaa, vähimmäistietojen käyttöä ja häiriötilanteiden hallintaa nimenomaisesti Cloud PACS -järjestelmäämme ja kuvienjakotyönkulkujamme? Jos röntgenhoitaja haluaa jakaa kuvia ulkopuolisen lääkärin kanssa, osaako hän kuvata hyväksytyn menetelmän PostDICOMia käyttäen, vai turvautuuko hän hiljaisesti omiin työkaluihin ja henkilökohtaiseen sähköpostiin? Kun käytännöt, koulutus ja päivittäiset tottumukset kohtaavat, henkilöstön päätökset alkavat vahvistaa vaatimustenmukaisuutta sen sijaan, että ne heikentäisivät sitä hiljaisesti.
Minkä tahansa pilvipalvelun, joka tallentaa tai siirtää sähköisiä suojattuja terveystietoja puolestasi, on allekirjoitettava liikekumppanuussopimus (Business Associate Agreement). HHS julkaisee pilvipalvelukohtaista ohjeistusta, joka selittää, mitä on katettava, kun luotat pilvipalveluntarjoajiin. HHS:n HIPAA-pilvilaskentaohjeistus (HHS). Määrittääkö sopimuksesi PostDICOMin kanssa tietoturvavastuut, tietomurtoilmoitusten aikataulut ja sen, miten tiedot palautetaan tai poistetaan sopimuksen päättyessä? Onko tämän sopimuksen ja mahdollisten vakioehtojen tai palvelutasosopimusten välillä ristiriitoja, jotka voisivat aiheuttaa hämmennystä häiriötilanteessa?
Cloud PACS -alustat tarjoavat yleensä salauksen siirron aikana, salauksen levossa ja roolipohjaisen käyttöoikeuksien hallinnan. PostDICOM on suunniteltu olemaan HIPAA- ja GDPR-yhteensopiva, ja tiedot on salattu ja suojattu luvatonta käyttöä vastaan. Se on vahva lähtökohta, mutta konfigurointi on edelleen sinun vastuullasi. Onko kaikki yhteydet PACS-järjestelmään rajoitettu turvallisiin protokolliin, ja onko vanhat tai testi-rajapinnat poistettu käytöstä kokonaan? Käyttävätkö etuoikeutetut tilit vahvaa todennusta, ihanteellisesti monivaiheista tunnistautumista, ja poistatko käyttöoikeudet viipymättä, kun joku vaihtaa roolia tai lähtee? Kuinka monta tiliä on edelleen olemassa ihmisille, jotka eivät enää työskentele kanssanne, vain siksi, ettei kukaan omista poistumisprosessin tarkistuslistaa?
 - Created by PostDICOM.jpg)
Cloud PACS -järjestelmät ovat erittäin hyviä lokitietojen keräämisessä. Ongelma ei ole tiedon puute. Se on huomion puute. Näetkö, kuka katseli, latasi tai jakoi tutkimuksen, ja miltä laitteelta tai verkosta he sen tekivät? Lähetätkö tarvittavat lokit keskitettyyn seuranta-alustaan vai elävätkö ne vain toimittajan konsolissa, kunnes jotain menee pieleen? Jos et pysty vastaamaan yksinkertaiseen käyttökysymykseen tietystä tutkimuksesta, sinun on vaikea vastata vakuuttavasti potilasvalituksiin tai sääntelyviranomaisten kyselyihin.
Häiriötilanteet ovat tarpeeksi stressaavia ilman improvisointia. Kuvittele, että röntgenhoitaja jakaa vahingossa tutkimuksen väärälle lääkärille, tai kannettava tietokone, jossa on välimuistiin tallennettuja kuvia, varastetaan autosta. Tietävätkö kaikki sillä hetkellä, mitä tehdä? Sisäisen HIPAA-vaatimustenmukaisuuden tarkistuslista-PDF:si tulisi sisältää ainakin kolme vastausta. Kuka johtaa tutkintaa ja kenelle heidän on ilmoitettava. Mitkä järjestelmät ja lokit on tarkistettava tapahtuman laajuuden ymmärtämiseksi? Miten päätätte, onko tapahtuma ilmoitettava tietomurto, ja miten viestintä sääntelyviranomaisten ja potilaiden kanssa toimii, jos se on?
Tähän mennessä pitäisi olla selvää, että vakavasti otettava HIPAA-vaatimustenmukaisuuden tarkistuslista Cloud PACSille on vähemmän laatikoiden rastittamista ja enemmän osuvien kysymysten esittämistä. On houkuttelevaa luottaa pelkästään toimittajan väitteisiin, mutta sääntelyviranomaiset odottavat sinun osoittavan, miten nuo väitteet muuttuvat käytännöiksi, kontrolleiksi ja todisteiksi omassa ympäristössäsi.
Voit muuttaa yllä olevat osiot yksinkertaiseksi taulukoksi, viedä sen HIPAA-vaatimustenmukaisuuden tarkistuslista-PDF:ksi sisäiseen käyttöön ja tarkistaa sen riskianalyysisi rinnalla vuosittain.
PostDICOMia käyttäville tiimeille hyvä uutinen on, että alusta yhdistää edullisen Cloud PACS -ratkaisun, turvallisen pilvitallennuksen ja verkkopohjaisen DICOM-katseluohjelman yhteen paikkaan, tarjoten runsaasti alkutilaa uusille käyttäjille. Tämä tarkoittaa, että voit käyttää vähemmän aikaa vanhojen paikallisten palvelimien hoitamiseen ja enemmän aikaa selkeän, puolustettavissa olevan vaatimustenmukaisuustarinan rakentamiseen modernin pilvipalvelun ympärille.
Lopulta keskeinen kysymys on yksinkertainen. Kun seuraava auditointikirje saapuu, haluatko mieluummin selata paniikissa sähköposteja ja vanhoja kokousmuistiinpanoja, vai avata rauhallisesti asiakirjan, joka näyttää tarkalleen, miten Cloud PACS -järjestelmäsi suojaa sähköisiä suojattuja terveystietoja? Työ, jonka panostat tähän tarkistuslistaan tänään, ratkaisee, kumman tarinan pääset kertomaan.
|
Cloud PACS ja DICOM-katseluohjelma verkossaLataa DICOM-kuvat ja kliiniset asiakirjat PostDICOM-palvelimille. Tallenna, katsele, tee yhteistyötä ja jaa lääketieteellisiä kuvatiedostojasi. |
