数据库专家需遵守HIPAA
1996年美国克林顿政府签署的《健康保险流通与责任法案》(HIPAA)生效后,要跟健康相关信息打交道的企业背上隐隐负上沉重的法律负担。也许大多数人会认为自己没有在保健相关的企业工作,所以这个什么法案对自己没有什么影响。但是,你这么想就错了,因为HIPAA的条例针对的是健康信息的安全性和隐私性,这就跟数据库管理员的工作密切挂钩了。
符合HIPAA条例资格的“适用实体”有许多,当然其中最显而易见的包括提供健康保健的医疗组织,另外如果你的企业或组织符合“health plan”的条件,那么也是符合HIPAA的适用实体。
什么是“health plan”?它是指任何“为员工及其家属直接提供或者通过保险提供医疗服务,包括支付医疗保健费用”的企业组织。所以,如果企业为员工提供自我保险计划,那么这个企业很有可能就是HIPAA的适用实体。其他的企业,根据其处理健康保健数据的职责范围归到“health care clearinghouse”的范围内。
如果企业成为HIPAA的适用实体,意味着什么呢?那意味着专业的数据库专家们需要遵守两条重要的条例:HIPAA隐私条例和HIPAA安全性条例。
隐私条例保护所有由适用实体保存的可以识别个体的受保健康信息(PHI)。该条例不仅仅是针对电子信息,它同样适用于书面记录,电话内容等等。根据美国卫生和福利部的规定,PHI包括以下数据信息:
· 与个人以往、目前或将来的身体或精神健康和状况有关的数据
· 个人接受的健康保健服务的相关数据
· 个人以往、目前或将来接受健康保健服务的费用支付相关的数据
隐私条例的基本规定是企业只有在隐私条例允许的情况范围内或者获得数据相关的个人书面同意之后才能够传播发布PHI信息。隐私条例还包含了一些通知规定和行政规定,保证企业保持数据纪录行为的恰当性,以及确保个人明确自己受HIPAA条例保护的权利。
安全性条例包含了电子受保健康信息(ePHI)的安全保护,规定了企业在其所有需要处理ePHI数据的系统里必须设有的政策、程序和报告机制。它还规定了用于保护ePHI的保密性、完整性和可获得性的具体实施规定。这些规定分为以下五类:
* 行政保护
* 物理性保护
* 技术性保护
* 组织要求
* 企业政策和程序
遵守安全性条例的关键在于该法律条文的语言:实施“合理并恰当的”措施。如果考虑到对于此条例相关的数据信息、业务规模的大小、潜在的风险以及其他的情况后,企业认为自己实施的措施不够合理和恰当的,只需要把此记录归档。
当然HIPAA也有让数据库专家很头疼的时候。但是,管理员也可以把这个当作是提高数据库安全性的一个机会。虽然HIPAA的条例只是针对PHI/ePHI数据,但是对于所有的数据而言,它都是很可靠的最佳实践。