过去一周我一直在想,因为我的大老板让我开始跟踪所有固定的东西,如何解决这些问题等。这是合理的,而且一直在做。 但是后来出现了一个相关的问题。 用户可以随身携带什么样的文档。 更具体地说,我是在EULA,ToC等方面进行交stream(如果我使用的是错误的话,请纠正我),或者更具体地说,就是针对用户等策略。 不能说我是法律专家,否则我会成为律师。 用户所处的环境相当悠闲,所以我不希望遇到问题。 但是假设应该出现一个问题,我应该写些什么?
编辑:我真的应该注意到,我们是医疗运输设施,并有病历,所以我知道必须做一些事情,以符合我相信的HIPAA政策。 我喜欢anthonysomerset对“如果我坐公共汽车”情景所说的东西,并且不仅希望将其应用到我目前正在撰写的文档中,而且还希望如果说员工从服务器或边缘情况中窃取信息,盗窃等等。就我们的员工而言,其人力资源相对较小,除了2位业主律师以外,没有任何法律部门,而我是唯一一名IT人员,只有一名不超过超级用户的人员。
您应该与您的老板/人力资源部门一起工作,制定一系列由主pipe采纳的书面政策,概述如何处理各种问题以及员工的期望。 这些可能会有所不同,这取决于业务,但基本上,您将拥有指定您的networking和计算机系统允许和不允许的文档,以及后续操作(如何处理修复,可能导致终止的操作等) 。 然后,您的员工会收到材料,作为员工手册或备忘录的一部分,可能需要签署并保留文件。
提出一些你可能需要在计算机系统上使用的scheme,然后和你的老板讨论一下。 除非你有权解雇你的人,你应该与其他部门主pipe或监督人员一起使用政策的语言。 如果你有一个法律部门,你也希望它能贯穿其中,以确保你不会涉及你所在地区的隐私或终止法律问题。
理想情况下,您的业务已经有一些员工手册或材料,员工必须注意并支持他们的办公桌,所以可能有一些模板在那里为你工作。
我们的办公室刚刚经历了这个。 但是我们必须遵守HIPAA。 我们从networking版本中为我们的IT标准制定了一个框架,并进行了充实。 我亲自写了绝大多数的政策。 正如@Bart Silverstrim所说,你需要和你的人力资源部门合作。 我们的标准文档是一个两人团队。
这并不容易。 只要缓慢而有条不紊地进行。 从一天到一天的日常工作开始,并将其logging在项目列表中。 有一整套的想法只是我们的一个样本
还有更多,这要看你想走多远。
我们有这些标准(规则)来覆盖自己,以防有人打破HIPAA。 所以我们可以说:“嘿,我们有这些规则,并打破了他们”。
这是我们使用的框架 。 它可能也可能不会为你工作。
我们现在有四个文件我们使用:
当然,我们也保留很多其他的logging,但是这相当于公共法律文件。
患者logging是另外一场球赛,而我最后的演出是在一个医疗帐单处。 当然,还有许多额外的法规是必须遵守的,但是我仍然记得的唯一法律文件就是,您必须先获得个人的许可才能获得合法的logging,然后才能与他人共享任何“个人身份信息”。
您已经收到了一些很好的build议 – 针对医疗领域的一些想法(不是所有与IT有关的想法,但是如果您以电子方式存储患者数据,则会有很多stream血事件):
除了上面链接的梭罗架构之外,您还可以使用支付卡行业数据安全标准(PCI DSS)作为保护患者信息的指导 – 无论它在哪里写明“持卡人信息”或类似的认为HIPAA保护的内容,主要是PHI / ePHI。
必须有足够的文档certificate符合合理的安全程序(certificate符合PCI-DSS或其他框架的相关部分)。
您需要HIPAA合规性声明和HIPAA合规性政策(详细说明谁可以访问PH / ePHII,在什么情况下等)。
这个政策的一部分应该包括你如何validation信息请求者的身份。
这项政策的另一部分应处理如何保护您的备份,在途信息等。
从法律上覆盖你的屁股的angular度来看,你也需要(也可能已经有)由有权访问这些信息的任何人签署的保密表格 – 在我的公司,他们每年都会在你的performance评审中被重新审核。
确保这些内容足够广泛,涵盖ePHI(电子logging)。