1. Назначение

Целью данной политики является установление всеобъемлющих правил по обеспечению конфиденциальности и безопасности информации участников программы CalAIM Enhanced Care Management (ECM) и Community Support (CS). Эта политика обеспечивает соблюдение всех применимых федеральных законов и законов штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Калифорнийский закон о конфиденциальности медицинской информации (CMIA). Соблюдая эти правила, мы стремимся защитить права наших членов на конфиденциальность и придерживаемся самых высоких стандартов этического поведения.

2. Область применения

Эта политика распространяется на всех лиц, имеющих доступ к конфиденциальной информации участников программы CalAIM ECM & CS. Сюда входят сотрудники, подрядчики, волонтеры и любой аффилированный персонал. Каждый сотрудник обязан понимать и соблюдать процедуры, описанные в данном документе, чтобы защитить конфиденциальность информации о членах программы.

3. Определения

В рамках данной политики под “конфиденциальной информацией участника” понимается любая личная, медицинская или финансовая информация, которая может идентифицировать участника. Сюда входит защищенная медицинская информация (PHI), как определено в HIPAA, которая включает любую информацию о состоянии здоровья, предоставлении медицинских услуг или оплате медицинских услуг, которая может быть связана с конкретным человеком. “Уполномоченный персонал” - это лица, которым предоставлен доступ к конфиденциальной информации, поскольку это необходимо для эффективного выполнения ими своих должностных обязанностей.

4. Программное заявление

Мы обязуемся защищать всю конфиденциальную информацию о членах от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Доступ к такой информации строго контролируется и предоставляется только уполномоченному персоналу, которому она необходима для выполнения своих обязанностей. Несанкционированное разглашение конфиденциальной информации запрещено и может повлечь за собой дисциплинарные меры, вплоть до увольнения. От всех сотрудников ожидается, что они будут действовать в соответствии с этой политикой и соблюдать высочайшие стандарты конфиденциальности.

5. Процедуры

5.1 Контроль доступа

Доступ к конфиденциальной информации участников тщательно контролируется, чтобы обеспечить доступ к ней только уполномоченного персонала. Мы придерживаемся принципа наименьших привилегий, предоставляя сотрудникам минимальный уровень доступа, необходимый для выполнения их должностных обязанностей. Для доступа к электронным системам, содержащим конфиденциальную информацию, требуются защищенные учетные данные, которые не должны передаваться или раскрываться другим лицам. Регулярно проводятся аудиты для проверки и корректировки прав доступа, чтобы они оставались адекватными по мере изменения ролей и обязанностей.

5.2 Физическая безопасность

Физические документы, содержащие конфиденциальную информацию, хранятся в безопасных местах, например в закрытых шкафах или помещениях с контролируемым доступом. Рабочие места должны быть защищены путем запирания, когда они находятся без присмотра, а экраны компьютеров должны быть расположены таким образом, чтобы предотвратить несанкционированный просмотр посетителями или другими сотрудниками, не имеющими права доступа. Доступ в помещения, где хранится конфиденциальная информация, имеют только уполномоченные сотрудники, а посетители должны всегда находиться в сопровождении.

5.3 Электронная безопасность

Вся электронная конфиденциальная информация защищена с помощью шифрования при хранении и передаче. Доступ к нашим электронным системам осуществляется через безопасные, защищенные паролем сети, оснащенные брандмауэрами и антивирусной защитой. Сотрудники обязаны использовать надежные пароли и регулярно их менять. Регулярно создаются и надежно хранятся резервные копии электронных данных, чтобы предотвратить их потерю в результате системных сбоев или аварийных ситуаций. Обновления и исправления безопасности своевременно устанавливаются на все системы для защиты от уязвимостей.

5.4 Передача данных

При передаче конфиденциальной информации используются только защищенные каналы, такие как зашифрованная электронная почта или защищенные протоколы передачи файлов (SFTP). Перед передачей любой конфиденциальной информации персонал должен проверить личность получателя, чтобы гарантировать, что она будет передана только уполномоченным лицам. Ни при каких обстоятельствах конфиденциальная информация не должна передаваться по незащищенным каналам или неавторизованным лицам.

5.5 Утилизация данных

Правильная утилизация конфиденциальной информации необходима для обеспечения безопасности. Электронные данные должны быть окончательно удалены с помощью безопасных методов удаления, исключающих возможность восстановления, таких как программное обеспечение для стирания данных или физическое уничтожение носителей. Физические документы, содержащие конфиденциальную информацию, должны быть уничтожены путем измельчения или сжигания, чтобы исключить возможность восстановления или извлечения информации. Необходимо вести соответствующие записи об уничтожении данных.

5.6 Обучение и информированность

Все новые сотрудники должны пройти курс обучения, в котором рассматриваются политика конфиденциальности, процедуры и юридические обязательства. Это обучение гарантирует, что сотрудники понимают важность сохранения конфиденциальности и конкретные шаги, которые они должны предпринять для защиты информации о членах. Постоянное обучение проводится в рамках ежегодных курсов повышения квалификации и информирования о любых изменениях в политике и правилах. Сотрудников поощряют быть в курсе лучших практик в области информационной безопасности. Все сотрудники должны подписать соглашения о конфиденциальности, подтверждающие их ответственность за работу с конфиденциальной информацией.

5.7 Отчетность об инцидентах и реагирование на них

В случае подозрения или фактического нарушения конфиденциальности персонал должен немедленно сообщить о случившемся сотруднику по соблюдению нормативно-правовых требований или уполномоченному лицу. Будет проведено быстрое и тщательное расследование, чтобы оценить факт нарушения, определить его последствия и принять меры по снижению рисков. Это может включать меры по локализации нарушения, восстановлению утраченных данных и предотвращению будущих инцидентов. Затронутые члены и соответствующие органы будут уведомлены в соответствии с требованиями закона, следуя установленным протоколам уведомления о нарушении. Будет вестись документация об инциденте и мерах реагирования.

5.8 Права членов

У членов клуба есть особые права, касающиеся их личной информации. Они имеют право на доступ к своей личной информации по запросу и на своевременное получение копии своих записей. При обнаружении неточностей участники могут запросить исправления своей информации, и мы обязаны внести соответствующие изменения. Мы предоставляем участникам уведомление о конфиденциальности, в котором объясняется, как используется и защищается их информация, что обеспечивает прозрачность и соответствие требованиям законодательства. Участники также имеют право запросить ограничения на определенное использование и раскрытие их информации, и мы по возможности удовлетворим такие запросы.

6. Соблюдение и исполнение

Для обеспечения соблюдения этой политики регулярно проводятся аудиты соответствия. В ходе этих проверок проверяются журналы доступа, записи об обучении и меры безопасности, чтобы выявить любые области несоответствия или потенциальные улучшения. Нарушения данной политики воспринимаются серьезно и могут повлечь за собой дисциплинарные меры, вплоть до увольнения. Все сотрудники обязаны соблюдать все соответствующие законы и правила, и их несоблюдение может также привести к юридическим последствиям. Руководство несет ответственность за соблюдение данной политики и принятие мер по исправлению ситуации в случае ее нарушения.

7. Обязанности

Все сотрудники несут ответственность за сохранение конфиденциальности информации о членах клуба и за сообщение о любых нарушениях или подозрительных действиях в соответствующие органы. Сотрудники должны проявлять бдительность и инициативу в защите конфиденциальной информации, следуя всем процедурам и передовым методам, изложенным в данной политике. Руководство отвечает за то, чтобы члены коллектива понимали и соблюдали политику конфиденциальности, предоставляя поддержку и ресурсы по мере необходимости. Ответственный за соблюдение требований контролирует реализацию этой политики, включая разработку программ обучения, проведение аудитов и управление процедурами реагирования на инциденты.

8. Ссылки

Эта политика опирается на ряд ключевых законов и нормативных актов, в том числе:

• Сайт Закон о переносимости и подотчетности медицинского страхования (HIPAA), который устанавливает национальные стандарты защиты медицинской информации.
• Сайт Калифорнийский закон о конфиденциальности медицинской информации (CMIA), который обеспечивает дополнительную защиту медицинской информации в штате Калифорния.
• Сайт Руководство по программе CalAIM ECM и CS, в которых изложены конкретные требования к управлению и защите информации участников в рамках программы.

9. Обзор и пересмотр

Эта политика будет пересматриваться ежегодно или по мере необходимости в связи с изменениями в законодательстве, организационными корректировками или выявленными недостатками. Процесс пересмотра будет включать в себя оценку эффективности текущих процедур, учет отзывов персонала и постоянное обновление информации об изменениях в законодательстве и технологиях. Любые обновления или изменения будут незамедлительно доводиться до сведения всего персонала, чтобы обеспечить постоянное соответствие и осведомленность. Сотрудникам рекомендуется вносить свой вклад в совершенствование политики и ее реализации.

1. Назначение

Цель данной политики - установить комплексный процесс надзора за применением политики конфиденциальности в рамках программы CalAIM Enhanced Care Management & Community Support (ECM & CS). Эта политика обеспечивает полное соответствие организации всем применимым федеральным законам и законам штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и правила конфиденциальности штата Калифорния. Применяя структурированный подход, мы стремимся обеспечить конфиденциальность и безопасность защищенной медицинской информации (PHI) и персонально идентифицируемой информации (PII), тем самым сохраняя доверие наших бенефициаров и заинтересованных сторон.

2. Область применения

Эта политика распространяется на всех сотрудников, подрядчиков, волонтеров и сторонних партнеров, которые участвуют в программе CalAIM ECM & CS и имеют доступ к PHI или PII. Важно, чтобы каждый сотрудник, входящий в эту сферу, понимал свои обязанности и придерживался процедур, описанных в данной политике, чтобы обеспечить конфиденциальность, целостность и доступность конфиденциальной информации.

3. Определения

• Защищенная медицинская информация (PHI): Любая информация, связанная с состоянием здоровья человека, предоставлением медицинских услуг или оплатой медицинских услуг, которая может быть привязана к конкретному человеку. Сюда входят медицинские карты, информация о выставлении счетов и любые другие данные, идентифицирующие человека и относящиеся к его здоровью.
• Лично идентифицируемая информация (PII): Информация, которая может быть использована для идентификации, связи или определения местонахождения отдельного человека или для идентификации человека в контексте. Сюда могут входить имена, адреса, номера социального страхования и другие личные данные.
• Программа CalAIM ECM & CS: Программа California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support, которая предназначена для предоставления комплексных услуг по управлению уходом бенефициарам Medi-Cal, особенно тем, у кого сложные потребности.

4. Роли и обязанности

Ответственный за конфиденциальность: Сотрудник по вопросам конфиденциальности отвечает за контроль соблюдения всех законов и нормативных актов о конфиденциальности в рамках программы ECM & CS. Это включает в себя проведение регулярных аудитов и оценок для обеспечения эффективной реализации политики конфиденциальности. Сотрудник по вопросам конфиденциальности занимается урегулированием любых инцидентов или нарушений конфиденциальности, координирует расследования и при необходимости осуществляет корректирующие действия. Он выступает в качестве основного контактного лица по всем вопросам, связанным с конфиденциальностью, и предоставляет сотрудникам и подрядчикам рекомендации по передовому опыту.

Руководитель программы: Менеджер программы отвечает за внедрение политики конфиденциальности в рамках программы ECM & CS. Он следит за тем, чтобы сотрудники проходили соответствующее обучение и получали ресурсы для понимания и соблюдения требований конфиденциальности. Руководитель программы сотрудничает с отделом конфиденциальности

Сотрудник, отвечающий за решение любых вопросов, связанных с несоблюдением требований, и за продвижение культуры осознания конфиденциальности в рамках всей программы.

Все сотрудники и подрядчики: Каждый человек, имеющий доступ к PHI или PII в рамках программы ECM & CS, обязан строго придерживаться всех политик и процедур конфиденциальности. Сотрудники и подрядчики должны незамедлительно сообщать о любых предполагаемых нарушениях или случаях несоблюдения сотруднику по вопросам конфиденциальности или уполномоченному лицу. Они несут ответственность за сохранность конфиденциальной информации и соблюдение установленных протоколов ее использования, раскрытия и уничтожения.

5. Подробности политики

5.1 Применение политик конфиденциальности

Контроль доступа: Доступ к PHI и PII ограничен уполномоченным персоналом, которому эта информация необходима для выполнения своих должностных обязанностей. Организация внедряет контроль доступа на основе ролей, обеспечивая лицам минимально необходимый доступ для выполнения их обязанностей. Несанкционированный доступ, использование или раскрытие конфиденциальной информации строго запрещены и подлежат дисциплинарному взысканию.

Обработка данных: PHI и PII должны использоваться и раскрываться только для разрешенных целей, таких как лечение, оплата и медицинские операции, как определено в HIPAA. Чувствительная информация должна надежно храниться как в физической, так и в электронной форме и передаваться утвержденными методами, включая шифрование и защищенные каналы связи. Сотрудники должны следить за тем, чтобы PHI и PII не оставались без присмотра и не были доступны для неавторизованных лиц как на рабочем месте, так и за его пределами.

Соглашения о конфиденциальности: Все сотрудники и подрядчики обязаны подписывать соглашения о конфиденциальности в качестве условия найма или привлечения к работе. В этих соглашениях излагаются обязательства сотрудника по защите PHI и PII и оговариваются последствия нарушения этих обязательств. Соглашения о конфиденциальности хранятся в архиве и подлежат исполнению в течение всего срока сотрудничества сотрудника с организацией.

5.2 Процесс надзора

Обучение и образование: Организация обязывает всех новых сотрудников проходить комплексное обучение по вопросам конфиденциальности, прежде чем им будет предоставлен доступ к PHI или PII. Это обучение охватывает соответствующие законы и нормативные акты, политику организации и передовые методы защиты конфиденциальной информации. Кроме того, для всех сотрудников ежегодно проводятся курсы повышения квалификации, чтобы закрепить их понимание и проинформировать их о любых обновлениях или изменениях в политике конфиденциальности.

Мониторинг и аудит: Сотрудник по вопросам конфиденциальности регулярно проводит аудиторские проверки для оценки соблюдения политики конфиденциальности и выявления потенциальных областей риска. Эти проверки могут включать просмотр журналов доступа, мониторинг передачи данных и оценку эффективности мер безопасности. Организация использует средства мониторинга для обнаружения несанкционированного доступа или необычных действий, которые могут свидетельствовать о нарушении или несоблюдении требований.

Оценка рисков: Периодически проводятся оценки рисков для выявления уязвимостей в работе с PHI и PII. В ходе этих оценок оценивается вероятность и потенциальное воздействие различных угроз, таких как несанкционированный доступ, утечка данных или потеря целостности данных. На основе полученных результатов организация внедряет стратегии по снижению рисков, например, усиливает средства контроля безопасности, обновляет политику или проводит дополнительное обучение персонала.

Обзор политики: Политики конфиденциальности пересматриваются не реже одного раза в год, чтобы обеспечить их соответствие действующим законам, нормативным актам и передовым отраслевым практикам. Изменения в законодательстве, технологиях или организационных процессах могут потребовать внесения изменений в политику. Любые изменения утверждаются высшим руководством и незамедлительно доводятся до сведения всех заинтересованных сторон, а при необходимости проводится дополнительное обучение.

5.3 Отчетность и управление инцидентами

Сообщение о происшествиях: Сотрудники и подрядчики обязаны сообщать о любых предполагаемых или подтвержденных случаях утечки PHI или PII сразу после их обнаружения. Сообщения следует направлять сотруднику по вопросам конфиденциальности, используя стандартные процедуры организации по информированию об инцидентах. Оперативное сообщение позволяет организации принять быстрые меры по локализации и смягчению последствий инцидента.

Реагирование на инциденты: Получив сообщение о потенциальном нарушении, сотрудник по вопросам конфиденциальности начинает расследование, чтобы определить характер и масштаб инцидента. Организация следует определенному плану реагирования на инцидент, который включает в себя шаги по локализации, устранению угрозы, восстановлению систем и общению с пострадавшими сторонами. Уведомления частных лиц и регулирующих органов осуществляются в соответствии с требованиями законодательства, а все предпринятые действия тщательно документируются.

5.4 Коммуникация и информированность

Распространение политики: Организация гарантирует, что политика конфиденциальности и соответствующие документы легко доступны для всех сотрудников и подрядчиков. С политикой можно ознакомиться в интранете организации, справочниках сотрудников и на вводных занятиях. Регулярные коммуникации, такие как информационные бюллетени или собрания коллектива, используются для разъяснения важности конфиденциальности, а также для освещения любых обновлений или напоминаний.

Механизмы обратной связи: Для сотрудников установлены открытые каналы связи, по которым они могут оставлять отзывы или предложения относительно практики защиты конфиденциальности. Это могут быть анонимные опросы, ящики для предложений или прямая связь с сотрудником по вопросам конфиденциальности или руководством. Организация ценит вклад сотрудников и использует отзывы для совершенствования политики и процедур защиты конфиденциальности.

6. Соответствие требованиям

Исполнение: Организация следит за соблюдением политики конфиденциальности с помощью установленных дисциплинарных процедур. Несоблюдение может повлечь за собой дисциплинарные меры, вплоть до увольнения. Для подрядчиков и партнеров нарушение политики конфиденциальности может привести к расторжению контрактов и возможным судебным разбирательствам. Организация обязуется привлекать всех сотрудников к ответственности за свои действия, чтобы поддерживать культуру соблюдения и честности.

Юридические обязательства: Организация обязана соблюдать все применимые федеральные законы и законы штата о конфиденциальности, включая HIPAA и Калифорнийский закон о конфиденциальности потребителей (CCPA). Соблюдение этих законов является не только юридическим требованием, но и необходимым условием сохранения доверия со стороны наших бенефициаров и заинтересованных сторон. Организация в полной мере сотрудничает с регулирующими органами во время проверок соответствия или расследований и принимает необходимые корректирующие меры для устранения любых обнаруженных нарушений.

7. Пересмотр и обновление политики

Эта политика будет пересматриваться ежегодно или по мере необходимости в связи с изменениями в законах, нормативных актах или организационных требованиях. Процесс пересмотра включает в себя оценку эффективности текущей политики, учет отзывов сотрудников и заинтересованных сторон, а также включение любых новых правовых или технологических изменений. Обновления политики утверждаются старшим руководством и своевременно доводятся до сведения всех сотрудников и подрядчиков. Для того чтобы все понимали и могли эффективно внедрять изменения, проводится обучение и предоставляются соответствующие ресурсы.

8. Ссылки

Эта политика основана на следующих законах, нормативных актах и руководствах и соответствует им:

• Закон о переносимости и подотчетности медицинского страхования (HIPAA): Федеральное законодательство, обеспечивающее конфиденциальность и безопасность данных для защиты медицинской информации.
• Калифорнийский закон о конфиденциальности потребителей (CCPA): Закон штата, расширяющий права жителей Калифорнии на неприкосновенность частной жизни и защиту прав потребителей.
• Руководство по программе CalAIM ECM & CS: Руководящие принципы, предоставляемые штатом для реализации и функционирования программы расширенного управления уходом и общественной поддержки.
• Политики конфиденциальности и безопасности организации: Внутренние правила, регулирующие работу с конфиденциальной информацией и определяющие приверженность организации принципам конфиденциальности и безопасности.

1. Назначение

Основной целью данной политики является определение обязанностей всех сотрудников по защите защищенной медицинской информации (PHI) в рамках программы CalAIM Enhanced Care Management & Community Support (ECM & CS). Придерживаясь этой политики, мы стремимся обеспечить полное соблюдение всех соответствующих федеральных законов и законов штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Калифорнийский закон о конфиденциальности медицинской информации (CMIA). Защита PHI - это не только требование закона, но и фундаментальный аспект сохранения доверия со стороны людей, которых мы обслуживаем.

2. Область применения

Эта политика распространяется на всех сотрудников, подрядчиков, волонтеров и любых других лиц, имеющих доступ к PHI в рамках программы CalAIM ECM & CS. Независимо от вашей роли или уровня в организации, если вы имеете дело с PHI, вы обязаны соблюдать рекомендации и процедуры, изложенные в данной политике.

3. Определения

Защищенная медицинская информация (PHI): PHI - это любая индивидуально идентифицируемая медицинская информация, которая передается или хранится в любой форме или на любом носителе. Сюда входят электронные записи, бумажные документы и устные сообщения, содержащие персональные медицинские данные.

Персонал: Для целей данной политики “персонал” охватывает всех лиц, работающих в рамках программы CalAIM ECM & CS. Сюда входят сотрудники, работающие полный и неполный рабочий день, независимые подрядчики, стажеры и волонтеры, которые могут вступать в контакт с PHI.

Программа CalAIM ECM & CS: Программа California Advancing and Innovating Medi-Cal's Enhanced Care Management & Community Support Program предназначена для предоставления комплексных услуг по управлению уходом бенефициарам Medi-Cal со сложными медицинскими потребностями. Программа нацелена на предоставление индивидуально ориентированного ухода, направленного как на медицинские, так и на социальные детерминанты здоровья.

4. Программное заявление

Все сотрудники несут личную и профессиональную ответственность за защиту конфиденциальности, целостности и доступности PHI. Это означает активное предотвращение несанкционированного доступа, использования или раскрытия PHI во всех формах. Соблюдение данной политики является обязательным, и сотрудники должны ознакомиться со всеми соответствующими процедурами, чтобы обеспечить надлежащее обращение с PHI в любое время.

5. Обязанности персонала

5.1 Контроль доступа

Сотрудники должны получать доступ к PHI строго по принципу "необходимо знать", что непосредственно соответствует их должностным обязанностям. Доступ к PHI сверх того, что необходимо для выполнения вашей роли, запрещен. Каждый сотрудник должен использовать уникальные идентификационные данные пользователя и надежные пароли для доступа к электронным системам, содержащим PHI. Обмен учетными данными с другими лицами строго запрещен. Если устройства, содержащие PHI, остаются без присмотра, сотрудники должны обеспечить их блокировку или выход из системы, чтобы предотвратить несанкционированный доступ.

5.2 Конфиденциальность и конфиденциальность

Соблюдение конфиденциальности PHI имеет первостепенное значение. Сотрудники должны раскрывать PHI только уполномоченным лицам, которые имеют законную необходимость в этой информации в ходе выполнения своих обязанностей. При передаче PHI в электронном виде сотрудники должны использовать одобренные, безопасные методы связи, такие как зашифрованная электронная почта или защищенные порталы. Устные разговоры, касающиеся PHI, должны вестись в приватной обстановке, чтобы предотвратить случайное раскрытие информации. Избегайте обсуждения PHI в общественных местах или в любых местах, где разговоры могут быть подслушаны посторонними лицами.

5.3 Использование и раскрытие PHI

Сотрудники могут использовать PHI исключительно в целях, разрешенных законом, таких как лечение, оплата и медицинские операции. Любое использование или раскрытие PHI вне этих разрешенных целей требует четкого письменного разрешения от человека. Сотрудники должны получить такое разрешение, прежде чем приступать к раскрытию информации. Кроме того, сотрудники несут ответственность за ведение точных записей о любом раскрытии PHI, как того требует закон, обеспечивая прозрачность и подотчетность в обращении с PHI.

5.4 Физические и электронные средства защиты

Защита PHI требует как физических, так и электронных мер безопасности. Физические записи, содержащие PHI, должны храниться в запертых шкафах или помещениях с контролируемым доступом для предотвращения несанкционированного проникновения. Электронные PHI должны храниться на защищенных серверах с соответствующими протоколами безопасности, включая шифрование, где это применимо. Сотрудники должны убедиться, что все устройства, используемые для доступа к PHI, такие как компьютеры и мобильные устройства, оснащены современными средствами защиты, включая антивирусное программное обеспечение и брандмауэры.

5.5 Утилизация данных

Правильная утилизация PHI очень важна для предотвращения несанкционированного доступа к информации после того, как она больше не нужна. Бумажные документы, содержащие PHI, должны быть уничтожены или сожжены перед утилизацией. Что касается электронных данных, то сотрудники должны использовать утвержденные методы для окончательного удаления PHI с устройств перед их утилизацией или повторным использованием. Простого удаления файлов недостаточно; необходимо сделать данные невосстановимыми.

5.6 Отчетность и реагирование на инциденты

В случае подозрения или фактического нарушения PHI сотрудники обязаны немедленно сообщить об этом инциденте руководителю отдела контроля соответствия или уполномоченному лицу. Оперативное сообщение позволяет организации принять быстрые меры по снижению потенциального ущерба. Сотрудники должны в полной мере сотрудничать с любыми расследованиями, связанными с потенциальными нарушениями, предоставляя точную и полную информацию по запросу.

5.7 Обучение и соблюдение требований

Все сотрудники должны ежегодно проходить обязательное обучение по защите PHI и соблюдению требований HIPAA. Это обучение предназначено для того, чтобы сотрудники были в курсе передового опыта, требований законодательства и любых обновлений в политике и процедурах. Сотрудники также должны быть в курсе изменений в законах и нормативных актах, которые могут повлиять на то, как PHI обрабатывается в организации.

5.8 Санкции за несоблюдение требований

Несоблюдение этой политики может иметь серьезные последствия. Сотрудники, нарушившие эту политику, могут столкнуться с дисциплинарными мерами, которые могут включать устные или письменные предупреждения, отстранение от работы или увольнение, в зависимости от тяжести нарушения. Кроме того, несанкционированное раскрытие PHI может повлечь за собой юридические санкции, включая штрафы и уголовные обвинения. Важно, чтобы сотрудники понимали всю серьезность этих обязанностей и потенциальные последствия их несоблюдения.

6. Процедуры

6.1 План реагирования на инциденты

В случае нарушения PHI сотрудники должны следовать плану реагирования на инциденты, принятому в организации. Это предполагает немедленное информирование, локализацию нарушения, если это возможно, и документирование всех соответствующих деталей. В плане реагирования на инцидент указаны конкретные шаги, которые необходимо предпринять для устранения нарушения, включая уведомление затронутых лиц и регулирующих органов, как того требует закон.

6.2 Аудит и мониторинг

Организация проводит регулярные проверки на предмет соблюдения политики защиты PHI. От сотрудников может потребоваться участие в таких проверках путем предоставления доступа к записям или системам и ответов на вопросы о своей практике. Аудиты помогают выявить потенциальные недостатки в мерах безопасности и предоставляют возможности для их улучшения.

6.3 Использование личных устройств

Сотрудники, желающие использовать личные устройства для доступа к PHI, должны получить предварительное разрешение от организации. Разрешенные личные устройства должны соответствовать стандартам безопасности организации, которые могут включать установку специального защитного программного обеспечения, включение шифрования устройства и согласие на возможность удаленного стирания данных в случае потери или кражи устройства.

7. Соблюдение и исполнение

Чтобы поддерживать высочайшие стандарты защиты PHI, организация будет регулярно проводить проверки и оценки соответствия. От сотрудников ожидается полное содействие этим усилиям. Любые нарушения данной политики будут незамедлительно рассматриваться в соответствии с дисциплинарными процедурами организации. Дисциплинарные меры принимаются не только для исправления индивидуального поведения, но и для поддержания целостности обязательств организации по защите PHI.

8. Обзор и пересмотр

Эта политика будет ежегодно подвергаться тщательному пересмотру, чтобы обеспечить ее соответствие изменениям в законах, нормативных актах и организационной практике. Сотрудникам предлагается оставлять отзывы о политике и вносить предложения по ее улучшению. Обновления политики будут доведены до сведения всех сотрудников, которые обязаны ознакомиться с любыми изменениями.

1. Назначение

Целью данной политики является установление всеобъемлющих руководящих принципов и процедур для решения проблемы небрежного использования или злоупотребления защищенной медицинской информацией (PHI) в рамках программы CalAIM Enhanced Care Management & Community Support (ECM & CS). Данная политика направлена на обеспечение строгого соблюдения всех применимых федеральных законов и законов штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Калифорнийский закон о конфиденциальности медицинской информации (CMIA). Четко определяя ожидания и последствия, мы стремимся защитить конфиденциальность, целостность и безопасность PHI, тем самым сохраняя доверие людей, которых мы обслуживаем.

2. Область применения

Эта политика распространяется на всех лиц, имеющих доступ к PHI в рамках программы CalAIM ECM & CS. К ним относятся, в частности, сотрудники, подрядчики, волонтеры, стажеры и деловые партнеры. Она охватывает всех, кто взаимодействует с PHI в любом качестве, будь то непосредственное обслуживание пациентов, административные функции или вспомогательные услуги.

3. Определения

Защищенная медицинская информация (PHI): Это любая информация, включая демографические данные, относящаяся к прошлому, настоящему или будущему состоянию физического или психического здоровья человека, предоставлению медицинских услуг или оплате медицинских услуг, которая может быть использована для идентификации человека. PHI может существовать в различных формах, таких как электронные записи, бумажные документы или устные сообщения.

Небрежное использование или злоупотребление: Описывает любое действие или бездействие, свидетельствующее о несоблюдении надлежащего уровня осторожности при обращении с PHI, что привело к несанкционированному доступу, раскрытию, изменению или уничтожению такой информации. Сюда входят как преднамеренные, так и непреднамеренные действия, которые ставят под угрозу конфиденциальность и безопасность PHI.

Программа CalAIM ECM & CS: Расшифровывается как California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support Program. Это инициатива штата, направленная на предоставление комплексных услуг по управлению уходом для бенефициаров Medi-Cal со сложными потребностями с акцентом на комплексный уход за человеком и улучшение показателей здоровья.

4. Программное заявление

От всего персонала, связанного с программой CalAIM ECM & CS, ожидается, что он будет обращаться с PHI с максимальной конфиденциальностью и профессионализмом. Небрежное использование или злоупотребление PHI строго запрещено. Любые нарушения этой политики приведут к дисциплинарным мерам, которые могут включать переподготовку, отстранение от работы, прекращение трудовых или договорных отношений, а также возможные юридические последствия. Организация обязуется последовательно и справедливо применять эту политику для защиты прав и конфиденциальности частных лиц, а также для соблюдения правовых и этических обязательств.

5. Процедуры

5.1. Доступ и использование PHI

Персонал имеет право доступа к PHI строго по принципу "необходимо знать", если это требуется для выполнения их конкретных должностных обязанностей. При работе с PHI сотрудники должны использовать безопасные методы передачи и хранения, такие как зашифрованная электронная почта, безопасная передача файлов и закрытые шкафы для хранения физических документов. Прежде чем раскрыть PHI, сотрудники должны проверить личность и полномочия запрашивающей стороны, чтобы убедиться в наличии у нее законных прав доступа. Все электронные устройства и системы, используемые для доступа к PHI, должны быть защищены паролем и соответствовать протоколам кибербезопасности организации.

5.2. Сообщение о нарушениях

Если человек подозревает или узнает о неправомерном использовании, несанкционированном доступе или нарушении безопасности PHI, он обязан немедленно сообщить об этом руководителю отдела контроля соответствия или уполномоченному органу. В сообщении должны быть указаны все необходимые детали, способствующие проведению тщательного расследования. Сотрудники должны в полной мере сотрудничать с любыми внутренними и внешними расследованиями, предоставляя правдивую и полную информацию, которая поможет оперативно решить проблему.

5.3. Обучение

Все сотрудники должны пройти обязательное обучение по работе с PHI, политике конфиденциальности и протоколам безопасности при приеме на работу и в дальнейшем ежегодно. Обучение охватывает такие темы, как распознавание PHI, понимание законов о конфиденциальности, надлежащие методы обработки и утилизации PHI, а также процедуры информирования о нарушениях. Сотрудники также несут ответственность за информирование о любых обновлениях или изменениях в соответствующих законах, нормативных актах или политике организации, которые могут повлиять на их обязанности.

6. Штрафы и дисциплинарные взыскания

Наказания за небрежное использование или злоупотребление PHI будут определяться в зависимости от тяжести, намерений и обстоятельств, связанных с нарушением. Организация оставляет за собой право учитывать историю соблюдения человеком правил при принятии решения о соответствующих дисциплинарных мерах.

6.1. Незначительные нарушения

Незначительные нарушения - это непреднамеренные действия, которые не могут привести к значительному ущербу, но свидетельствуют о несоблюдении надлежащих процедур. В качестве примера можно привести случайный просмотр PHI, не связанный с должностными обязанностями, или забывание выйти из системы на рабочей станции, что может привести к раскрытию информации для неавторизованных лиц.

• Первое нарушение: Человек получит устное предупреждение и будет обязан немедленно пройти переподготовку по политике и процедурам PHI.
• Второе нарушение: Сотруднику будет вынесено письменное предупреждение и предписано пройти дополнительное обучение, посвященное вопросам конфиденциальности и безопасности.
• Последующие правонарушения: Дальнейшие нарушения могут привести к отстранению от работы без сохранения заработной платы или увольнению, в зависимости от обстоятельств и общего послужного списка сотрудника.

6.2. Умеренные нарушения

Умеренные нарушения включают действия, которые потенциально могут подвергнуть PHI воздействию неавторизованных лиц или продемонстрировать пренебрежение установленными протоколами. Например, передача PHI неавторизованному персоналу или оставление физической или электронной PHI без защиты.

• Первое нарушение: Человек получит письменное предупреждение и будет обязан посещать обязательные занятия по переподготовке. В зависимости от степени тяжести, может быть рассмотрен вопрос о временном отстранении от работы.
• Второе нарушение: Сотрудник может быть отстранен от работы без сохранения заработной платы, и будет проведена переоценка его роли и привилегий доступа, чтобы определить, необходимы ли корректировки для предотвращения будущих инцидентов.
• Последующие правонарушения: Возможно расторжение трудовых или договорных соглашений, а также представление информации о человеке в профессиональные лицензионные комиссии или регулирующие органы для принятия дальнейших мер.

6.3. Серьезные нарушения

Серьезные нарушения - это преднамеренные действия или повторяющаяся халатность, которые приводят к значительному ущербу или представляют существенный риск для прав человека на конфиденциальность. В качестве примера можно привести преднамеренное раскрытие PHI с целью личной выгоды, злой умысел или неспособность исправить небрежное поведение после получения предварительных предупреждений.

• Неотложные действия: Этому человеку грозит немедленное прекращение трудовых или договорных отношений. Доступ ко всем системам и объектам организации будет незамедлительно аннулирован.
• Юридические последствия: Организация сообщит об инциденте в соответствующие регулирующие органы, такие как Управление по гражданским правам Министерства здравоохранения и социального обеспечения (OCR), и может выдвинуть против человека гражданские или уголовные обвинения. Организация также может сотрудничать с правоохранительными органами в ходе любых расследований или судебных разбирательств.

7. Обязанности

7.1. Сотрудники и подрядчики

Все сотрудники и подрядчики несут ответственность за строгое соблюдение политики и процедур в отношении PHI. Это включает в себя активную защиту PHI, ее надлежащее использование и предотвращение несанкционированного доступа или раскрытия. Сотрудники должны незамедлительно сообщать о любых предполагаемых или фактических нарушениях и принимать полноценное участие во всех необходимых тренингах и образовательных мероприятиях, чтобы оставаться в соответствии с действующим законодательством и стандартами организации.

7.2. Управление

Менеджеры и руководители отвечают за последовательное и беспристрастное соблюдение этой политики. Они должны убедиться, что их сотрудники понимают важность обеспечения безопасности PHI, и предоставить необходимые ресурсы и поддержку для соблюдения требований. Руководство должно следить за соблюдением политики своими сотрудниками, проактивно решать любые проблемы и принимать соответствующие дисциплинарные меры в случае нарушений.

7.3. Сотрудник по соблюдению требований

Сотрудник по соблюдению нормативно-правовых требований следит за реализацией и обеспечением соблюдения этой политики. Эта роль включает в себя проведение регулярных проверок, расследование сообщений о нарушениях, ведение записей об инцидентах и корректирующих действиях, а также обновление политики по мере необходимости. Специалист по соблюдению нормативно-правовых требований служит для сотрудников ресурсом для решения вопросов и проблем, связанных с обработкой PHI и соблюдением нормативно-правовых требований.

8. Мониторинг и аудит

Чтобы обеспечить постоянное соблюдение процедур обращения с PHI, организация будет проводить регулярный мониторинг и аудит. Они могут включать проверку журналов доступа, оценку мер безопасности и соблюдения требований к обучению. Любые несоответствия или области несоответствия, выявленные в ходе проверок, будут немедленно устранены. Корректирующие действия могут включать дополнительное обучение, пересмотр политики или дисциплинарные меры в соответствии с данной политикой.

9. Ссылки

Эта политика основана на следующих законах и рекомендациях и соответствует им:

• Закон о переносимости и подотчетности медицинского страхования (HIPAA) от 1996 года: Федеральный закон, устанавливающий национальные стандарты защиты медицинских карт и другой личной медицинской информации.
• Калифорнийский закон о конфиденциальности медицинской информации (CMIA): Закон штата, обеспечивающий дополнительную защиту конфиденциальности медицинской информации в Калифорнии.
• Руководство по программе CalAIM ECM & CS: Руководство для конкретного штата, в котором изложены требования и ожидания для программы расширенного управления уходом и общественной поддержки в рамках CalAIM.

10. Обзор политики

Данная политика будет подвергаться официальному пересмотру на ежегодной основе или по мере необходимости в связи с изменениями в соответствующих законах, нормативных актах или организационной практике. Процесс пересмотра будет включать оценку эффективности политики, учет отзывов заинтересованных сторон и внесение необходимых обновлений для обеспечения постоянного соответствия и защиты PHI.

1. Назначение

Конфиденциальность информации об участниках является основополагающим элементом программы CalAIM Enhanced Care Management & Community Support (ECM & CS). Данная политика разработана для того, чтобы предоставить четкие указания и процедуры для оперативного информирования о любых предполагаемых или фактических нарушениях конфиденциальности. Придерживаясь этой политики, мы обеспечиваем соблюдение требований законодательства, защищаем информацию об участниках и поддерживаем доверие, оказанное нам людьми и сообществами, которым мы служим.

2. Область применения

Эта политика распространяется на всех лиц, участвующих в программе CalAIM ECM & CS, включая сотрудников, подрядчиков, волонтеров и партнеров, которые работают с конфиденциальной информацией участников. Она охватывает все формы защищенной медицинской информации (PHI) и персонально идентифицируемой информации (PII), независимо от того, хранится ли она или передается в электронном виде, на бумаге или в устной форме.

3. Определения

Нарушение конфиденциальности: Нарушение конфиденциальности - это любое несанкционированное получение, доступ, использование или раскрытие PHI или PII, которое ставит под угрозу безопасность или конфиденциальность такой информации. Сюда относятся случаи, когда к информации получают доступ лица без соответствующего разрешения или используют ее в целях, не разрешенных политикой организации или действующим законодательством.

Защищенная медицинская информация (PHI): PHI включает в себя любую информацию о состоянии здоровья человека, предоставлении медицинских услуг или оплате медицинских услуг, которая может быть связана с конкретным человеком. Сюда входит широкий спектр данных, таких как медицинские карты, истории болезни, результаты анализов и страховая информация.

Лично идентифицируемая информация (PII): PII - это любые данные, которые позволяют идентифицировать, связаться или определить местонахождение одного человека, или которые могут быть использованы для идентификации одного человека с помощью других источников. В качестве примера можно привести имена, адреса, номера социального страхования и даты рождения.

4. Программное заявление

Весь персонал обязан соблюдать высочайшие стандарты конфиденциальности в отношении информации об участниках. В случае предполагаемого или фактического нарушения конфиденциальности необходимо немедленно сообщить о случившемся. Своевременное сообщение необходимо для того, чтобы начать оперативные действия по устранению последствий, выполнить юридические обязательства и свести к минимуму потенциальный ущерб для пострадавших лиц. Несвоевременное сообщение может усугубить последствия нарушения и привести к несоблюдению нормативных требований.

5. Процедуры информирования о нарушениях

Немедленные действия после обнаружения

При подозрении или подтверждении факта нарушения сотрудник, которому стало известно об инциденте, должен немедленно принять меры и сообщить о нем. Первым контактным лицом должен быть непосредственный руководитель. Сообщение должно быть сделано в устной форме и как можно скорее, чтобы обеспечить оперативность действий. Если руководитель недоступен или если человек считает, что сообщать ему об этом нецелесообразно, следует обратиться непосредственно к уполномоченному по вопросам конфиденциальности или в отдел по соблюдению нормативных требований.

Предоставление подробной информации

Сообщая о нарушении, человек должен предоставить исчерпывающую информацию, чтобы облегчить эффективное реагирование. Это включает в себя:

• Описание инцидента: Четкий и лаконичный отчет о том, что произошло, включая то, как и когда было обнаружено нарушение.
• Типы скомпрометированной информации: Определение конкретных типов PHI или PII, которые были вовлечены в утечку.
• Затронутые лица: Информация о количестве и, если известно, личности людей, чья информация была скомпрометирована.
• Приняты срочные меры: Следует описать все меры, которые уже были приняты для локализации или смягчения последствий нарушения.

Заполнение отчета о происшествии

После первоначального устного сообщения человек должен заполнить официальную форму отчета о происшествии, предоставленную отделом по соблюдению нормативных требований. В этом документе должны быть отражены все известные подробности нарушения, и он должен быть представлен незамедлительно. Точная документация имеет решающее значение для соблюдения правовых норм, а также для руководства последующим расследованием и ответными мерами.

Соблюдение конфиденциальности при составлении отчета

На протяжении всего процесса передачи информации необходимо соблюдать строгую конфиденциальность. Детали нарушения не должны разглашаться посторонним лицам. Обсуждение инцидента вне официальных каналов отчетности и расследования может привести к дальнейшему несанкционированному раскрытию информации и поставить под угрозу целостность расследования.

6. Процесс расследования

Начало расследования

Ответственный за конфиденциальность обязан начать расследование в течение 24 часов после получения сообщения о нарушении. Цель расследования - определить масштаб, причину и потенциальное воздействие нарушения. В ходе расследования также выясняется, стало ли нарушение системным или единичным.

Сотрудничество и поддержка

От всех сотрудников ожидается полное сотрудничество в ходе расследования. Это включает в себя предоставление дополнительной информации по запросу, участие в опросах и помощь в выявлении факторов, способствовавших нарушению. Сотрудничество необходимо для проведения тщательного и эффективного расследования.

Оценка и документация

В ходе расследования будет оценен масштаб нарушения, включая количество пострадавших лиц и чувствительность скомпрометированной информации. Все результаты будут тщательно задокументированы, а документация будет надежно храниться для сохранения конфиденциальности и соблюдения требований законодательства.

7. Смягчение последствий и уведомление

Меры по немедленному сдерживанию

После подтверждения факта нарушения будут предприняты незамедлительные меры по локализации инцидента и предотвращению дальнейшего несанкционированного доступа или раскрытия информации. Это может включать в себя защиту физических записей, отключение скомпрометированных учетных записей пользователей или другие действия, соответствующие характеру нарушения.

Соблюдение правовых норм и уведомления

Организация будет соблюдать все юридические обязательства в отношении уведомлений о нарушениях. Это включает в себя:

• Уведомление затронутых лиц: Лица, чья информация была скомпрометирована, будут своевременно уведомлены, как того требует закон. Уведомления будут включать информацию о нарушении, шагах, которые человек может предпринять для своей защиты, и о том, что организация делает для разрешения ситуации.
• Отчетность перед регулирующими органами: Если потребуется, организация сообщит о нарушении в соответствующие регулирующие органы, такие как Министерство здравоохранения и социального обеспечения (HHS) в соответствии с правилами HIPAA.
• Привлечение правоохранительных органов: Если возникнут подозрения в преступной деятельности, об этом будут уведомлены соответствующие правоохранительные органы.

Корректирующие действия

На основании результатов расследования организация предпримет корректирующие действия для предотвращения будущих нарушений. Это может включать пересмотр политик и процедур, усиление мер безопасности, дополнительное обучение персонала или другие необходимые меры.

8. Обучение и образование

Программы обязательного обучения

Все сотрудники обязаны проходить ежегодное обучение по вопросам конфиденциальности и безопасности данных. В ходе обучения будут рассмотрены следующие вопросы:

• Понимание PHI и PII: Определения и примеры для обеспечения ясности в отношении того, что является конфиденциальной информацией.
• Юридические требования: Обзор законов и нормативных актов, регулирующих конфиденциальность, таких как HIPAA и законы конкретных штатов.
• Выявление и сообщение о нарушениях: Руководство по распознаванию потенциальных нарушений и процедурам информирования о них.
• Лучшие практики по обеспечению безопасности данных: Стратегии защиты конфиденциальной информации в повседневной работе.

Непрерывное образование

В дополнение к ежегодному обучению организация будет проводить постоянное обучение с помощью обновлений, информационных бюллетеней или собраний, чтобы информировать персонал об изменениях в политике, возникающих угрозах или новых нормативных требованиях.

9. Политика нетерпимости

Защита добросовестной отчетности

Организация стремится создать условия, в которых сотрудники могут сообщать о нарушениях, не опасаясь преследований. Лица, добросовестно сообщающие о предполагаемых или фактических нарушениях, защищены данной политикой. Ответные меры в отношении любого лица, сообщившего о нарушении, строго запрещены и не допускаются.

Последствия репрессий

Любой акт преследования влечет за собой дисциплинарные меры, вплоть до расторжения трудовых или договорных соглашений. Сотрудникам рекомендуется сообщать о любых подозрениях в преследовании в отдел по соблюдению нормативно-правовых требований или в отдел кадров.

10. Дисциплинарные меры

Ответственность за несоблюдение

Сотрудники, не соблюдающие эту политику, могут быть привлечены к дисциплинарной ответственности. Несоблюдение включает в себя несообщение о нарушениях, неправильное обращение с конфиденциальной информацией или препятствование расследованию.

Диапазон дисциплинарных мер

Дисциплинарные меры будут соразмерны тяжести нарушения и могут включать в себя:

• Устные или письменные предупреждения: За незначительные или совершенные впервые правонарушения.
• Обязательная переподготовка: Устранение пробелов в знаниях или понимании.
• Подвеска: Временное отстранение от работы до дальнейшего расследования.
• Окончание: За серьезные или повторяющиеся нарушения.
• Юридические действия: В случаях, связанных с грубой халатностью, умышленным проступком или нарушением закона, может быть начато судебное разбирательство.

11. Обзор и обновление политики

Процесс регулярного обзора

Эта политика будет подвергаться официальному пересмотру не реже одного раза в год или чаще, если этого потребуют изменения в законах, нормативных актах или организационной практике. В ходе пересмотра будет оцениваться эффективность политики и включаться любые необходимые обновления.

Сообщение об изменениях

Любые изменения в политике будут незамедлительно доведены до сведения всего персонала. Обновления будут распространяться по официальным каналам связи, а для обеспечения их понимания и соблюдения могут проводиться дополнительные тренинги или информационные занятия.

1. Назначение

Цель данной политики - установить всеобъемлющие принципы и процедуры защиты физического доступа к объектам, участвующим в программе California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Защита физического доступа имеет решающее значение для обеспечения безопасности сотрудников, клиентов и посетителей, а также для защиты конфиденциальной информации и активов организации. Данная политика направлена на снижение рисков, связанных с несанкционированным проникновением, кражами и потенциальными нарушениями, которые могут поставить под угрозу целостность нашей деятельности и соответствие юридическим и нормативным требованиям.

2. Область применения

Эта политика распространяется на всех лиц, имеющих доступ к физическим объектам [Название компании], где проводятся мероприятия в рамках программы CalAIM ECM & CS. Сюда входят сотрудники всех уровней, подрядчики, поставщики, временные работники, стажеры, волонтеры и посетители. Политика распространяется на все физические объекты, находящиеся в собственности, аренде или под управлением компании, включая офисы, клиники, центры обработки данных и любые другие места, где ведется деятельность компании.

3. Определения

• Уполномоченный персонал: Лица, получившие разрешение на доступ в определенные зоны объекта в соответствии с их должностными обязанностями и после соответствующей процедуры утверждения.
• Чувствительные зоны: Места на объекте, где хранится конфиденциальная информация, критически важные системы или проводятся операции ограниченного доступа. В качестве примера можно привести серверные комнаты, места хранения документации и кабинеты руководителей.
• Контроль физического доступа: Меры безопасности, такие как замки, электронные системы контроля доступа, биометрические сканеры, персонал службы безопасности и оборудование для наблюдения, используемые для регулирования входа на объект и выхода с него.

4. Подробности политики

4.1 Средства контроля физической безопасности

Все точки входа на объект должны быть защищены, чтобы предотвратить несанкционированный доступ. Это включает установку и обслуживание физических барьеров, таких как закрытые двери, ворота безопасности и турникеты. На объекте должны использоваться современные системы контроля доступа, включая карточки-ключи, биометрические сканеры или персональные идентификационные номера (PIN), для аутентификации лиц, желающих попасть внутрь, особенно в чувствительные зоны.

На всех запретных зонах должны быть установлены четкие и заметные таблички с указанием того, что доступ туда ограничен только для уполномоченного персонала, и требованиями для входа. По периметру и у всех входов должно быть обеспечено достаточное освещение для улучшения видимости и предотвращения несанкционированного доступа. Сотрудники службы безопасности могут находиться в ключевых точках для наблюдения за входом, помощи в выполнении процедур контроля доступа и реагирования на инциденты.

Для обеспечения оптимальной функциональности всех средств физической защиты необходимо регулярно проводить их осмотр и техническое обслуживание. О любых дефектах или неисправностях необходимо немедленно сообщать группе управления объектами и оперативно устранять их, чтобы сохранить целостность мер безопасности.

4.2 Процедуры контроля доступа

Права доступа к объекту и его чувствительным зонам предоставляются на основе принципа наименьших привилегий. Лицам предоставляется минимальный уровень доступа, необходимый для выполнения их конкретных должностных обязанностей. Перед предоставлением доступа необходимо подать официальный запрос, который должен быть одобрен руководителем сотрудника и отделом безопасности. Этот процесс утверждения гарантирует, что только те, кто имеет законную необходимость, могут получить доступ к конфиденциальным зонам.

Обмен учетными данными доступа, такими как карточки-ключи или PIN-коды, строго запрещен. Каждый человек несет ответственность за безопасность своих учетных данных доступа и должен немедленно сообщать о потере или краже учетных данных в отдел безопасности. Оперативное информирование позволяет деактивировать скомпрометированные учетные данные для предотвращения несанкционированного доступа.

Отдел безопасности будет проводить регулярные проверки журналов доступа и уровней авторизации. Эти проверки помогают выявить любые попытки несанкционированного доступа, убедиться, что права доступа соответствуют текущим должностным обязанностям, и обнаружить нарушения, которые могут свидетельствовать о нарушении безопасности.

4.3 Управление посетителями

Все посетители учреждения должны соблюдать процедуры управления посетителями, направленные на обеспечение безопасности учреждения и его обитателей. По прибытии посетители должны зарегистрироваться на стойке регистрации, предъявив для проверки действительное удостоверение личности, выданное правительством. Им будут выданы временные идентификационные бейджи, которые необходимо носить на видном месте все время нахождения на территории.

Посетители должны находиться в сопровождении уполномоченного персонала на протяжении всего визита. Это гарантирует, что посетители не получат случайного доступа к запретным или секретным зонам и что их действия на территории объекта будут контролироваться. Посетителям, как правило, разрешается посещать нечувствительные зоны, если только они не получили от руководства четкого разрешения на доступ к определенным чувствительным зонам с законной целью.

По окончании визита посетители должны вернуть временные идентификационные бейджи и выписаться на стойке регистрации. Сотрудники стойки регистрации должны убедиться, что все посетители ушли и что ни один временный бейдж не пропал.

4.4 Обязанности сотрудников

Сотрудники играют важную роль в обеспечении физической безопасности объекта. При приеме на работу они обязаны пройти обучение по вопросам безопасности и ежегодно или по мере необходимости участвовать в повторных занятиях. В рамках этого обучения рассказывается о важности физической безопасности, процедурах доступа к конфиденциальным зонам и протоколах сообщения об инцидентах, связанных с безопасностью.

Сотрудники отвечают за сохранность конфиденциальных материалов, как физических, так и электронных. Это включает в себя запирание картотечных шкафов, сохранение документов, когда они не используются, и обеспечение блокировки рабочих мест, когда они находятся без присмотра. Сотрудники должны быть бдительными и немедленно сообщать о любых подозрительных действиях, неавторизованных лицах или нарушениях безопасности своему руководителю или в отдел безопасности.

В случае увольнения или изменения должностных обязанностей все права доступа должны быть немедленно аннулированы или скорректированы. Отдел кадров в координации с отделом безопасности отвечает за то, чтобы увольняющиеся сотрудники вернули все имущество компании, включая права доступа, и прекратили доступ к объекту и информационным системам.

4.5 Мониторинг и наблюдение

Для повышения уровня безопасности на объекте будет использоваться комплексная система мониторинга и наблюдения. Камеры наблюдения будут установлены на всех входах, выходах и в особо важных зонах. Эти камеры будут работать в соответствии со всеми применимыми законами и нормами о конфиденциальности, обеспечивая этичное и законное наблюдение.

Записи с камер наблюдения надежно хранятся в течение срока, определенного требованиями законодательства или политикой компании, как правило, не менее 90 дней. Доступ к записям с камер видеонаблюдения предоставляется только уполномоченному персоналу и используется исключительно в целях безопасности. Отдел безопасности отвечает за регулярный просмотр видеозаписей для выявления и расследования любых подозрительных действий или инцидентов, связанных с безопасностью.

Для обнаружения попыток несанкционированного доступа, взлома или других инцидентов, связанных с безопасностью, будут установлены системы сигнализации. Эти системы будут подключены к центральной станции мониторинга, на которой будут работать сотрудники службы безопасности, способные оперативно реагировать на любые сигналы тревоги.

4.6 Реагирование на чрезвычайные ситуации и инциденты

Организация стремится обеспечить безопасность всего персонала во время чрезвычайных ситуаций. Все аварийные выходы должны быть четко обозначены световыми указателями и всегда оставаться свободными от препятствий, чтобы обеспечить безопасную и быструю эвакуацию. Для каждого объекта должны быть разработаны планы эвакуации с подробным описанием процедур на случай различных чрезвычайных ситуаций, таких как пожары, стихийные бедствия или угрозы безопасности.

Эти планы эвакуации будут доведены до сведения всех сотрудников в ходе учебных занятий и вывешены на видных местах по всему предприятию. Для ознакомления сотрудников с маршрутами и процедурами эвакуации будут регулярно проводиться учения. Результаты этих учений будут использоваться для повышения эффективности планов реагирования на чрезвычайные ситуации.

В случае нарушения безопасности или чрезвычайной ситуации необходимо следовать плану реагирования на инциденты. В этом плане указаны функции и обязанности сотрудников, протоколы связи, а также меры по ликвидации последствий инцидента и восстановлению нормальной работы. На всей территории предприятия будут находиться аптечки первой помощи и контактная информация для оказания помощи в случае травм или чрезвычайных ситуаций медицинского характера.

4.7 Соблюдение и исполнение

Соблюдение этой политики является обязательным для всех сотрудников, имеющих доступ к объекту. Несоблюдение может привести к дисциплинарным мерам, включая устные или письменные предупреждения, отстранение от работы, увольнение или судебное разбирательство, в зависимости от тяжести нарушения. Организация обязуется обеспечить справедливое и последовательное соблюдение этой политики.

Компания должна обеспечить соответствие всех методов обеспечения физической безопасности действующим федеральным, государственным и местным нормативным актам, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и рекомендации, выпущенные Калифорнийским департаментом медицинского обслуживания (DHCS).

Сотрудникам рекомендуется сообщать о любых проблемах или предложениях, касающихся физической безопасности, своему руководителю или в отдел безопасности. Такие отзывы ценны для постоянного совершенствования мер безопасности.

5. Обзор политики

Данная политика будет подвергаться всестороннему пересмотру не реже одного раза в год или в случае существенных изменений в нормативной базе или организационной практике. В процесс пересмотра будут вовлечены основные заинтересованные стороны, в том числе представители отделов безопасности, кадров, юридических и операционных подразделений. Цель - обеспечить, чтобы политика оставалась эффективной, актуальной и соответствовала всем действующим законам и нормативным актам.

Любые изменения в политике будут доводиться до сведения всего персонала по официальным каналам, и при необходимости будет проводиться дополнительное обучение для обеспечения понимания и соблюдения политики.

6. Ссылки

• Правила Департамента здравоохранения Калифорнии (DHCS): Предоставляет руководящие принципы и требования к медицинским услугам в Калифорнии, которые должны соблюдаться при работе программы CalAIM ECM & CS.
• Закон о переносимости и подотчетности медицинского страхования (HIPAA): Федеральный закон, устанавливающий стандарты защиты конфиденциальной медицинской информации пациентов.

1. Назначение

Основной целью данной политики является установление всеобъемлющих руководящих принципов и процедур, направленных на обеспечение электронного доступа к конфиденциальной информации о пациентах в рамках программы California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Реализуя эту политику, мы обеспечиваем соблюдение всех соответствующих федеральных законов и законов штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA), тем самым способствуя обеспечению конфиденциальности, целостности и доступности электронной медицинской информации.

2. Область применения

Данная политика применима ко всем лицам, участвующим в программе CalAIM ECM & CS, включая сотрудников, подрядчиков, волонтеров и партнеров, имеющих любой вид доступа к электронной информации о пациентах и соответствующим системам. Она охватывает всю электронную охраняемую медицинскую информацию (ePHI), которая создается, хранится, передается или принимается в электронном виде в рамках программы.

3. Определения

Для целей данной политики:

• Электронная защищенная медицинская информация (ePHI): Это относится к любой защищенной медицинской информации, которая обрабатывается в электронном виде, независимо от того, создается ли она, хранится, передается или принимается.
• Пользователь: Любое лицо, имеющее право доступа к ePHI в системах, связанных с программой CalAIM ECM & CS.
• Аутентификация: Процесс, используемый для проверки личности пользователя или системы, обеспечивающий предоставление доступа только уполномоченным лицам.

4. Программные заявления

4.1 Соблюдение законов и нормативных актов

Весь электронный доступ к информации о пациентах должен осуществляться в строгом соответствии с федеральными законами и законами штата, включая, но не ограничиваясь ими:

• Правила конфиденциальности и безопасности Закона о переносимости и подотчетности медицинского страхования (HIPAA), которые устанавливают национальные стандарты защиты медицинской информации.
• Калифорнийский закон о конфиденциальности медицинской информации (CMIA), который регулирует конфиденциальность и раскрытие медицинской информации на территории штата.
• Любые другие применимые федеральные и государственные нормы, касающиеся защиты медицинской информации.

4.2 Контроль доступа

Доступ к электронному медицинскому страхованию должен тщательно контролироваться и управляться для предотвращения несанкционированного доступа:

• Доступ на основе ролей: Права доступа к ЭПЗ будут предоставляться в соответствии с конкретными ролями и обязанностями пользователей в рамках программы CalAIM ECM & CS. Это гарантирует, что люди будут иметь доступ только к той информации, которая необходима для выполнения их должностных обязанностей.
• Принцип наименьшей привилегии: Пользователям будет предоставлен минимальный уровень доступа или разрешений, необходимый для эффективного выполнения их обязанностей. Это минимизирует риск несанкционированного доступа или утечки данных.
• Процесс авторизации: Любой доступ должен быть официально разрешен соответствующим руководителем или администратором программы. Это предполагает документированный процесс утверждения для обеспечения подотчетности.

4.3 Меры аутентификации

Для защиты от несанкционированного доступа будут применяться надежные меры аутентификации:

• Уникальные идентификаторы пользователей: Каждому пользователю будет присвоен уникальный идентификатор пользователя, чтобы обеспечить точное отслеживание и отнесение всех действий.
• Строгая политика паролей: Пользователи должны создавать надежные пароли, отвечающие требованиям сложности, например, минимальной длины и включающие комбинацию букв, цифр и специальных символов. Для поддержания безопасности пароли необходимо регулярно менять.
• Многофакторная аутентификация (MFA): MFA будет использоваться, особенно для удаленного доступа и систем, считающихся особо опасными, добавляя дополнительный уровень безопасности помимо паролей.

4.4 Шифрование данных

Шифрование необходимо для защиты электронного медицинского страхования от несанкционированного доступа во время передачи и хранения:

• Шифрование в пути: Все электронные медицинские страховки, передаваемые по сети, должны быть зашифрованы с использованием стандартных протоколов шифрования, таких как TLS или SSL. Это гарантирует, что данные, перехваченные во время передачи, не смогут быть прочитаны неавторизованными лицами.
• Шифрование в состоянии покоя: ЭПЗ, хранящиеся на серверах, в базах данных, ноутбуках и других устройствах, также должны быть зашифрованы для защиты данных в случае физической кражи или несанкционированного доступа.

4.5 Физическая безопасность

Физический доступ к оборудованию и объектам, где хранится ЭСПИ, должен быть защищен:

• Охраняемые объекты: Такие помещения, как серверные, должны иметь контролируемый доступ с использованием замков, карт доступа или биометрических систем для предотвращения несанкционированного проникновения.
• Безопасность устройства: Портативные устройства, такие как ноутбуки и планшеты, должны быть защищены замками или храниться в безопасных местах, когда они не используются. Пользователи должны следить за тем, чтобы такие устройства не оставались без присмотра в неохраняемых местах.

4.6 Мониторинг и контроль аудита

Постоянный мониторинг и аудит крайне важны для обнаружения и реагирования на несанкционированный доступ:

• Ведение журнала активности: Системы должны регистрировать подробные журналы всех случаев доступа к ЭСПИ, включая идентификаторы пользователей, даты, время и характер выполняемых действий. Это создает аудиторский след для обеспечения подотчетности.
• Регулярные аудиты: Назначенный персонал будет регулярно просматривать системные журналы и журналы доступа, чтобы выявить любой несанкционированный доступ или необычные действия, которые могут указывать на угрозу безопасности.
• Системы обнаружения вторжений: Внедрение систем обнаружения вторжений (IDS) поможет отслеживать сетевой трафик на предмет подозрительной активности и предупреждать о потенциальных нарушениях безопасности.

4.7 Обучение и информированность

Обучение пользователей жизненно важно для поддержания стандартов безопасности:

• Программы обязательного обучения: Все пользователи должны пройти комплексное обучение по вопросам конфиденциальности и безопасности, прежде чем им будет предоставлен доступ к электронным медицинским данным. В ходе обучения будут рассмотрены такие темы, как распознавание попыток фишинга, правильное обращение с конфиденциальной информацией и процедуры отчетности об инцидентах безопасности.
• Ежегодные курсы повышения квалификации: Пользователи обязаны ежегодно проходить обучение, чтобы быть в курсе последних политик и практик безопасности.
• Регулярное общение: Организация будет постоянно предоставлять обновления, информационные бюллетени или напоминания для того, чтобы методы обеспечения безопасности занимали центральное место в повседневной деятельности пользователей.

4.8 Реагирование на инциденты

Оперативное реагирование на инциденты безопасности имеет решающее значение для снижения рисков:

• Неотложная отчетность: Пользователи должны немедленно сообщать о любых предполагаемых или фактических инцидентах, связанных с безопасностью, таких как потерянные устройства или несанкционированный доступ, назначенному сотруднику службы безопасности или ИТ-отдела.
• План реагирования на инциденты: Разработанный план реагирования на инциденты будет определять действия организации по устранению и смягчению последствий нарушений безопасности. Этот план включает в себя шаги по локализации, ликвидации, восстановлению и анализу ситуации после инцидента.
• Требования к уведомлению: В случае нарушения, связанного с электронным медицинским страхованием, организация уведомит пострадавших лиц и соответствующие органы в соответствии с законодательными и нормативными требованиями.

4.9 Доступ третьих лиц

Управление доступом третьих лиц очень важно для обеспечения безопасности:

• Соглашения о сотрудничестве с бизнесом (Business Associate Agreements, BAAs): Все сторонние организации, которым требуется доступ к ePHI, должны заключить официальное соглашение, определяющее их обязанности по защите этой информации.
• Процесс комплексной проверки: Прежде чем предоставить доступ, организация проведет тщательную оценку методов обеспечения безопасности третьей стороны, чтобы убедиться, что они соответствуют требуемым стандартам.
• Постоянный мониторинг: Организация будет постоянно контролировать соблюдение требований безопасности третьими сторонами.

4.10 Резервное копирование и восстановление данных

Обеспечение доступности электронного медицинского страхования необходимо для непрерывного оказания медицинской помощи:

• Регулярное резервное копирование данных: Организация будет регулярно выполнять резервное копирование электронного медицинского страхования в безопасных местах, чтобы предотвратить потерю данных в результате сбоев системы, катастроф или других непредвиденных событий.
• Безопасное хранение резервных копий: Резервные данные должны храниться в безопасном месте, с шифрованием и контролем доступа, аналогичным тем, что используются в основной системе.
• Тестирование процедур восстановления: Для обеспечения эффективного и точного восстановления данных в случае их потери будет проводиться регулярное тестирование процедур резервного копирования и восстановления.

4.11 Утилизация электронного медицинского страхования

Правильная утилизация электронного медицинского страхования необходима для предотвращения несанкционированного доступа к данным после того, как они больше не нужны:

• Методы безопасного удаления: Электронные носители, содержащие ePHI, должны быть утилизированы с использованием методов, гарантирующих невозможность восстановления данных, таких как размагничивание, уничтожение или использование специализированных программных средств для безопасного удаления.
• Документация по утилизации: Все процессы утилизации должны быть тщательно задокументированы, включая дату, метод и задействованный персонал, для обеспечения соответствия и подотчетности.

5. Обязанности

5.1 Управление программой

Руководство программы несет ответственность за эффективную реализацию и соблюдение этой политики. Это включает в себя выделение необходимых ресурсов на меры безопасности и программы обучения, а также поддержку культуры соответствия и осведомленности о безопасности во всей организации.

5.2 Сотрудник службы безопасности

Назначенный сотрудник службы безопасности отвечает за контроль соблюдения всех политик и процедур безопасности. В обязанности входит проведение регулярных оценок рисков и аудитов для выявления потенциальных уязвимостей, координация действий по реагированию на инциденты в случае нарушения безопасности, а также информирование об изменениях в законодательстве и технологиях, которые могут повлиять на методы обеспечения безопасности.

5.3 Пользователи

Все пользователи, имеющие доступ к электронному медицинскому страхованию, обязаны строго придерживаться политик и процедур безопасности, изложенных в этом документе. Пользователи также должны сохранять бдительность и немедленно сообщать о любых инцидентах безопасности или потенциальных уязвимостях соответствующим органам в организации.

6. Исполнение

Несоблюдение этой политики - серьезное нарушение, которое может привести к дисциплинарным мерам, в том числе к прекращению трудовых отношений или контрактных соглашений. Кроме того, за нарушения, связанные с неправильным обращением с защищенной медицинской информацией, лица могут быть привлечены к ответственности в соответствии с федеральными законами или законами штата.

7. Обзор и пересмотр

Данная политика будет подвергаться официальному пересмотру на ежегодной основе или при существенных изменениях в соответствующих нормативных актах или технологиях. Процесс пересмотра будет включать в себя оценку эффективности текущих мер безопасности и внесение необходимых обновлений для устранения новых угроз или соблюдения требований.

8. Ссылки

• Правило конфиденциальности HIPAA: 45 CFR, часть 160, и подразделы A и E части 164, которые устанавливают национальные стандарты защиты индивидуально идентифицируемой медицинской информации.
• Правило безопасности HIPAA: 45 CFR, часть 160, и подразделы A и C части 164, которые устанавливают стандарты безопасности электронной защищенной медицинской информации.
• Калифорнийский закон о конфиденциальности медицинской информации (CMIA): Закон штата, регулирующий конфиденциальность и раскрытие медицинской информации.
• Руководство Национального института стандартов и технологий (NIST): Федеральное руководство, обеспечивающее основу для повышения кибербезопасности критической инфраструктуры.

1. Назначение

Целью данной политики является установление комплексных процессов и руководящих принципов для обеспечения безопасности носителей и устройств управления в рамках программы California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Политика направлена на защиту конфиденциальной информации о пациентах, соблюдение всех соответствующих законов и нормативных актов, а также на предотвращение несанкционированного доступа, раскрытия, изменения или уничтожения данных. Применяя эти правила, мы стремимся поддерживать высочайшие стандарты безопасности и целостности данных, тем самым укрепляя доверие пациентов, персонала и заинтересованных сторон, участвующих в программе.

2. Область применения

Данная политика распространяется на всех лиц, связанных с программой CalAIM ECM & CS, включая, в частности, сотрудников, подрядчиков, консультантов, временный персонал и любой другой персонал, который работает с электронными или физическими носителями и устройствами, содержащими конфиденциальную информацию, или имеет к ним доступ. Он охватывает все действия, связанные с использованием, хранением, транспортировкой и утилизацией носителей и устройств, которые могут содержать защищенную медицинскую информацию (PHI), персонально идентифицируемую информацию (PII) или другие конфиденциальные данные, имеющие отношение к программе.

3. Определения

• Медиа: Относится к любым физическим или электронным устройствам хранения данных. К ним относятся жесткие диски, USB-накопители, CD- и DVD-диски, магнитные ленты и бумажные документы. Носители могут быть переносными или стационарными и используются для хранения, передачи или архивирования информации.
• Устройства: Охватывает электронное оборудование, такое как настольные компьютеры, ноутбуки, планшеты, смартфоны и любое другое оборудование, используемое для доступа, обработки или хранения программных данных. Устройства могут принадлежать организации или разрешены к использованию в соответствии с политикой Bring Your Own Device (BYOD).
• Чувствительная информация: Любые данные, защищенные законами и нормами о конфиденциальности. К ним относятся, в частности, защищенная медицинская информация (PHI), которая касается состояния здоровья человека или его медицинских услуг, и персонально идентифицируемая информация (PII), которая может быть использована для идентификации человека, например номера социального страхования, адреса и финансовая информация.

4. Программные заявления

Для обеспечения безопасности конфиденциальной информации в рамках программы CalAIM ECM & CS установлены следующие принципы:

• Безопасность носителей и устройств: Все носители и устройства, содержащие конфиденциальную информацию, должны быть надлежащим образом защищены для предотвращения несанкционированного доступа. Это предполагает применение как физических, так и технических средств защиты.
• Шифрование: Все электронные носители и устройства, содержащие конфиденциальную информацию, должны использовать одобренные методы шифрования. Шифрование служит важнейшей линией обороны для защиты целостности и конфиденциальности данных.
• Ограничение доступа: Доступ к носителям и устройствам должен быть строго ограничен для уполномоченного персонала. Уровни авторизации должны назначаться на основе принципа наименьших привилегий, обеспечивая доступ только к той информации, которая необходима для выполнения их функций.
• Правильная утилизация: Носители и устройства, которые больше не используются, должны быть утилизированы в соответствии с надлежащими процедурами, чтобы предотвратить любую возможность восстановления данных или несанкционированного доступа. Это включает в себя безопасное стирание данных и методы физического уничтожения.
• Регулярные аудиты: Для обеспечения постоянного соблюдения этой политики необходимо проводить периодические аудиты и оценки. Эти оценки помогут выявить потенциальные уязвимости и области для улучшения.

5. Процедуры

5.1. Инвентаризация носителей и устройств

Необходимо вести точную и актуальную инвентаризацию всех носителей и устройств, используемых в программе. Этот перечень должен включать такие сведения, как тип устройства, серийные номера, назначенные пользователи и классификация хранимых данных. Правильная маркировка носителей и устройств необходима для указания уровня чувствительности содержащейся на них информации, что поможет обеспечить соблюдение соответствующих процедур обращения.

5.2. Контроль доступа

Для ограничения доступа к устройствам и хранящейся на них конфиденциальной информации необходимо использовать надежные механизмы аутентификации. Это включает в себя использование надежных паролей, биометрических сканеров или многофакторных методов аутентификации. Права доступа должны назначаться в соответствии с должностными обязанностями и регулярно пересматриваться с учетом изменений в ролях или статусе сотрудников. Попытки несанкционированного доступа должны регистрироваться и незамедлительно расследоваться.

5.3. Шифрование

Для всех конфиденциальных данных, хранящихся на электронных носителях и устройствах, должны применяться утвержденные технологии шифрования. Ключи шифрования должны управляться безопасно, с ограниченным доступом для предотвращения несанкционированной дешифровки данных. Для поддержания целостности процесса шифрования должны быть установлены процедуры генерации, распределения, хранения, ротации и уничтожения ключей.

5.4. Физическая безопасность

Физические средства защиты имеют решающее значение для предотвращения несанкционированного доступа к носителям и устройствам. Все физические носители должны храниться в запертых шкафах или защищенных помещениях с контролируемым доступом, например с помощью карточек-ключей или биометрических сканеров. Устройства никогда не следует оставлять без присмотра в неохраняемых помещениях. Посетителей следует сопровождать в те места, где есть доступ к конфиденциальной информации, и вести журнал доступа посетителей.

5.5. Транспортировка носителей и устройств

При транспортировке носителей или устройств, содержащих конфиденциальную информацию, необходимо использовать безопасные методы защиты от потери или кражи. Физические носители следует помещать в запертые контейнеры, а электронные передачи данных должны быть зашифрованы из конца в конец. Необходимо вести подробный журнал для всех носителей и устройств, удаленных из безопасных зон, с указанием даты, времени, цели удаления и персонала, участвовавшего в транспортировке.

5.6. Утилизация и уничтожение

Перед утилизацией все данные должны быть необратимо удалены с электронных носителей и устройств с помощью утвержденных методов обеззараживания данных, таких как размагничивание или перезапись. Для физических носителей, содержащих конфиденциальную информацию, должны применяться такие методы, как измельчение, сжигание или измельчение, чтобы гарантировать невозможность восстановления данных. Необходимо тщательно вести учет всех действий по утилизации и уничтожению, включая подробную информацию об уничтоженных объектах, использованных методах и персонале, участвующем в процессе.

5.7. Отчетность об инцидентах

О любых инцидентах, связанных с потерей, кражей или несанкционированным доступом к носителям информации или устройствам, необходимо немедленно сообщать назначенному сотруднику службы безопасности. Оперативное сообщение необходимо для начала реализации плана реагирования на инцидент, который включает в себя шаги по локализации, ликвидации, восстановлению и, при необходимости, информированию пострадавших сторон. Сотрудники должны быть обучены распознавать потенциальные инциденты безопасности и понимать важность своевременного сообщения о них.

5.8. Обучение и информированность

Необходимо регулярно проводить тренинги, чтобы обучить весь персонал методам обеспечения безопасности носителей и устройств. Обучение должно охватывать такие темы, как распознавание попыток фишинга, правильное обращение с конфиденциальной информацией и процедуры, описанные в данной политике. По мере развития технологий и угроз безопасности учебные материалы должны обновляться, чтобы отражать последние передовые методы. Понимание сотрудниками этой политики должно периодически проверяться с помощью оценок или анализов.

6. Роли и обязанности

• Руководитель программы: Руководитель программы отвечает за обеспечение общего соответствия данной политике. Это включает в себя выделение ресурсов, необходимых для ее реализации, формирование культуры осведомленности о безопасности и решение любых вопросов, связанных с несоблюдением.
• Сотрудник службы безопасности: Сотрудник службы безопасности следит за мерами безопасности, связанными с носителями информации и устройствами. В обязанности входит проведение регулярных проверок, управление мерами реагирования на инциденты, обновление протоколов безопасности и предоставление сотрудникам рекомендаций по вопросам безопасности.
• Сотрудники и персонал: Все сотрудники должны строго придерживаться рекомендаций и процедур, изложенных в этой политике. Они несут ответственность за защиту доверенных им носителей и устройств, незамедлительно сообщают о любых инцидентах и проблемах безопасности, а также участвуют в необходимых программах обучения.

7. Соблюдение и исполнение

Соблюдение этой политики является обязательным для всех сотрудников, связанных с программой CalAIM ECM & CS. Несоблюдение может повлечь за собой дисциплинарные меры, которые могут варьироваться от дополнительного обучения и предупреждений до расторжения трудовых или контрактных соглашений. В случаях, когда нарушения связаны с нарушением законов или нормативных актов, могут быть предприняты юридические действия. Регулярно проводятся аудиты соответствия, и все выявленные недостатки должны быть оперативно устранены.

8. Обзор и пересмотр

Эта политика будет подвергаться тщательному пересмотру не реже одного раза в год или при существенных изменениях в технологии, нормативных требованиях или организационной структуре. По мере необходимости в нее будут вноситься изменения, чтобы политика оставалась эффективной и актуальной. Все обновления будут доведены до сведения соответствующего персонала, а учебные материалы будут соответствующим образом скорректированы. Для повышения эффективности политики поощряется обратная связь с персоналом.

1. Назначение

Основной целью данной политики является установление комплексных требований к физическим средствам защиты рабочих станций в рамках программы CalAIM Enhanced Care Management & Community Support (ECM & CS). Эти меры необходимы для предотвращения несанкционированного доступа, кражи, повреждения или потери конфиденциальной информации, включая электронную защищенную медицинскую информацию (ePHI). Применяя эти меры, мы стремимся сохранить конфиденциальность, целостность и доступность конфиденциальных данных, обеспечивая соответствие действующим федеральным и государственным нормам.

2. Область применения

Эта политика распространяется на всех сотрудников, подрядчиков, волонтеров и любых других лиц, имеющих доступ к рабочим станциям на территории программы CalAIM ECM & CS. Она распространяется на все физические места, где используются или хранятся рабочие станции, включая офисы, конференц-залы и удаленные рабочие места, связанные с программой.

3. Определения

• Рабочая станция: Любое электронное вычислительное устройство, например настольный компьютер, ноутбук, планшет или аналогичное устройство, вместе с электронными носителями, хранящимися в его непосредственном окружении. Сюда входит любое оборудование, выполняющее такие функции, как обработка, хранение или передача данных.
• Физические средства защиты: Физические меры, политики и процедуры, применяемые для защиты электронных информационных систем и связанных с ними зданий и оборудования от природных и экологических угроз, а также от несанкционированного вторжения. Эти меры призваны предотвратить физический доступ неавторизованных лиц к оборудованию и объектам.

4. Программные заявления

4.1 Безопасное расположение рабочих станций

Все рабочие места должны располагаться в безопасных зонах с контролируемым доступом, чтобы исключить возможность просмотра или доступа к ним посторонних лиц. Это означает, что рабочие места должны располагаться вдали от общедоступных мест и не должны быть легко заметны или доступны для прохожих. Например, не рекомендуется размещать рабочие места рядом со стойками регистрации, в коридорах или конференц-залах, если не приняты соответствующие меры безопасности. Если рабочие места должны находиться в таких зонах, то для защиты конфиденциальной информации, отображаемой на экранах, следует установить дополнительные средства защиты, такие как защитные экраны, физические барьеры или контролируемый доступ.

4.2 Контроль доступа

Доступ в зоны, содержащие рабочие станции, должен быть ограничен только для авторизованного персонала. Для этого необходимо внедрить средства контроля физического доступа, такие как запертые двери, пропуски или биометрические системы, чтобы в эти зоны могли попасть только лица с соответствующими полномочиями. Посетители или любые неавторизованные лица должны постоянно находиться в сопровождении уполномоченного персонала в зонах, где расположены рабочие станции. Такая политика сопровождения помогает предотвратить несанкционированный доступ к конфиденциальной информации и гарантирует, что посетители случайно не нарушат протоколы безопасности.

4.3 Меры физической безопасности

Для защиты рабочих станций от кражи или несанкционированного удаления необходимо применять меры физической безопасности. Это включает в себя использование физических замков, кабелей безопасности или корпусов для защиты устройств, когда они находятся без присмотра. Например, ноутбуки должны быть прикреплены к столам с помощью защитных тросов, а настольные компьютеры должны быть закреплены для предотвращения легкого извлечения. В общих или неохраняемых помещениях эти меры особенно важны. Кроме того, серверные комнаты и помещения с критически важной инфраструктурой должны быть оснащены усиленными мерами безопасности, такими как камеры наблюдения и системы сигнализации, чтобы предотвратить несанкционированный доступ и обеспечить возможность мониторинга.

4.4 Защита экрана

Для предотвращения несанкционированного просмотра конфиденциальной информации, отображаемой на мониторах, следует использовать защитные экраны или фильтры. Эти устройства ограничивают угол обзора экрана, что затрудняет чтение информации на дисплее лицами, находящимися поблизости, если только они не находятся непосредственно перед ним. Кроме того, все рабочие станции должны быть настроены на автоматическую блокировку после периода бездействия, не превышающего пяти минут. Такой механизм автоматической блокировки гарантирует, что если сотрудник отойдет от своего рабочего места, доступ к нему будет невозможен для посторонних лиц. Сотрудникам также рекомендуется вручную блокировать экраны, когда они оставляют свои рабочие места без присмотра даже на короткое время.

4.5 Политика чистого стола

Политика "чистого стола" должна обеспечивать надежное хранение всех конфиденциальных документов и материалов, когда они не используются. Сотрудники должны убирать все конфиденциальные документы со своих рабочих мест в конце каждого рабочего дня и хранить их в запертых ящиках или шкафах. Сюда относятся заметки, распечатки, портативные устройства хранения данных и любые другие материалы, содержащие конфиденциальную информацию. Убирая с рабочих мест конфиденциальные материалы, мы снижаем риск несанкционированного доступа и поддерживаем профессиональную рабочую атмосферу. Сотрудники также должны следить за тем, чтобы на досках и досках объявлений не отображалась конфиденциальная информация.

4.6 Экологический контроль

Рабочие места должны быть защищены от рисков, связанных с окружающей средой, таких как утечки воды, чрезмерное тепло, пыль и скачки напряжения. Для этого необходимо размещать устройства вдали от мест, где возможны проливы или утечки, например под кондиционерами или возле окон, которые могут протекать во время дождя. Для защиты от скачков напряжения и перебоев в электросети следует использовать сетевые фильтры и источники бесперебойного питания (ИБП). Кроме того, сотрудникам следует избегать употребления пищи и напитков вблизи рабочих мест, чтобы предотвратить случайные проливы, которые могут повредить оборудование или привести к потере данных.

4.7 Утилизация оборудования

Перед утилизацией или перераспределением все электронные устройства должны пройти надлежащие процедуры обеззараживания данных, чтобы исключить случайную утечку конфиденциальной информации. Это включает в себя безопасное стирание или уничтожение носителей данных в соответствии с лучшими отраслевыми практиками и нормативными требованиями. Устройства не следует выбрасывать в обычные мусорные контейнеры, они должны утилизироваться в соответствии с экологически ответственными методами переработки и действующими нормами, например, изложенными в руководстве Национального института стандартов и технологий (NIST) по обеззараживанию носителей.

4.8 Отчетность и реагирование

В случае кражи, потери или несанкционированного доступа к рабочим станциям необходимо немедленно сообщить о таких инцидентах в уполномоченный отдел, например, сотруднику службы безопасности или ИТ-департамента. Оперативное информирование позволяет быстро принять меры по снижению потенциальных рисков, включая несанкционированный доступ к конфиденциальным данным. Для борьбы с нарушениями безопасности, связанными с рабочими станциями, необходимо разработать план реагирования на инциденты. В этом плане должны быть описаны конкретные процедуры реагирования на инциденты, включая шаги по локализации, ликвидации, восстановлению и уведомлению. Необходимо регулярно проводить учения и тренировки, чтобы убедиться, что все сотрудники знакомы с процедурами реагирования на инциденты.

5. Обязанности

5.1 Сотрудники и авторизованные пользователи

Сотрудники и авторизованные пользователи несут ответственность за соблюдение всех политик и процедур физической защиты, описанных в этом документе. Они должны сохранять бдительность при защите рабочих станций и конфиденциальной информации от несанкционированного доступа. Это включает в себя соблюдение передовых методов защиты устройств, таких как блокировка экранов, когда они не используются, и защита портативных устройств во время поездок. Кроме того, сотрудники должны незамедлительно сообщать о любых подозрительных действиях, инцидентах безопасности или потенциальных уязвимостях соответствующим органам, чтобы своевременно принять меры.

5.2 Управление

Руководство обязано следить за тем, чтобы его сотрудники были полностью информированы об этой политике и соблюдали ее требования. Они должны содействовать проведению тренингов и программ повышения осведомленности, чтобы рассказать сотрудникам о важности физической безопасности и конкретных мерах, которые они должны применять. Руководители также должны подавать пример, сами строго придерживаясь этой политики и формируя культуру безопасности в своих коллективах. Они отвечают за решение любых проблем, связанных с несоблюдением политики, и за предоставление необходимых ресурсов для реализации требуемых мер защиты.

5.3 Сотрудник службы безопасности/ИТ-департамента

Сотрудникам службы безопасности и ИТ-департамента поручено следить за внедрением мер физической защиты в организации. Они отвечают за разработку и поддержание политик и процедур, связанных с физической безопасностью, а также за то, чтобы эти политики соответствовали последним нормативным требованиям и лучшим отраслевым практикам. Необходимо проводить регулярные аудиты и оценки для определения соответствия политике и выявления областей, требующих улучшения. В случае инцидента, связанного с безопасностью, сотрудник службы безопасности и департамент ИТ координируют действия по реагированию, включая расследование, устранение последствий и связь с соответствующими заинтересованными сторонами.

6. Соответствие требованиям

Соблюдение данной политики является обязательным для всех сотрудников и аффилированного персонала. Несоблюдение может повлечь за собой дисциплинарные меры, в том числе прекращение трудовых или договорных отношений. Такие действия необходимы для поддержания целостности системы безопасности организации и соблюдения юридических обязательств. Кроме того, отдельные лица могут быть подвергнуты юридическому наказанию в соответствии с действующими федеральными законами и законами штата, включая законы, предусмотренные Законом о переносимости и подотчетности медицинского страхования (HIPAA) и Калифорнийским законом о конфиденциальности медицинской информации (CMIA). Организация обязуется соблюдать эту политику, чтобы защитить конфиденциальную информацию и сохранить доверие людей, которых мы обслуживаем.

7. Ссылки

Эта политика основывается на нескольких ключевых положениях и рекомендациях:

• Закон о переносимости и подотчетности медицинского страхования (HIPAA), 45 CFR, часть 164: Устанавливает национальные стандарты безопасности электронной защищенной медицинской информации.
• Калифорнийский закон о конфиденциальности медицинской информации (CMIA): Регулирует конфиденциальность и раскрытие медицинской информации в Калифорнии.
• Руководство по программе CalAIM ECM & CS: Предоставляет конкретные директивы и лучшие практики для программы расширенного управления уходом и общественной поддержки.

Эти рекомендации служат основой для наших мер физической безопасности и обеспечивают соответствие нашей политики законодательным и нормативным требованиям.

8. Обзор и пересмотр

Эта политика должна подвергаться официальному пересмотру ежегодно или по мере необходимости с учетом изменений в нормативных актах, технологических достижениях или организационной практике. Процесс пересмотра включает в себя оценку эффективности текущих гарантий, оценку уровня соответствия и обновление политики для устранения любых выявленных пробелов или возникающих угроз. Все изменения должны быть утверждены уполномоченным органом и доведены до сведения всех сотрудников и соответствующих заинтересованных сторон, чтобы обеспечить постоянное соблюдение требований и информированность.

1. Назначение

Цель данной политики - установить всеобъемлющие принципы защиты устной, письменной и электронной конфиденциальной информации в организации, в частности, относящейся к программе California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Реализуя эту политику, организация стремится обеспечить соблюдение всех соответствующих федеральных законов и законов штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA), и поддерживать высочайшие стандарты целостности и конфиденциальности всей конфиденциальной информации.

2. Область применения

Эта политика применима ко всем лицам, связанным с организацией, включая сотрудников, подрядчиков, волонтеров, стажеров и любых других лиц, имеющих доступ к конфиденциальной информации, связанной с программой CalAIM ECM & CS. Она охватывает все формы конфиденциальной информации - устную, письменную и электронную - и определяет обязанности всех сторон по защите этой информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения.

3. Определения

Конфиденциальная информация - это любые данные или информация, которые являются частными, конфиденциальными или собственными. К ней относятся, в частности, защищенная медицинская информация (PHI), персонально идентифицируемая информация (PII), финансовые документы и любая служебная информация организации. PHI - это любая информация о состоянии здоровья человека, предоставлении медицинских услуг или оплате медицинских услуг, которая может быть связана с конкретным человеком. Электронная защищенная медицинская информация (ePHI) - это PHI, которая создается, хранится, передается или принимается в электронном виде. Под сотрудниками понимаются работники, волонтеры, стажеры и любые другие лица, чье поведение при выполнении работы для организации находится под ее непосредственным контролем, независимо от того, получают ли они вознаграждение от организации.

4. Программные заявления

Организация обязуется защищать все виды конфиденциальной информации от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Все сотрудники обязаны обращаться с конфиденциальной информацией ответственно и в соответствии с действующим законодательством и политикой организации. Доступ к конфиденциальной информации строго ограничен лицами, которым она необходима для выполнения своих должностных обязанностей. О любом нарушении или подозрении в нарушении конфиденциальной информации необходимо немедленно сообщать в соответствии с принятыми в организации процедурами информирования о происшествиях.

5. Процедуры

5.1. Контроль доступа

Доступ к конфиденциальной информации предоставляется на основе принципа наименьших привилегий, то есть лицам предоставляется минимальный уровень доступа, необходимый для выполнения их должностных функций. Сотрудники должны использовать уникальные идентификаторы пользователей и надежные пароли при доступе к электронным системам, содержащим конфиденциальную информацию. Пароли должны храниться в тайне и не должны передаваться другим лицам. Физический доступ в помещения, где хранится конфиденциальная информация, такие как картотеки или серверные комнаты, должен контролироваться с помощью замков, карт доступа или других мер безопасности. Посетителей следует сопровождать в местах, где есть доступ к конфиденциальной информации.

5.2. Обращение с конфиденциальной информацией

При работе с устной информацией сотрудники должны следить за тем, чтобы разговоры, касающиеся конфиденциальной информации, велись в приватной обстановке, чтобы посторонние лица не могли их подслушать. Это включает в себя внимательное отношение к обстановке в открытых офисах, лифтах, кафе или общественных местах.

Что касается письменной информации, то физические документы, содержащие конфиденциальную информацию, должны храниться в безопасных местах, когда они не используются. Это может включать хранение документов в запертых ящиках или шкафах. При транспортировке документов их следует хранить в защищенных папках или конвертах и не оставлять без присмотра.

Электронная информация должна храниться на защищенных серверах с соответствующим шифрованием и контролем доступа. Сотрудники должны выключать или запирать свои компьютеры, когда они не используются, чтобы предотвратить несанкционированный доступ. Электронные устройства, такие как ноутбуки, планшеты и смартфоны, содержащие конфиденциальную информацию, должны быть оснащены средствами защиты, например паролями или биометрическими замками.

5.3. Передача конфиденциальной информации

Конфиденциальная информация должна передаваться безопасными методами. При отправке электронных сообщений сотрудники должны использовать зашифрованные службы электронной почты или защищенные протоколы передачи файлов. Конфиденциальная информация не должна передаваться по незащищенным каналам, таким как обычная электронная почта или служба мгновенного обмена сообщениями, если не приняты соответствующие меры безопасности.

При отправке конфиденциальной информации по факсу сотрудникам следует уточнить номер факса получателя перед отправкой и использовать сопроводительный лист, содержащий заявление о конфиденциальности. Они также должны убедиться, что адресат готов принять факс, чтобы предотвратить несанкционированный доступ.

5.4. Утилизация конфиденциальной информации

Утилизация конфиденциальных документов должна быть безопасной. Физические документы следует уничтожать с помощью шредеров с поперечной резкой или помещать в безопасные контейнеры для утилизации, предназначенные для конфиденциальных материалов. Электронные носители, содержащие конфиденциальную информацию, такие как жесткие диски, USB-накопители или компакт-диски, должны быть обеззаражены с помощью утвержденных методов уничтожения данных или физически уничтожены, чтобы предотвратить восстановление данных.

5.5. Использование личных устройств

Если сотрудникам разрешено использовать личные устройства для доступа к конфиденциальной информации, эти устройства должны соответствовать политике безопасности организации. Это включает установку защитного программного обеспечения, включение шифрования и соблюдение политики паролей. Конфиденциальная информация не должна храниться на личных устройствах без специального разрешения и защиты. В случае потери или кражи личного устройства необходимо немедленно сообщить о случившемся.

5.6. Обучение и информированность

Все сотрудники обязаны пройти обучение по защите конфиденциальной информации при приеме на работу и в дальнейшем ежегодно. Программы обучения охватывают такие темы, как распознавание конфиденциальной информации, надлежащие процедуры обращения с ней, юридические обязательства и протоколы отчетности о нарушениях или предполагаемых нарушениях. Дополнительное обучение может проводиться в случае изменения законов, нормативных актов или политики организации для обеспечения постоянного соблюдения требований.

6. Обязанности

Все сотрудники несут ответственность за понимание и соблюдение этой политики. Они должны надлежащим образом обращаться с конфиденциальной информацией и незамедлительно сообщать о любых предполагаемых или фактических нарушениях. Руководители и менеджеры несут дополнительную ответственность за то, чтобы их сотрудники понимали эту политику и соблюдали ее рекомендации. Они должны содействовать доступу к обучению и быть готовыми ответить на любые вопросы и проблемы, связанные с обращением с конфиденциальной информацией.

Сотрудник по информационной безопасности отвечает за надзор за реализацией мер безопасности, направленных на защиту конфиденциальной информации. Это включает в себя контроль за соблюдением политики, проведение регулярных оценок безопасности и устранение любых инцидентов, связанных с конфиденциальной информацией.

7. Мониторинг и соблюдение

Организация будет проводить регулярные аудиты и оценки для контроля соблюдения данной политики. Это может включать в себя проверку журналов доступа, проведение физических проверок и оценку средств контроля безопасности. Несоблюдение данной политики может повлечь за собой дисциплинарные меры, вплоть до увольнения. При необходимости организация оставляет за собой право обратиться в суд.

8. Уведомление о нарушениях

В случае утечки конфиденциальной информации организация будет следовать всем применимым законам и нормам в отношении уведомления затронутых лиц и органов власти. Это включает в себя проведение тщательного расследования для определения масштабов нарушения, смягчение любого ущерба и реализацию мер по предотвращению будущих инцидентов. Затронутые лица будут уведомлены незамедлительно, и организация будет сотрудничать с регулирующими органами, если это потребуется.

9. Обзор и пересмотр

Эта политика будет пересматриваться на ежегодной основе и обновляться по мере необходимости с учетом изменений в законах, нормативных актах или организационной практике. Отзывы сотрудников и уроки, извлеченные из инцидентов, будут учитываться в процессе пересмотра для повышения эффективности политики.

10. Ссылки

Эта политика основана на Законе о переносимости и подотчетности медицинского страхования (HIPAA), Калифорнийском законе о конфиденциальности медицинской информации (CMIA) и других соответствующих федеральных законах и законах штата и соответствует им. Она также согласуется с внутренней политикой организации в области информационной безопасности и конфиденциальности.

Введение

Программа CalAIM Enhanced Care Management & Community Support (ECM & CS) направлена на предоставление высококачественных услуг по управлению уходом при соблюдении высочайших стандартов конфиденциальности и защиты данных. В среде, где постоянно происходит работа с конфиденциальной информацией, крайне важно иметь надежные политики, регулирующие доступ к конфиденциальным данным. Настоящая политика контроля доступа устанавливает всеобъемлющие рамки для предоставления, изменения и отмены доступа к конфиденциальной информации на основе ролевых обязанностей в рамках программы. Политика разработана для обеспечения того, чтобы все сотрудники имели соответствующий доступ в соответствии с их должностными обязанностями и чтобы конфиденциальность конфиденциальной информации поддерживалась в соответствии со всеми применимыми законами и нормами.

Область применения

Эта политика применима ко всем лицам, имеющим доступ к конфиденциальной информации в рамках программы CalAIM ECM & CS, включая сотрудников, подрядчиков, волонтеров, стажеров и консультантов, но не ограничиваясь ими. Она распространяется на все формы конфиденциальных данных, независимо от того, хранятся ли они в электронном виде, на бумаге или передаются устно. Политика охватывает все организационные системы, сети, базы данных и физические места, где хранится или к которым осуществляется доступ к конфиденциальной информации.

Программное заявление

Доступ к конфиденциальной информации - это привилегия, которая влечет за собой большую ответственность. Программа CalAIM ECM & CS использует принципы наименьших привилегий и управления доступом на основе ролей (RBAC) для управления доступом к конфиденциальным данным. Согласно этой политике, права доступа тщательно назначаются, чтобы гарантировать, что люди имеют только минимальный уровень доступа, необходимый для выполнения их конкретных рабочих функций. Права доступа должны немедленно корректироваться в ответ на любые изменения в роли или статусе сотрудника, включая повышение в должности, перемещение по службе, понижение в должности или увольнение. Такой подход минимизирует риск несанкционированного доступа и помогает защитить целостность и конфиденциальность конфиденциальной информации.

Роли и обязанности

Директор программы

Директор программы несет полную ответственность за реализацию и соблюдение данной политики контроля доступа. Это включает в себя утверждение определений ролей, определение соответствующих уровней доступа для различных должностей, а также обеспечение соответствия политики целям организации и нормативным требованиям. Директор программы также сотрудничает с другими отделами для решения любых вопросов, связанных с контролем доступа и защитой данных.

Отдел кадров

Отдел кадров (HR) играет важнейшую роль в управлении правами доступа. HR отвечает за уведомление отдела информационных технологий (ИТ) и ответственного за соблюдение нормативных требований обо всех кадровых изменениях, включая новые приемы на работу, изменения ролей и увольнения. Это уведомление должно происходить незамедлительно, чтобы обеспечить своевременную корректировку прав доступа. На HR также возложена задача обеспечить, чтобы должностные инструкции точно отражали требования к доступу и обязанности, связанные с каждой ролью, тем самым способствуя принятию соответствующих мер по контролю доступа.

Департамент информационных технологий

Департамент ИТ отвечает за управление техническими аспектами контроля доступа. Это включает в себя настройку и обслуживание систем, обеспечивающих соблюдение прав доступа, обработку авторизованных запросов на предоставление, изменение или отмену доступа, а также обеспечение правильного функционирования систем контроля доступа. Департамент ИТ ведет подробные журналы аудита доступа к конфиденциальной информации, которые необходимы для контроля соблюдения требований и расследования возможных инцидентов безопасности. Кроме того, ИТ-отдел сотрудничает с отделом кадров и руководителями, чтобы обеспечить соответствие прав доступа текущим должностным обязанностям.

Специалист по контролю за соблюдением законодательства

Сотрудник по соблюдению нормативных требований следит за соблюдением этой политики и обеспечивает соблюдение организацией всех соответствующих законов и нормативных актов, таких как HIPAA. Эта роль включает в себя проведение периодических аудитов и проверок доступа, чтобы убедиться, что права доступа назначены должным образом и что несанкционированного доступа не произошло. Специалист по соблюдению нормативных требований также отвечает за разработку и проведение обучающих программ по вопросам конфиденциальности, защиты данных и соблюдения нормативных требований, чтобы ознакомить сотрудников с их обязанностями в рамках данной политики.

Руководители и менеджеры

Руководители и менеджеры несут прямую ответственность за инициирование запросов на доступ для членов своей команды. Они должны убедиться, что эти запросы точно отражают доступ, необходимый для выполнения роли каждого члена команды. Руководители также отвечают за контроль соблюдения политики доступа своими сотрудниками, решение любых вопросов, связанных с несоблюдением, и оперативное информирование отдела кадров и ИТ о любых изменениях в трудовом статусе или роли. Они играют ключевую роль в разъяснении важности защиты данных и конфиденциальности в своих командах.

Сотрудники и авторизованные пользователи

Каждый сотрудник и авторизованный пользователь, получивший доступ к конфиденциальной информации, должен ответственно использовать этот доступ. Пользователи должны получать доступ только к той информации, на которую у них есть четкие полномочия, и сохранять конфиденциальность любой информации, с которой они работают. Они не должны передавать свои учетные данные для доступа другим лицам и должны немедленно сообщать о любых подозрениях в несанкционированном доступе или нарушениях безопасности своему руководителю, в отдел информационных технологий или директору по соблюдению нормативно-правовых требований. Сотрудники также должны участвовать в обязательных тренингах, чтобы быть в курсе политики и лучших практик, связанных с защитой данных.

Процедуры

Авторизация доступа для новых сотрудников

Когда в организацию приходит новый сотрудник, отдел кадров инициирует процесс авторизации доступа. HR-отдел должен направить в ИТ-департамент официальный запрос на доступ с подробным описанием роли нового сотрудника и требуемых прав доступа. Этот запрос должен быть основан на предопределенных профилях доступа, соответствующих должности сотрудника. Перед предоставлением доступа новый сотрудник должен пройти обязательное обучение по вопросам конфиденциальности, политики защиты данных и соответствующих нормативных актов, таких как HIPAA. Затем ИТ-департамент настраивает необходимые права доступа, обеспечивая сотрудника инструментами, необходимыми для эффективного выполнения его работы, соблюдая при этом принцип наименьших привилегий.

Изменение доступа при смене ролей

В ситуациях, когда роль сотрудника меняется - в связи с повышением, переводом или реструктуризацией, - руководитель должен незамедлительно уведомить об этом отдел кадров и отдел ИТ. Необходимо подать запрос на изменение доступа с указанием изменений в обязанностях и соответствующих корректировок в правах доступа. Департамент ИТ рассматривает запрос и вносит соответствующие изменения в доступ сотрудника. Если новая роль предполагает работу с другими типами конфиденциальной информации или требует дополнительного допуска, сотрудник должен пройти необходимое дополнительное обучение, прежде чем ему будут предоставлены новые права доступа.

Удаление доступа после расторжения договора

При увольнении сотрудника, добровольном или принудительном, отдел кадров отвечает за инициирование процесса удаления доступа. Отдел кадров должен немедленно уведомить отдел ИТ о своем увольнении. Отдел ИТ должен лишить сотрудника всех привилегий доступа до конца его последнего рабочего дня. Это включает отключение сетевых учетных записей, отмену доступа к приложениям и базам данных, а также изъятие всех принадлежащих организации устройств. Отдел кадров также должен забрать у увольняющегося сотрудника все устройства физического доступа, такие как идентификационные бейджи, ключи и карты доступа, чтобы предотвратить несанкционированный физический доступ к объектам организации.

Периодический обзор доступа

Чтобы обеспечить постоянное соблюдение политики контроля доступа, ответственный за соблюдение нормативных требований и отдел информационных технологий проводят полугодовые проверки всех прав доступа. В ходе этих проверок они проверяют, соответствует ли доступ каждого сотрудника его текущей роли и обязанностям. Процесс проверки включает в себя проверку журналов доступа, подтверждение распределения ролей и обеспечение отсутствия несанкционированного доступа. Любые выявленные несоответствия документируются и докладываются директору программы для немедленного принятия мер по исправлению ситуации. Такой проактивный подход помогает предотвратить нарушения безопасности и сохранить целостность конфиденциальной информации.

Журналы аудита и мониторинг

Департамент ИТ ведет полные журналы аудита, в которых фиксируется весь доступ к конфиденциальной информации. В этих журналах фиксируются такие сведения, как личность пользователя, данные, к которым он получил доступ, время доступа и выполненные действия. Журналы аудита проверяются ежеквартально на предмет выявления несанкционированного доступа или подозрительных действий. Если обнаруживаются какие-либо нарушения, ИТ-департамент совместно с сотрудником по соблюдению нормативных требований проводит тщательное расследование. Затем принимаются соответствующие меры для решения любых проблем безопасности, которые могут включать дисциплинарные меры в отношении лиц, нарушивших политику.

Протокол аварийного доступа

В исключительных обстоятельствах, когда немедленный доступ к конфиденциальной информации необходим для решения чрезвычайной ситуации, может быть предоставлен временный доступ. Такой доступ требует четкого разрешения директора программы или уполномоченного лица. Запрос на временный доступ должен быть задокументирован, включая обоснование необходимости доступа и конкретную необходимую информацию. Департамент информационных технологий предоставит временный доступ и будет контролировать все действия, выполняемые в соответствии с этим положением. Экстренный доступ аннулируется, как только в нем отпадает необходимость, и после события проводится анализ, чтобы оценить целесообразность доступа и при необходимости обновить политику или процедуры.

Соблюдение и исполнение

Соблюдение данной политики контроля доступа является обязательным для всех лиц, на которых она распространяется. Несоблюдение может привести к дисциплинарным мерам, которые могут включать выговоры, отстранение от работы, расторжение трудового договора или контракта, а также возможное судебное разбирательство в случае нарушения законодательства. Организация серьезно относится к нарушениям, поскольку они представляют потенциальный риск для клиентов, партнеров и репутации организации. Все сотрудники должны сообщать о любых предполагаемых нарушениях этой политики своему руководителю, сотруднику по соблюдению нормативно-правовых требований или по установленным каналам отчетности, не опасаясь преследований.

Определения

Конфиденциальная информация

Конфиденциальная информация - это любые данные, защищенные в соответствии с законодательными или нормативными актами, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA), но не ограничиваясь им. Сюда входит личная медицинская информация (PHI), персонально идентифицируемая информация (PII), финансовые записи, служебная информация и любые другие данные, которые организация обязана защищать от несанкционированного раскрытия.

Управление доступом на основе ролей (RBAC)

Контроль доступа на основе ролей - это подход к обеспечению безопасности, при котором разрешения на доступ назначаются не отдельным пользователям, а конкретным ролям в организации. Пользователям назначаются роли в зависимости от их должностных функций, которые определяют уровень их доступа к системам и информации. Этот метод упрощает управление доступом и повышает безопасность, гарантируя, что пользователи имеют доступ только к той информации, которая необходима для выполнения их ролей.

Принцип наименьших привилегий

Принцип наименьших привилегий - это концепция безопасности, согласно которой пользователям должен предоставляться минимальный уровень доступа или разрешений, необходимый для выполнения их рабочих функций. Ограничивая права доступа, организация снижает риск несанкционированного доступа к конфиденциальной информации и минимизирует потенциальное воздействие нарушений безопасности.

Смежные политики

Данная политика контроля доступа является частью комплексного набора политик, направленных на защиту конфиденциальной информации и обеспечение соответствия нормативным требованиям. К другим соответствующим политикам относятся:

• Политика конфиденциальности данных: Описывает обязательства организации по защите персональных данных и определяет процедуры работы с такой информацией.
• Политика информационной безопасности: Определяет меры, принимаемые для защиты информационных активов организации от таких угроз, как несанкционированный доступ, кибератаки и утечка данных.
• Политика соблюдения требований HIPAA: Подробно описывает конкретные требования и процедуры работы с защищенной медицинской информацией в соответствии с нормами HIPAA.
• Соглашение о конфиденциальности с сотрудниками: Обязательное соглашение, которое должны подписать все сотрудники, подтверждая свою ответственность за защиту конфиденциальной информации.

Сотрудники должны быть знакомы с этими правилами и учитывать их в своей повседневной работе.

Ссылки

Закон о переносимости и подотчетности медицинского страхования (HIPAA)

Федеральный закон, принятый для защиты конфиденциальной медицинской информации пациента от разглашения без его согласия или ведома. Организации, работающие с PHI, обязаны применять административные, физические и технические меры защиты для обеспечения конфиденциальности, целостности и безопасности электронной защищенной медицинской информации (ePHI).

Руководство по программе CalAIM ECM и CS

Руководство для конкретного штата, в котором изложены требования к реализации программы Enhanced Care Management & Community Support. В этих руководствах содержатся указания по работе программы, определению соответствия участников требованиям, представлению данных и другим важным аспектам, влияющим на управление конфиденциальной информацией.

Руководство для сотрудников организации

Комплексный ресурс, содержащий дополнительные правила, касающиеся поведения сотрудников, ожиданий на рабочем месте, обязательств по соблюдению конфиденциальности и процедур устранения нарушений. Справочник дополняет эту политику, предоставляя более широкий контекст и руководство по организационным стандартам.

Утверждение и рассмотрение

Настоящая политика контроля доступа вступает в силу с [Укажите дату вступления в силу]. Политика будет пересматриваться ежегодно или по мере необходимости в связи с изменениями в нормативных требованиях, организационной структуре или операционных потребностях. Изменения в политике должны быть одобрены директором программы для обеспечения соответствия организационным целям и нормативным требованиям.

Благодарность

Все лица, получившие доступ к конфиденциальной информации, должны подписать форму подтверждения того, что они прочитали, поняли и согласны соблюдать настоящую Политику контроля доступа. Подписанное подтверждение будет храниться в личном деле сотрудника или в документах подрядчика. Подписывая документ, человек подтверждает свое обязательство соблюдать стандарты организации по защите данных и конфиденциальности.

Заключение

Соблюдение данной политики контроля доступа необходимо для поддержания конфиденциальности, целостности и доступности конфиденциальной информации в рамках программы CalAIM ECM & CS. Следуя изложенным процедурам и рекомендациям, организация обеспечивает соблюдение юридических и нормативных требований, защищает частную жизнь людей и поддерживает доверие, оказанное нам клиентами, партнерами и обществом. Коллективная ответственность всех сотрудников заключается в том, чтобы способствовать созданию безопасной и этичной рабочей среды, в которой конфиденциальная информация обрабатывается с высочайшим уровнем осторожности и профессионализма.

1. Назначение

Цель данной политики - установить комплексные процедуры безопасной утилизации конфиденциальной информации в рамках программы California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Внедряя эти процедуры, мы стремимся обеспечить полное соответствие всем применимым федеральным законам и законам штата, включая Закон о переносимости и подотчетности медицинского страхования (HIPAA) и калифорнийские правила конфиденциальности. Безопасная утилизация имеет решающее значение для предотвращения несанкционированного доступа, раскрытия или неправильного использования конфиденциальной информации, тем самым защищая частную жизнь людей и поддерживая целостность программы ECM & CS.

2. Область применения

Эта политика распространяется на всех лиц, связанных с программой CalAIM ECM & CS. Сюда входят сотрудники, подрядчики, волонтеры и любые сторонние партнеры, которые работают с конфиденциальной информацией в любом качестве. Каждое лицо, входящее в эту сферу, несет ответственность за понимание и соблюдение процедур, описанных в данной политике, для обеспечения безопасной утилизации конфиденциальной информации.

3. Определения

Конфиденциальная информация относится к любым данным, защищенным в соответствии с федеральным законодательством или законодательством штата. К ним относятся, в частности, защищенная медицинская информация (PHI), персонально идентифицируемая информация (PII) и конфиденциальные организационные данные. Утилизация определяется как действие по выбрасыванию или уничтожению информации или носителей, содержащих конфиденциальную информацию, таким образом, чтобы предотвратить несанкционированный доступ или восстановление информации.

4. Программное заявление

Вся конфиденциальная информация должна быть надежно утилизирована, чтобы предотвратить возможность несанкционированного доступа, раскрытия или неправомерного использования. Используемые методы утилизации должны приводить к тому, что информация становится невосстановимой и нечитаемой. Эта политика требует строгого соблюдения правил безопасной утилизации как физических, так и электронных документов, обеспечивая понимание и выполнение необходимых процедур всем персоналом.

5. Процедуры

5.1 Физические записи

Все физические документы, содержащие конфиденциальную информацию, должны обрабатываться с особой осторожностью в процессе утилизации. До утилизации такие документы должны храниться в безопасных местах. В частности, они должны быть помещены в запертые контейнеры, предназначенные для конфиденциальных материалов, ожидающих уничтожения. Эти контейнеры должны иметь четкую маркировку “Конфиденциально - для уничтожения”, чтобы предотвратить случайный доступ или неправильное обращение.

Для уничтожения таких документов на месте необходимо использовать шредеры с поперечной резкой. Благодаря поперечной резке документы измельчаются на мелкие кусочки, которые невозможно собрать заново, что обеспечивает сохранность содержащейся в них информации. Если для уничтожения документов привлекается сторонняя организация, необходимо убедиться, что поставщик услуг сертифицирован и придерживается строгих стандартов конфиденциальности. Поставщик услуг должен предоставить сертификат об уничтожении каждой партии уничтоженных документов, который будет служить подтверждением соблюдения требований.

Руководители отвечают за надзор за процессом уничтожения. Они должны следить за тем, чтобы процесс уничтожения выполнялся регулярно и документировался соответствующим образом. Такой надзор гарантирует, что процесс уничтожения будет последовательным и что никакая конфиденциальная информация не останется уязвимой из-за задержек или нарушений процедур.

5.2 Электронные записи

Электронные документы требуют особого внимания из-за возможности восстановления данных даже после их удаления. При утилизации электронных документов необходимо использовать безопасное программное обеспечение для удаления данных. Программное обеспечение должно соответствовать стандартам Министерства обороны (DoD 5220.22-M) по обеззараживанию данных, что предполагает многократную перезапись данных для предотвращения возможности их восстановления.

Для электронных носителей, которые невозможно безопасно стереть, например поврежденных жестких дисков или неработающих устройств, необходимо использовать методы физического уничтожения. Физическое уничтожение может включать размагничивание (размагничивание носителя), измельчение или сжигание. Эти методы гарантируют, что данные невозможно восстановить никакими средствами.

При утилизации серверов, компьютеров, мобильных устройств и другого электронного оборудования необходимо согласование с отделом информационных технологий. ИТ-департамент отвечает за то, чтобы все данные были надежно удалены перед утилизацией, переназначением или переработкой оборудования. Они должны следовать лучшим отраслевым практикам и вести учет процесса утилизации.

5.3 Портативные устройства хранения данных

Портативные устройства хранения данных, такие как USB-накопители, компакт-диски и DVD-диски, представляют собой особый риск из-за их размера и портативности. Необходимо тщательно вести инвентаризацию всех переносных устройств хранения, содержащих конфиденциальную информацию. В описи должны быть указаны такие сведения, как тип устройства, содержащаяся на нем информация и его текущий хранитель.

Когда портативные устройства хранения данных больше не нужны, их необходимо безопасно утилизировать. Предпочтительным методом является физическое уничтожение, гарантирующее, что данные не будут восстановлены. В зависимости от материала, из которого изготовлены устройства, их можно измельчить или сжечь.

5.4 Факсимильные аппараты, принтеры и копиры

Многие современные факсимильные аппараты, принтеры и копировальные аппараты имеют внутреннюю память, в которой хранятся копии документов, обработанных устройством. Перед утилизацией или переназначением такого оборудования необходимо очистить внутреннюю память от всех сохраненных данных. Невыполнение этого требования может привести к несанкционированному доступу к конфиденциальной информации.

Если оборудование арендуется и будет возвращено поставщику, необходимо убедиться, что поставщик по договору обязуется безопасно удалить все данные из памяти оборудования. Это соглашение должно быть оформлено в письменном виде, обеспечивая юридическую защиту и соблюдение требований.

5.5 Сторонние подрядчики

Если в распоряжении конфиденциальной информацией участвуют сторонние подрядчики, необходимо проверить их соответствие данной политике и всем требованиям законодательства. Это включает в себя проверку их процедур, сертификации и опыта работы с конфиденциальной информацией.

Со всеми сторонними подрядчиками должны быть заключены письменные соглашения, в которых четко прописаны их обязательства по соблюдению конфиденциальности и процедуры, которые они должны выполнять для безопасной утилизации. Эти соглашения должны включать положения об аудите и проверке соблюдения требований, гарантирующие, что подрядчики придерживаются тех же высоких стандартов, что и организация.

6. Обязанности

Все сотрудники несут ответственность за соблюдение этой политики и за немедленное сообщение о любых нарушениях или потенциальных рисках своему руководителю или специалисту по соблюдению нормативно-правовых требований. Бдительность необходима для предотвращения несанкционированного доступа к конфиденциальной информации.

Руководители должны следить за тем, чтобы их подчиненные соблюдали эту политику. Они отвечают за предоставление необходимых ресурсов и поддержки для безопасной утилизации, а также за своевременное информирование о любых проблемах или опасениях.

Департамент информационных технологий играет важную роль в обеспечении безопасной утилизации электронного оборудования. В их задачи входит внедрение технических решений по уничтожению данных, а также предоставление рекомендаций и поддержки другим отделам по мере необходимости.

Ответственный за соблюдение требований контролирует реализацию этой политики в организации. Это включает в себя проведение регулярных аудитов для оценки соответствия, решение любых выявленных проблем и обновление политики по мере необходимости с учетом изменений в законодательстве или практике организации.

7. Обучение

Чтобы обеспечить эффективное внедрение, все сотрудники и помощники должны пройти обязательное обучение по безопасной утилизации конфиденциальной информации. Обучение проводится при приеме на работу и в дальнейшем ежегодно. В ходе обучения будет рассказано о важности безопасной утилизации, конкретных процедурах, которым необходимо следовать, и юридических последствиях несоблюдения требований. Постоянное обучение укрепляет приверженность организации соблюдению конфиденциальности и вооружает персонал знаниями, необходимыми для эффективного выполнения своих обязанностей.

8. Соблюдение и исполнение

Соблюдение данной политики является обязательным. Несоблюдение может привести к дисциплинарным мерам, вплоть до расторжения трудового договора или контракта. В случае умышленного нарушения или грубой халатности могут быть приняты меры юридического характера. Организация обязуется соблюдать эту политику для защиты конфиденциальности информации и поддержания доверия с клиентами, партнерами и регулирующими органами.

9. Ссылки

Эта политика основывается на нескольких ключевых законодательных актах и нормативных рекомендациях, включая:

• Закон о переносимости и подотчетности медицинского страхования (HIPAA): Устанавливает национальные стандарты защиты медицинской информации.
• Калифорнийский закон о конфиденциальности медицинской информации (CMIA): Регулирует конфиденциальность медицинской информации на территории штата.
• Калифорнийский закон о конфиденциальности потребителей (CCPA): Предоставляет потребителям права в отношении их личной информации.
• Правила Департамента медицинского обслуживания (DHCS): Контролирует программу Medi-Cal и связанные с ней программы.

Эти ссылки обеспечивают правовые рамки, в которых действует данная политика, и подчеркивают важность ее соблюдения.

10. Обзор и пересмотр

Эта политика будет пересматриваться ежегодно, чтобы обеспечить ее соответствие требованиям законодательства и передовой практике. При необходимости она будет пересматриваться в связи с изменениями в законодательстве, технологиях или организационных процедурах. Отзывы сотрудников и результаты проверок соблюдения требований будут использоваться для внесения необходимых обновлений, что позволит обеспечить развитие политики в соответствии с возникающими проблемами.