1。电子交易和代码设置标准:要求每个供应商谁做电子商务使用相同的医疗事务,代码集和标识符。这条规则是由医疗保险和医疗补助服务中心。
2。隐私规则:提供联邦保护个人健康信息被覆盖的实体和给病人权利对这些信息的数组。规则允许病人护理所需的个人健康信息的披露和其他重要用途。这条规则是由民权办公室。
3所示。安全规则:指定一系列的行政,物理和技术保障覆盖实体使用,以确保机密性、完整性和可用性的电子受保护的健康信息。这条规则是由民权办公室。
4所示。国家标识要求:要求卫生保健提供者,健康计划和雇主标准国家标准数字识别事务。这条规则是由医疗保险和医疗补助服务中心。
5。执行规则:提供标准执行所有政府简化规则。
资料来源:美国卫生和人类服务部,HIPAASurvivalGuide.com
经济和临床医疗卫生信息技术法案(高科技)
它涵盖了:2009年美国复苏与再投资法案》的一部分,高科技的法案大幅修改HIPAA通过添加新的需求有关病人健康信息的隐私和安全。它扩大了隐私和安全保护的范围可根据HIPAA,增加了潜在的法律责任不符合,并提供更多的执行。
是谁的影响:卫生保健提供者,健康计划,医疗票据交换所和“商业伙伴”,包括人员和组织执行索赔处理、数据分析、质量保证、账单、福利管理等。
链接到法律:http://www.hipaasurvivalguide.com/hitech-act-text.php(易读的格式)
更正式的版本:http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hitechact.pdf
关键需求/规定:
*扩张HIPAA安全标准“商业伙伴”,包括人们和组织(通常是分包商)执行活动,涉及使用或披露个人的健康信息,如索赔处理,数据分析,质量保证,账单,和福利管理,以及那些提供法律、会计或管理功能。
*增加民事处罚“故意忽视。”
*数据违反通知要求未经授权的使用和披露的“无担保φ。”These notification requirements are similar to many state data breach laws related to personally identifiable financial information data.
*强大的个人权利访问电子病历和限制特定信息的披露。
*新限制受保护的健康信息的销售,营销和筹款的通信。
资料来源:美国卫生和人类服务部,HIPAASurvivalGuide.com
病人安全与质量改进行动(PSQIA患者安全规则)
它涵盖了:1月19日颁布,2009年,PSQIA建立一个自愿报告系统来提高数据可用来评估并解决病人安全和医疗质量问题。鼓励医疗错误的报告和分析,PSQIA提供联邦特权和机密性保护病人的安全信息,包括信息收集和创建在病人安全事件的报告和分析。
这些保密规定旨在改善患者安全结果通过创建一个提供者可能的环境报告并检查病人安全事件而不用担心增加的责任风险。民权办公室管理和执行提供给PSWP机密性保护。卫生保健研究和质量管理机构的规定处理:单。
是谁的影响:卫生保健提供者、病人和个人/实体医疗错误或其他病人安全事件报告。
链接到法律:http://edocket.access.gpo.gov/2008/pdf/e8 - 27475. - pdf
关键需求/规定:
*部分:定义基本条款,如患者安全工作产品(信息收集和创建在病人安全事件的报告和分析),患者安全评价体系和患者安全组织(PSO)。
*部分B:提供清单:单的要求。这些实体提供专家建议患者安全事件分析和其他信息收集或开发供应商提供反馈和建议。
*部分C:描述了附加的特权和机密性保护患者安全工作产品和例外情况的保护。
*部分D:建立一个框架,使美国卫生和公众服务部监控并确保遵守保密规定,流程实施民间资金违约罚金的保密条款,和听证程序。
来源:美国卫生和人类服务部,医疗研究的机构和质量
2868号决议:化学工厂反恐标准规定
它涵盖了:CFATS规定生效于2007年,是作为国土安全拨款法案的一部分。征收联邦安全法规高危化学设施,要求覆盖化学设施准备安全漏洞评估和制定和实施网站安全计划,包括措施满足了基于风险的性能标准。规定是在2011年10月,此时他们会是永久性的或将扩展和更严格的要求。正在考虑的一项要求是固有的安全技术规定,要求一些设施使用、储存和制造业使用的某些化学物质可能变化过程和化学物质。
是谁的影响:化学设施,包括制造;存储和分布;能源和公用事业;农业和粮食;油漆和涂料;炸药;采矿;电子产品;塑料;和医疗保健。
链接到法律:http://energycommerce.house.gov/Press_111/20091001/hr2868_billtext.pdf
关键需求/规定:CFATS使用性能标准,而不是规定标准。这些标准是“风险”,这意味着安全措施取决于每个设施的风险水平确定。
为此,国土安全部创建了一个分层系统和分配化学设施分为四层“风险”,从高(一级)到低(第4层)的风险。层的任务是基于一个潜在后果的评估一个成功的攻击与化学品相关资产的兴趣。
一旦分配一个层,设备必须符合19类别的风险性能标准:
1。限制区域周边
2。资产安全的网站
3所示。屏幕和控制访问
4所示。阻止、探测延迟
5。运输、接收和存储
6。盗窃和转移
7所示。破坏
8。网络
9。响应
10。监控
11。培训
12。人员担保
13。升高的威胁
14。特定的威胁、漏洞风险
15。重大安全事故的报告
16。重大安全事故和可疑活动
17所示。官员和组织
18岁。记录
19所示。助理国务卿可以指定地址的任何性能标准
资料来源:国土安全部
第三部分:关键国家规定(与广泛的影响在美国)
马萨诸塞州201 CMR 17(又名质量数据保护法)
它涵盖了:马萨诸塞州法律——2010年3月生效——作品保护该州的居民免受欺诈和身份盗窃。它要求任何业务存储或使用麻萨诸塞州居民的个人身份资料开发,定期审计计划来保护这些信息。需要一个基于风险的方法,而不是一个规范的信息安全。这意味着它指导企业建立安全程序,考虑了业务规模、范围、资源,收集的数据的性质和数量或存储和安全的需要,而不是要求每个组件的采用规定的程序。
更多关于质量201 CMR 17和数据违反通知
是谁的影响马萨诸塞州:企业收集和保留个人信息与居民提供商品和服务或就业的目的。
链接到法律:http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf
关键需求/规定监管的关键需求包括以下:
*记录信息安全计划,详细技术、物理和行政措施保护个人信息。
*加密的个人身份信息的组合的名字,社会安全号码,银行帐号或信用卡号码,当存储在移动设备上,如笔记本电脑、pda和闪存,无线传输或在公共网络。
*选择的第三方服务提供商可以正确地维护个人信息。
*指定的员工负责监督和管理工作场所的安全程序,以及持续监控和解决安全隐患。
*限制收集数据所需的最小的目的。
*计算机系统安全需求,包括安全的用户身份验证协议,访问控制措施、系统监控、防火墙保护,更新安全补丁和安全代理软件和员工的教育和培训。
来源:马萨诸塞州联邦消费者事务办公室
内华达的个人信息数据隐私加密法律关系,603年
它涵盖了:2010年1月,内华达州是第一个国家制定一个数据安全法律规定加密客户的个人信息存储和运输。
更多关于加密
是谁的影响:企业收集和保留内华达州居民的个人信息。
链接到法律:http://www.leg.state.nv.us/nrs/nrs - 603 a.html
关键需求/规定:法律包含以下要求:
*数据收集器,接受信用卡付款符合PCI / DSS的当前版本(见上图)。
*企业必须加密以外的任何个人信息以电子方式传送业务的安全系统。
*业务必须加密任何个人信息存储在一个设备(电脑、电话、磁带、闪存等)超越逻辑或物理控制数据收集器或数据存储的承包商。
*企业不承担损害赔偿责任的安全漏洞是否符合法律和违约没有重大过失或故意不当行为造成的。
来源:内华达州,保罗Mudgett
第四部分:选择国际安全和隐私法
个人信息保护和电子文件法(管道采取行动,或PIPEDA)——加拿大
它涵盖了:这个加拿大隐私法支配公共和私人组织如何收集、使用和披露个人信息的业务。2001年1月生效的联邦监管机构和2004年1月对所有其他人。
2010年5月,比尔c29介绍众多PIPEDA修正案,涉及异常未经许可的使用和披露个人信息,进一步对商业交易的要求。
是谁的影响在加拿大做生意:所有的私营企业。
链接到法律:http://www2.parl.gc.ca/HousePublications/Publication.aspx?pub=bill&doc=c-6&parl=36&ses=2&language=E
比尔c29修正案:http://www2.parl.gc.ca/HousePublications/Publication.aspx?Docid=4547739&
关键需求/规定:PIPEDA建立10原则管理的收集、使用和披露个人信息:
1。问责制
2。识别的目的
3所示。同意
4所示。限制集合
5。限制使用、披露和保留
6。精度
7所示。保障措施
8。开放
9。个人访问
10。具有挑战性的合规
来源:毕博、隐私专员办公室加拿大
法律保护个人数据被私人派对——墨西哥
它涵盖了:发表在2010年7月,墨西哥法律要求组织有一个合法的基础,如同意或法律义务,为收集、加工、使用和披露的个人身份信息。虽然没有要求通知处理活动,政府机构,在许多欧洲国家,公司处理个人资料必须提供通知受影响的人。个人也必须通知事件的安全漏洞。
链接法(西班牙语):http://www.dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
谁将影响:墨西哥企业以及任何公司或广告运作在墨西哥或使用西班牙语呼叫中心坐落在墨西哥和其他支持服务。
需求/规定:除了解决数据保留,法律还包含八个一般原则,数据控制器在处理个人数据必须遵循:
*合法性
*同意
*请注意
*质量
*目的限制
*忠诚
*比例
*问责
来源:法律团体的信息