Fiziksel Korumalar:
1. Erişim Kontrolü:Yetkisiz kişi veya kuruluşların PHI'ya erişiminin kısıtlanması.
2. Tesis Güvenliği:PHI'nın depolandığı veya işlendiği tesislere yetkisiz girişi veya erişimi önlemek için tedbirlerin uygulanması.
3. Cihaz ve İş İstasyonu Güvenliği:İş istasyonlarının, dizüstü bilgisayarların ve PHI içeren diğer cihazların güvenliğini sağlamak için politika ve prosedürlerin uygulanması.
Teknik Korumalar:
1. Veri Şifreleme:Yetkisiz erişime karşı koruma sağlamak için PHI'nın beklemede ve aktarım sırasında şifrelenmesi.
2. Erişim Kontrolleri:Kullanıcı rollerine, ayrıcalıklarına ve izinlerine dayalı olarak PHI'ya erişimi kontrol edecek sistemlerin uygulanması.
3. Denetim Kontrolleri:Denetim amacıyla PHI erişimi ve kullanımına ilişkin sistem faaliyetlerinin izlenmesi ve kaydedilmesi.
İdari Tedbirler:
1. Güvenlik Politikaları ve Prosedürleri:PHI'nın ele alınmasına yönelik kapsamlı güvenlik politikaları ve prosedürlerini oluşturmak ve sürdürmek.
2. İşgücü Eğitimi:İş gücü üyelerine HIPAA gizlilik ve güvenlik gereklilikleri, roller, sorumluluklar ve en iyi uygulamalar konusunda eğitim vermek.
3. Risk Analizi:Potansiyel güvenlik açıklarını tespit etmek için düzenli risk değerlendirmeleri yapmak ve riskleri azaltacak önlemleri uygulamak.
4. Olay Müdahalesi:PHI'yı içeren güvenlik olaylarına ve veri ihlallerine müdahale etmek için politika ve prosedürlerin oluşturulması.
İş Ortaklığı Anlaşmaları:Kapsam dahilindeki kuruluşlar adına PHI'yi idare eden kuruluşlar, iş ortağının güvenlik ve gizlilik yükümlülüklerini özetleyen İş Ortaklığı Anlaşmaları yapmalıdır.
Denetimler ve Uyumluluk İzleme:HIPAA düzenlemelerine uygunluğu sağlamak ve PHI'nın gizliliğini ve güvenliğini korumak için düzenli denetim ve uyumluluk izlemesi gerçekleştirilir.
Kimlik gizleme:PHI'nın paylaşılması veya ifşa edilmesi gerekiyorsa, bireylerin mahremiyetini korumak amacıyla doğrudan tanımlayıcıları kaldırmak veya gizlemek için kimlik gizleme işlemleri uygulanabilir.
Kapsam dahilindeki kuruluşlar ve iş ortakları, bu önlemleri uygulayarak PHI'yı potansiyel tehditlerden, ihlallerden veya yetkisiz erişimden koruyabilir ve HIPAA gerekliliklerine uygunluğu sağlayabilir.