Следните стандарти се основават на 10-те водещи принципа за събиране, съхранение, споделяне и използване на данни. Те представляват препоръчителни стандарти за гарантиране на сигурността, конфиденциалността и подходящото използване на данни, събрани от финансирани от NCHHSTP програми.
- 1.0 ПРОГРАМНИ ПОЛИТИКИ И ОТГОВОРНОСТИ
- 2.0 СЪБИРАНЕ НА ДАННИ И УПОТРЕБА
- 3.0 СПОДЕЛЯНЕ НА ДАННИ И ИЗПУСКАНЕ
- 4.0 ФИЗИЧНА СИГУРНОСТ
- 5.0 СИГУРНОСТ НА ЕЛЕКТРОННИ ДАННИ
1.0 ПРОГРАМНИ ПОЛИТИКИ И ОТГОВОРНОСТИ
- 1.1 Разработване на писмени политики и процедури за сигурност и поверителност на данните; преглеждайте политиките и процедурите поне веднъж годишно; ревизирайте ги при необходимост; и осигуряват техния преглед и достъп до всички членове на персонала, които имат разрешен достъп до поверителни данни на индивидуално ниво.
- 1.2 Определете лице или лица, които да действат като цялостната отговорна страна (ORP) за сигурността на данните за общественото здраве, която вашата програма събира или поддържа, и гарантирайте, че ORP е посочен във всички политически документи, свързани със сигурността на данните.
- 1.3 Уверете се, че политиките за сигурност на данните определят ролите и нивата на достъп на всички лица с разрешен достъп до поверителни данни за общественото здраве и процедурите за сигурен достъп до данни.
- 1.4 Уверете се, че политиките за сигурност на данните изискват текущи прегледи на развиващите се технологии и включват план за архивиране на компютър или план за възстановяване при бедствия.
- 1.5 Уверете се, че всяко нарушение на протокола за защита на данните, независимо дали личната информация е била предоставена, се докладва на ORP и незабавно се разследва. Всяко нарушение, което води до разкриване на лична информация (PII) на неоторизирани лица, трябва да се докладва на ORP, на CDC и, ако това е оправдано от органите на реда.
- 1.6 Уверете се, че членовете на персонала с достъп до идентифицируеми данни за общественото здравеопазване посещават обучение за сигурност на данните и конфиденциалност ежегодно.
- 1.7 Изискване от всички новонаети служители да подпишат споразумение за поверителност, преди да им бъде предоставен достъп до информация, която може да се идентифицира; изискват всички членове на персонала да подписват своите споразумения за поверителност ежегодно.
- 1.8 Уверете се, че всички лица, които имат разрешение за достъп до поверителни данни за общественото здравеопазване, носят отговорност за 1) прилагане на политиките и процедурите за сигурност на данните на програмата, 2) защита на сигурността на всяко устройство, което притежава, в което се съхраняват PII, и 3) докладване на съмнения нарушения на сигурността.
- 1.9 Удостоверявайте ежегодно, че са спазени всички стандарти за сигурност на данните.
2.0 СЪБИРАНЕ НА ДАННИ И УПОТРЕБА
- 2.1 Ясно посочете целта, за която ще бъдат събирани данните.
- 2.2 Събиране и използване на минималната информация, необходима за извършване на конкретни обществено-здравни дейности и постигане на заявената цел за обществено здраве.
- 2.3 Събирайте лични данни само когато е необходимо; използвайте неидентифицируеми данни, когато е възможно.
- 2.4 Уверете се, че данните, които се събират и / или използват за научни изследвания в областта на общественото здраве, се извършват в съответствие с разпоредбите на Общото правило, дял 45, част 46 от Кодекса на федералните регламенти, което включва получаване на одобрение от институционалния съвет за преглед (IRB) за всяко предложи финансирани от федерални изследвания изследвания и информирано съгласие на лица, пряко свързани с по-нататъшно участие.
3.0 СПОДЕЛЯНЕ НА ДАННИ И ИЗПУСКАНЕ
- 3.1 Ограничете споделянето на поверителна или подлежаща на идентифициране информация на тези с оправдана потребност от обществено здраве; гарантира, че ограниченията за обмен на данни не компрометират или възпрепятстват обществената здравна програма или дейностите по наблюдение на болестта и че ORP или друго подходящо длъжностно лице е одобрило този достъп.
- 3.2. Оценка на рисковете и ползите от споделянето на идентифицируеми данни за различни от първоначално посочените им цели или за цели, които не са обхванати от съществуващите политики.
- 3.3 Уверете се, че всяка програма за обществено здраве, с която се споделят лични данни за общественото здраве, има стандарти за сигурност на данните, еквивалентни на тези в този документ.
- 3.4 Уверете се, че информацията за общественото здраве се предоставя само за цели, свързани с общественото здраве, освен когато това се изисква от закона.
- 3.5 Създаване на процедури, включително оценка на рисковете и ползите, за да се определи дали да се предоставят искания за съвкупни данни, които не са обхванати от съществуващите политики за освобождаване на данни.
- 3.6 Разпространяване на неопределими обобщени данни на заинтересованите страни възможно най-скоро след събирането на данните.
- 3.7 Оценете качеството на данните, преди да разпространявате данни.
- 3.8 Уверете се, че политиките за освобождаване на данни определят целите, за които могат да се използват данните, и разпоредби за предотвратяване на обществен достъп до необработени данни или таблици с данни, които биха могли да съдържат индиректно идентифицираща информация.
4.0 ФИЗИЧНА СИГУРНОСТ
- 4.1 Доколкото е възможно, уверете се, че лицата, които работят с хартиени копия на документи, съдържащи поверителна, идентифицируема информация, правят това на сигурно и заключено място.
- 4.2 Уверете се, че документите, съдържащи поверителна информация, са раздробени с разрязващи се срезорези преди изхвърлянето им.
- 4.3 Уверете се, че политиките и процедурите за защита на данните се отнасят до обработката на хартиени копия, входяща и изходяща поща, дългосрочно съхранение на хартия и запазване на данни. Количеството поверителна информация във цялата такава кореспонденция трябва да бъде сведено до минимум и унищожено, когато вече не е необходимо.
- 4.4 Ограничете достъпа до сигурни зони, които съдържат поверителни данни за общественото здравеопазване, на упълномощени лица и установете процедури за контрол на достъпа до защитени зони от лица, които не са упълномощени.
- 4.5 Уверете се, че програмният персонал, работещ с документи, съдържащи PII в полето 1) връща документите в сигурна зона при закриване на бизнеса, 2) получаване на предварително одобрение от програмния мениджър за това, или 3) спазване на одобрени процедури за работа с такива документи.
- 4.6 Уверете се, че документите с редови списъци или подкрепящи бележки съдържат необходимия минимален обем от потенциално идентифицируема информация и, ако е възможно, всички потенциално идентифицируеми данни да бъдат кодирани, за да се предотврати неволно освобождаване на PII.
5.0 СИГУРНОСТ НА ЕЛЕКТРОННИ ДАННИ
- 5.1 Уверете се, че наборите от данни за анализ, до които можете да получите достъп извън защитената зона, се съхраняват със защитен софтуер (т.е. софтуер, който контролира съхранението, премахването и използването на данни) и проверете премахването на всички лични идентификатори.
- 5.2 Уверете се, че всяко електронно прехвърляне на данни е одобрено от ORP и подлежи на контрол на достъпа и че идентифицируемите данни са криптирани, преди да бъдат прехвърлени.
- 5.3 Преди да прехвърлите електронни данни, съдържащи PII, уверете се, че данните са били криптирани с помощта на пакет за криптиране, който отговаря на критериите за разширен стандарт за криптиране (AES) и че прехвърлянето на данни е одобрено от съответния официален служител на програмата или ORP. Не трябва да се прехвърлят никакви електронни данни, съдържащи идентифицираща информация, без да бъдат криптирани.
- 5.4 Използвайте софтуер за криптиране, който отговаря на федералните стандарти AES, за да криптирате данни с PII на всички лаптопи и други преносими устройства, които получават или съхраняват данни за обществено здраве с лични идентификатори.
- 5.5 Уверете се, че политиките за данни включват процедури за обработка на входящи и изходящи факсимилни предавания. Минимизирайте включването на PII във факс предавания и унищожете твърди копия и дезинфекцирайте твърди дискове, когато вече не са необходими.
