"Safe Harbour" Anonymisierung
De-Identifikation durch Verschleierung
PHI und mehr verschleiern
Müssen Sie geschützte Gesundheitsinformationen (PHI) oder andere persönlich identifizierbare Informationen (PII) bearbeiten oder verschleiern? Und können Sie dies auf eine Weise tun, die:
- sicher vor Hacking oder Bypass ist (Sammeln der Informationen aus anderen Daten)?
- die ursprünglichen Spalten- und Feldlayouts (Position, Größe Datentyp) beibehält?
- die anonymisierten Daten für Testzwecke real genug aussehen lässt?
- bequem, einfach, effizient und erschwinglich ist?
- die HIPAA Safe Harbour Regel erfüllen wird?
Mit IRI FieldShield können Sie die Schlüsselidentifikatoren (und die Quasi-Identifikatoren) in Datenbankspalten und in Feldern in strukturierten und JSON-Dateien leicht klassifizieren, finden und entfernen oder auf andere Weise de-identifizieren. Mit IRI CellShield können Sie dasselbe in Excel 2010 und neueren Tabellenkalkulationen tun. Und mit IRI DarkShield können Sie dasselbe für PHI-Werte in unstrukturierten Dateien wie HL7 und X12, PDF und Word, Excel und PowerPoint sowie in Bilddateien (einschließlich eingebrannter PHI in DICOM-Formaten) tun. Alle diese Datenmaskierungsprodukte sind Teil der IRI Data Protector-Suite oder kostenlos in der IRI Voracity-Datenmanagement-Plattform enthalten.
Die von Ihnen gewählte Methode zur De-Identifizierung/Verschleierung/Maskierung von Daten bestimmt das Aussehen der maskierten Ergebnisse und die Wahrscheinlichkeit der Wiederherstellung der Originalwerte. In diesem Artikel ("Welche Datenmaskierungsfunktion sollte ich verwenden?") finden Sie Ratschläge.
45 CFR 164.312, Technische Sicherheitsvorkehrungen
Implementierung technischer Richtlinien und Verfahren, um den EPHI-Zugang auf "Personen oder Softwareprogramme zu beschränken, denen Zugriffsrechte gewährt wurden". Diese Systeme müssen eine eindeutige Benutzeridentifikation, Notfall-Zugriff, automatische Abmeldung sowie Ver- und Entschlüsselung ermöglichen.
* Übertragungssicherheit, einschließlich zweier adressierbarer Spezifikationen:
- Integritätskontrollen -- Sicherheitsmaßnahmen, um sicherzustellen, dass elektronisch übertragene PHI bis zur Entsorgung nicht unsachgemäß ohne Erkennung verändert wird, und.
- Verschlüsselung - Die Ausweisung der Verschlüsselung als adressierbare Spezifikation ist eine wesentliche Abweichung von der vorgeschlagenen Regel, die bei der Verwendung offener Netzwerke explizit Verschlüsselung verlangt. Abgedeckte Unternehmen müssen nun festlegen, wie sie EPHI "in einer Weise schützen können, die dem damit verbundenen Risiko angemessen ist".
FieldShield macht die Verschlüsselung zu einer weiteren Option für den Schutz auf Feldebene in Tabellen und Dateien, zusammen mit Filterung, Anonymisierung und Pseudonymisierung, während CellShield in Excel dasselbe tut. Das CoSort SortCL-Programm oder verschiedene Hadoop-Maskierungs-Engines, die auf der Voracity-Plattform austauschbar eingesetzt werden, tun dies auch und sogar bei der Ausführung von umfangreichen Manipulationen und Berichten gegen massive Datenquellen.
* Hardware, Software und/oder Verfahren zur Durchführung von Auditkontrollen
Optionale Anwendungsstatistiken und ein abfragebares XML-Auditprotokoll zeichnen das Jobskript und die Verschlüsselungsbibliotheken auf, die zeigen, was, wann, wie und von wem die PHI-Felddaten verschlüsselt (und anderweitig geschützt und/oder transformiert) wurden.
* Richtlinien und Verfahren zum Schutz von EPHI vor unsachgemäßer Änderung oder Zerstörung, um die Datenintegrität zu gewährleisten. Dieser Integritätsstandard ist mit einer adressierbaren Implementierungsspezifikation für einen Mechanismus gekoppelt, um zu bestätigen, dass EPHI nicht unbefugt verändert oder zerstört wurde.
Daten, die nicht mit dem richtigen Verschlüsselungscode entschlüsselt werden, deuten darauf hin, dass das entschlüsselte Feld beschädigt wurde. Sie können dies durch Laufzeitstatistiken und Auditprotokolle nachvollziehen, die die IRI-Software automatisch erstellt. Sie können sehen, wann und wie jedes Feld geändert wurde.
* Authentifizierung einer natürlichen oder juristischen Person, die von dem betroffenen Unternehmen verlangt, Verfahren zu implementieren, die sicherstellen, dass eine Person oder juristische Person, die Zugang zu EPHI beantragt, diejenige ist, die behauptet, dies zu tun.
Die Benutzer der IRI-Software können eine Reihe von rollenbasierten Zugriffskontrollen für Datenquellen und ausführbare Dateien nutzen.