1.电子交易和代码制定标准:要求每个进行电子业务的提供者使用相同的医疗保健事务、代码集和标识符。该规则由医疗保险和医疗补助服务中心管理。
2.隐私规则:为受保护实体持有的个人健康信息提供联邦保护,并赋予患者与该信息有关的一系列权利。该规则允许披露病人护理和其他重要目的所需的个人健康信息。这项规定由民权办公室执行。
3.安全规则:为所涉实体指定一系列行政、物理和技术保障措施,以确保电子受保护健康信息的保密性、完整性和可用性。这项规定由民权办公室执行。
4.国家标识要求要求保健服务提供者、保健计划和雇主有标准的国家数字,在标准交易中识别他们。该规则由医疗保险和医疗补助服务中心管理。
5.执行规则:提供执行所有管理简化规则的标准。
资料来源:美国卫生与公众服务部,HIPAASurvivalGuide.com
经济和临床健康信息技术法案(HITECH)
它涵盖了:作为2009年美国复苏和再投资法案的一部分,HITECH法案对HIPAA进行了重大修改,增加了有关患者健康信息隐私和安全的新要求。它扩大了HIPAA规定的隐私和安全保护的范围,增加了对不遵守规定的潜在法律责任,并提供了更多的强制执行。
是谁的影响:医疗保健提供者、医疗计划、医疗结算所和“业务伙伴”,包括执行索赔处理、数据分析、质量保证、计费、福利管理等工作的人员和组织。
与法律挂钩: http://www.hipaasurvivalguide.com/hitech-act-text.php(易读格式)
更正式的版本:http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hitechact.pdf
关键需求/规定:
*将HIPAA安全标准扩展到“商业伙伴”,包括从事涉及使用或披露个人可识别健康信息活动的人员和组织(通常是分包商),如索赔处理、数据分析、质量保证、计费和福利管理,以及提供法律、会计或行政职能的人员和组织。
*增加对“故意忽视”的民事处罚。
*未经授权使用和披露“不安全PHI”的数据泄露通知要求。这些通知要求类似于许多州与个人可识别的财务信息数据有关的数据违反法律。
*加强个人访问电子医疗记录和限制某些信息披露的权利。
*对出售受保护的健康信息、营销和筹资沟通有新的限制。
资料来源:美国卫生与公众服务部,HIPAASurvivalGuide.com
患者安全与质量改进法案(PSQIA,患者安全规则)
它涵盖了PSQIA于2009年1月19日颁布,建立了自愿报告系统,以增强可用数据,以评估和解决患者安全和卫生保健质量问题。为了鼓励报告和分析医疗错误,PSQIA为患者安全信息提供联邦特权和保密保护,其中包括在报告和分析患者安全事件期间收集和创建的信息。
这些保密条款旨在通过创造一种环境,使提供者可以报告和检查患者安全事件,而不必担心增加责任风险,从而改善患者安全结果。公民权利办公室管理和执行提供给PSWP的保密保护。保健研究和质量局负责管理与pso有关的条款。
是谁的影响:报告医疗错误或其他患者安全事件的医疗保健提供者、患者和个人/实体。
与法律挂钩: http://edocket.access.gpo.gov/2008/pdf/e8 - 27475. - pdf
关键需求/规定:
*子部分A:定义基本术语,如患者安全工作产品(在报告和分析患者安全事件期间收集和创建的信息)、患者安全评估体系和患者安全组织(PSO)。
*第B部分:规定pso的上市要求。这些实体在分析患者安全事件时提供专家意见,并收集或开发其他信息,以便向提供者提供反馈和建议。
*子部分C:描述附加在患者安全工作产品上的特权和保密保护以及保护的例外情况。
*子部分D:建立一个框架,使卫生与公众服务部能够监督和确保保密规定的遵守,对违反保密规定的人处以民事罚款的程序,以及听证程序。
资料来源:美国卫生和公众服务部,卫生保健研究和质量机构
第2868号:化学设施反恐怖主义标准条例
它涵盖了当前位置CFATS法规于2007年生效,是《国土安全拨款法案》的一部分。它对高风险化学品设施实施联邦安全法规,要求涉及的化学品设施准备安全漏洞评估,并制定和实施现场安全计划,其中包括措施,以满足确定的基于风险的性能标准。这些规定将一直实施到2011年10月,届时它们要么将成为永久性规定,要么将以更严格的要求予以延长。正在审议的一项要求是“内在更安全技术”条款,该条款将要求使用、储存和制造某些化学品的一些设施可能改变工艺和所使用的化学品。
是谁的影响:化学设施,包括制造;存储和分布;能源和公用事业;农业和粮食;油漆和涂料;炸药;采矿;电子产品;塑料;和医疗保健。
与法律挂钩: http://energycommerce.house.gov/Press_111/20091001/hr2868_billtext.pdf
关键需求/规定: CFATS采用绩效标准而非规范性标准。这些标准是“基于风险的”,这意味着安全措施取决于每个设施确定的风险水平。
为此,国土安全部建立了一个分级系统,将化学品设施划分为四个“风险”级别,从高(第1级)到低(第4级)。分级分配是基于对与相关化学品有关的资产成功攻击的潜在后果的评估。
一旦被分配到一层,设施必须遵守19类基于风险的性能标准:
1.限制区域周边
2.资产安全的网站
3.屏幕和控制访问
4.阻止、探测延迟
5.装运,收货和仓储
6.盗窃和转移
7.破坏
8.网络
9.响应
10.监控
11.培训
12.人员担保
13.升高的威胁
14.特定威胁、漏洞、风险
15.重大安全事件的报告
16.重大安全事件及可疑活动
17.官员和组织
18.记录
19.提出秘书助理可能指定的任何绩效标准
资料来源:国土安全部
第三部分:关键州法规(在美国影响广泛)
马萨诸塞州201 CMR 17(即大规模数据保护法)
它涵盖了请看外电的报道马萨诸塞州的这项法律于2010年3月生效,旨在保护该州居民免受欺诈和身份盗窃的侵害。它要求任何存储或使用马萨诸塞州居民个人身份信息的企业制定一份书面的、定期审计的计划,以保护这些信息。它对信息安全采取基于风险的方法,而不是规定的方法。这意味着它指导企业建立一个安全计划,考虑到企业的规模、范围、资源、收集或存储的数据的性质和数量,以及安全的需要,而不是要求采用一个既定计划的每个组成部分。
更多关于201cmr 17和数据泄露通知
是谁的影响:收集和保留马萨诸塞州居民与提供商品和服务或为就业目的有关的个人信息的企业。
与法律挂钩: http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf
关键需求/规定:该规例的主要规定包括:
*文件化的信息安全计划,详细说明为保护个人信息而采取的技术、物理和行政措施。
*个人身份信息加密——姓名、社会安全号码、银行账号或信用卡号码的组合——当存储在便携式设备上,如笔记本电脑、pda和闪存驱动器,或通过无线或公共网络传输时。
*选择能妥善保护个人资料的第三方服务供应商。
*指定员工负责监督和管理工作场所的安全程序,以及持续监控和解决安全隐患。
*将收集的数据限制在预期用途所需的最低限度。
*计算机系统安全要求,包括安全用户认证协议、访问控制措施、系统监控、防火墙保护、更新的安全补丁和安全代理软件,以及员工教育和培训。
资料来源:马萨诸塞州消费者事务办公室
内华达州个人信息数据隐私加密法NRS 603A
它涵盖了2010年1月,内华达州成为第一个颁布数据安全法的州,要求对客户存储和传输的个人信息进行加密。
更多关于加密
是谁的影响:收集和保留内华达州居民个人信息的企业。
与法律挂钩: http://www.leg.state.nv.us/nrs/nrs - 603 a.html
关键需求/规定:该法律包含以下要求:
*接受符合当前版本PCI/DSS的支付卡的数据收集器(见上文)。
*企业必须对在安全系统以外以电子方式传送的个人资料进行加密。
*企业必须对存储在超出数据收集器或数据存储承包商逻辑或物理控制的设备(电脑、电话、磁带、闪存驱动器等)上的任何个人信息进行加密。
*如商业机构遵守法例,而有关违反保安规定的行为并非由重大疏忽或故意不当行为引起,则商业机构毋须就有关损害承担法律责任。
资料来源:内华达州,保罗·马吉特
第四部分:选定的国际安全和隐私法
个人信息保护和电子文件法案(PIPED Act,或PIPEDA)-加拿大
它涵盖了加拿大隐私法规定了公共和私人组织在业务过程中如何收集、使用和披露个人信息。它于2001年1月对联邦管理的组织生效,于2004年1月对所有其他组织生效。
2010年5月,C-29法案对PIPEDA提出了许多修正案,包括未经同意使用和披露个人信息的例外,以及对商业交易的进一步要求。
是谁的影响:所有在加拿大做生意的私营企业。
与法律挂钩: http://www2.parl.gc.ca/HousePublications/Publication.aspx?pub=bill&doc=c-6&parl=36&ses=2&language=E
C-29法案修正案:http://www2.parl.gc.ca/HousePublications/Publication.aspx?Docid=4547739&
关键需求/规定: PIPEDA制定了10项原则来规范个人信息的收集、使用和披露:
1.问责制
2.识别的目的
3.同意
4.限制集合
5.限制使用、披露和保留
6.精度
7.保障措施
8.开放
9.个人访问
10.具有挑战性的合规
来源:加拿大隐私专员办公室,BearingPoint
私人持有的个人资料保护法-墨西哥
它涵盖了墨西哥的这项法律于2010年7月公布,它要求组织在收集、处理、使用和披露个人身份信息时必须有合法的依据,如同意或法律义务。虽然不要求像许多欧洲国家那样将处理活动通知政府机构,但处理个人数据的公司必须向受影响的人提供通知。如果出现安全漏洞,个人也必须得到通知。
连接到法律(西班牙语): http://www.dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
它将影响谁:墨西哥企业,以及在墨西哥经营、做广告、使用西班牙语呼叫中心和其他位于墨西哥的支持服务的任何公司。
需求/规定除处理资料保留问题外,法例亦包括资料管制人在处理个人资料时必须遵守的八项一般原则:
*合法性
*同意
*请注意
*质量
*目的限制
*忠诚
*比例
*问责
资料来源:信息法律集团