La richiesta è ridicola a tutti i livelli.

Innanzitutto, come farà il manager / le risorse umane a bloccare la tua posta in un armadietto? Non invii mai mai e poi mai un nome utente / password sensibili tramite e-mail. C'è una piccola possibilità che questo possa essere parte di un attacco di phishing. Nella migliore delle ipotesi ora il computer / laptop del tuo capo / delle risorse umane è un unico punto di errore per la sicurezza dell'intero ufficio.

Secondo, come farà questo manager / risorse umane a garantire che nessun altro abbia mai accesso a questo o potenzialmente effettuare il login come te?

Terzo, ci sono molti modi con l'amministrazione di Windows in cui posso sovrascrivere l'account di dominio di un utente e accedere al suo profilo utilizzando le procedure appropriate.

Per me ci sono solo due ragioni per cui la direzione lo chiederebbe:

• Sono così impropriamente addestrati e completamente incapaci di tecnologia e procedure di sicurezza che si sentono che questo è "l'unico modo" per farlo. Questo la dice lunga sulla tua azienda. O hai un management superiore che è letteralmente all'oscuro di come gestire un'organizzazione che gestisce dati sensibili o non hanno letteralmente alcuna fiducia nel tuo personale IT / tecnico.

• Potrebbe anche essere che il personale IT / tecnico abbia impedito loro di fare determinate cose e il tuo login gli consente di aggirare queste misure di sicurezza. Alcune applicazioni davvero ben progettate non consentirebbero un accesso automatico se accedessi al tuo profilo utilizzando l'autenticazione del dominio. Quindi avremmo bisogno di avere il login / pass dell'utente o reimpostare l'utente. Ad ogni modo, non riesco a capire in modo fattibile perché l'alta dirigenza dovrebbe accedere come te per fare qualcosa a tua insaputa.

• (Aggiungendo questo in base a un commento dell'autore perso) - Normalmente non andrei così lontano, ma l'autore ha aggiunto che crede che il loro reparto IT / sicurezza esternalizzato sia a conoscenza dell'email e sia d'accordo. Questo è un segno sicuro che o sono molto inadatti al loro lavoro (ne hanno bisogno per un vero backup) e se sono così cattivi non c'è modo che stiano aderendo agli standard HIPAA. O poi, più ovviamente, sono in combutta con la gestione: utilizzano gli accessi per eseguire pratiche "nefaste".

Come gestirò questo?

Chiederei al mio manager perché ha bisogno dei tuoi dati. Esprimi le tue preoccupazioni sulla privacy (e sui regolamenti HIPAA).

Se il tuo manager ti fa pressioni su questo, contatterò le risorse umane: hanno inviato l'email ma iniziano con il tuo manager. È probabile che non sia autorizzato (o quando vedranno il problema di sicurezza diranno che non è stato autorizzato). Qui è dove diventa difficile. Perché l'unico gruppo che di solito è meno tecnico dei manager, è quello delle risorse umane (parlando in generale qui).

Dovrai esprimere le tue preoccupazioni alle risorse umane. Mi assicurerei che le risorse umane lavorino con qualcuno del tuo dipartimento IT / tecnico per assicurarmi che questo soddisfi le pratiche di sicurezza dell'azienda. Se le risorse umane si rifiutano di lavorare con i reparti IT / Tech, potrebbe essere necessario contattare qualcuno direttamente in tali reparti. Se hai una sezione sulla sicurezza, inizierei con loro. In caso contrario, inizia con il capo dell'IT.

L'ultima risorsa è contattare Salute e servizi umani . Puoi leggere che questa è probabilmente una violazione diretta delle loro salvaguardie tecniche qui . Se nessuno nella tua azienda vuole fare qualcosa per il problema di sicurezza, chiedi se si tratta di una violazione, segnala la tua azienda e consenti loro di essere istruiti.

(E penso che questo sia diverso dal chiedere il tuo utente / pass quando lasci l'azienda. Ritengo che possa essere giustificato perché se facessero qualcosa ci sarebbero informazioni "timestamp" che ti permetterebbero di essere rivendicato di illeciti. Ma mentre sei impiegato lì, questo diventa un gioco di quello che ha detto / ha detto o dov'eri alle 10:32 del 5 gennaio? E nota che con il tuo accesso posso accedere a un PC da remoto facilmente nell'ufficio in cui ti trovi per un dato giorno come te.)

Il suono che senti sono diecimila amministratori di rete che urlano "NO!" in questo post.

Nella migliore delle ipotesi, questo è un tentativo di vedere quanto sei credulone. In realtà sospetto che sia così, dato che i controlli di sicurezza testano principalmente gli exploit sociali, in questi giorni.

Nel peggiore dei casi, questo è il segno di una gestione completamente inetta (voglio dire completamente, poiché i loro genitori dovrebbero pagare multe per aver inquinato l'ambiente con questa stupidità).

In qualsiasi caso, non invierei MAI a nessuno QUALSIASI password legata alla mia identità.

Inoltrerei questa email al tuo reparto IT con un'intestazione: "Ovviamente nessuno avrebbe mai la legittima necessità di farlo, ma ho pensato che questo dovrebbe essere portato alla tua attenzione come un tentativo di exploit di sicurezza. "

Questa è una richiesta ridicola a così tanti livelli in un ambiente HIPAA.

• Innanzitutto non dovrebbe chiedere
• Non dovrebbe inviare email
• Non dovrebbe tenerlo in uno schedario
• è un accesso a Windows
  Se disponi di un accesso locale anziché di un dominio, non vedo come potresti essere conforme a HIPAA in primo luogo.
  In un dominio un amministratore di dominio può bloccare un account o modificare il tuo password.
  Se un amministratore di dominio cambia la tua password che è ciò che è registrato - ci sono prove che la modifica della password non è stata eseguita da te.
  Se oggi non controlla la tua password, non vedo come sono conformi HIPAA.
  In realtà, se non sei su un dominio, i dispositivi non sono autenticati e questo non è conforme a HIPAA.

Immagino che possano chiederlo, ma sospetto che la richiesta da sola sia una prova che non sono conformi HIPAA. Se rispetti la richiesta, è probabile che si tratti di una violazione HIPAA. Ma se stai rispettando la richiesta verificata dalla direzione, direi che la violazione non è qualcosa che può essere appuntato su di te. Se qualcun altro usa il tuo account puoi dire ehi mi hai fatto rivelare la mia password. Dimostrare che la posta elettronica o lo schedario non sono stati compromessi. Questa è una richiesta così ridicola. Anche qualcuno delle risorse umane dovrebbe saperlo meglio.

Procedi con cautela. Non hai fatto niente di sbagliato. Anche se rispondi probabilmente non hai fatto nulla di male. Se fischietti potresti perdere il lavoro o chiudere l'azienda. Se non ci sono danni, potresti non ricevere nemmeno denaro. Questo non è un tuo problema. Non prendere le frecce.

Melissa, continui a chiederti perché come se ci fosse un motivo valido. La mia risposta è che da un punto di vista tecnico e HIPAA non vedo alcuna ragione valida. Il modo in cui le risorse umane si sono messe al centro di questo è qualcosa che solo le risorse umane, il CEO e il COO sanno. Una persona IT responsabile della conformità non lo farebbe mai. Anche in questo caso non è un tuo problema. Lascia che l'IT se ne occupi con le risorse umane. Non vedo il rischio contro la ricompensa nell'essere un informatore.

Questo è già abbastanza grave per qualsiasi azienda, ma per una che è sotto HIPAA, è totalmente inaccettabile (e molto probabilmente illegale). Suggerirei di ottenere una copia dei regolamenti HIPAA, di trovare le clausole appropriate sull'accesso ai dati e di rispedircela.

http://www.hhs.gov/ocr/privacy/hipaa /administrative/securityrule/securityrulepdf.pdf

Si noti che esiste una disposizione in base alla quale sono autorizzati a prendere disposizioni speciali per la gestione delle emergenze, ma sembra contraddire la sezione in cui si afferma che deve essere verificabile che la persona che ha effettuato l'accesso sia la persona che dovrebbe essere. Inviando le informazioni tramite e-mail, si rischia di violare in quanto vi sono altre persone che possono accedere alle e-mail (amministratori di sistema) oltre alla persona a cui sono state inviate.

Se sei sotto HIPAA, potresti avere un addetto alla sicurezza che è responsabile di garantire che le normative HIPAA siano seguite, in tal caso portalo a lui o lei prima di rispondere al capo. Questa potrebbe essere la persona migliore per sottolineare quanto sia pessima questa idea.

Vorrei controllare il documento sulla politica IT della tua azienda. Penso che sia molto probabile che si tratti di una politica specifica che richiede di non inviare e-mail o annotare la combinazione nome utente / password.

Risponderei quindi a tutti citando il regolamento e rifiutando di conformarsi.

Basta inviare il nome utente e la password, quindi modificare la password. Dovrebbe essere richiesto di cambiarlo comunque ogni pochi mesi. Se in futuro qualcuno ti chiederà perché hai cambiato la password, puoi dire "Oh, mi è stato detto più volte che è una buona idea cambiare la mia password di tanto in tanto, non ho nemmeno pensato a quel pezzo di carta chiusa in un armadietto da qualche parte ".

Attualmente sono un professionista IT nel settore sanitario. Applico policy progettate e create da professionisti della sicurezza. Queste politiche sono strutturate su HIPAA. Posso recuperare la politica locale relativa a tutto in questo riepilogo: http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

Alcuni estratti:

Salvaguardie amministrative -> Personale di sicurezza. Un'entità coperta deve designare un funzionario della sicurezza responsabile dello sviluppo e dell'attuazione delle sue politiche e procedure di sicurezza .15

Salvaguardie tecniche -> Controllo degli accessi . Un'entità coperta deve attuare politiche e procedure tecniche che consentano a solo persone autorizzate di accedere a informazioni sanitarie elettroniche protette (e-PHI) .24

Considerazioni sulle password

Le password devono cambiare periodicamente. Ciò significa che le password archiviate fisicamente diventerebbero obsolete.

I tuoi professionisti IT hanno la capacità di gestire e controllare la tua password. Recuperare individualmente le password è molto più difficile che automatizzare il processo tramite controlli amministrativi.

Considerazioni sui criteri

In base all'HIPAA, dovresti avere un responsabile della sicurezza controlli di sicurezza. Questa sarebbe la persona corretta da contattare in merito.

Il tuo gruppo IT e il tuo gruppo di sicurezza dovrebbero disporre di criteri che descrivono in dettaglio i controlli sulle password. Queste norme sono documenti legali.

Considerazioni sulla privacy / HIPAA

La possibilità di accedere a un account medico o infermieristico è di per sé un enorme problema. I controlli devono essere in atto per i " Requisiti minimi necessari" Il tuo CEO o COO non dovrebbe mai avere accesso alle informazioni sui pazienti che non è necessario eseguire le loro mansioni lavorative. Si potrebbero fare molti argomenti e scuse per le singole situazioni, ma nessun argomento può essere fatto per un accesso completo a tutti i pazienti e dipendenti.

Avere la password di un dipendente consentirebbe anche di alterare un grafico in modo inappropriato, questa è una violazione HIPAA.

Chiedere la password di tutti i dipendenti non è una violazione HIPAA a causa di problemi di controllo della sicurezza. Tuttavia, la memorizzazione di queste informazioni potrebbe essere facilmente una violazione.

Infine, se un CEO / COO utilizzasse il tuo account per eseguire una violazione HIPAA, sarai responsabile. Se hai partecipato all'e-mail, potrebbe essere utilizzato per mitigare alcune responsabilità. Tuttavia, hai la responsabilità di proteggere la tua password, consentire consapevolmente a qualcuno di accedere al tuo account è altrettanto dannoso quanto impersonare qualcuno.

Cosa dovresti fare

Non fornire la tua password. Rivedere la politica IT relativa a password e controlli di accesso. Segnalare l'e-mail al proprio supervisore, responsabile della sicurezza designato e amministratore IT. Se la direzione non risponde favorevolmente, la tua struttura potrebbe avere hotline di sicurezza "anonime" a cui puoi presentare reclamo. Inoltre, hai la possibilità di presentare reclamo tramite Stati Uniti Department of Health and Human Services

Sfortunatamente, quando il reclamo supera la tua direzione, potresti farti licenziare in modo sospetto.

Non devi fornire il tuo nome utente e la tua password e rispondere spiegando che la politica di sicurezza ti impedisce di fornire tali informazioni e questo suona come un messaggio di phishing; Metti in contatto un team di sicurezza interno o un team IT per renderli consapevoli dell'email in circolazione.

Se si tratta di una richiesta legittima e insistono ulteriormente sulla questione, contattali di persona per discutere e spiegare perché non dovresti " t. Se insistono ancora, forniscilo di persona e non tramite email.

Dite semplicemente di no

HIPAA richiede che l'accesso sia limitato a coloro che hanno bisogno di sapere. L'unico modo in cui un sistema di cartelle cliniche elettroniche approvato valuta la necessità di sapere è chi ha effettuato l'accesso. L'HIPAA richiede inoltre di registrare chi ha avuto accesso ai record elettronici e chi li ha modificati.

A causa dell'HIPAA e dell'elettronica regole per le cartelle cliniche, ogni fornitore dovrebbe avere un identificatore univoco, a cui solo quel fornitore può accedere. Questo di solito è implementato da una combinazione di oggetto in mano (carta d'identità o RFID) e oggetto che conosci (password), e per la verifica, elemento che molte persone conoscono (ID account). Il reparto IT può facilmente cercare l'ID account. Il reparto IT può probabilmente cambiare la password con il minimo sforzo (ma viene registrata nel sistema) e se lo fa per accedere alle cose in modo improprio, è molto più facile sottolineare che la tua password è stata cambiata da qualcun altro. (Quando effettui l'accesso, scoprirai che la tua password non funziona e dovrai richiederla al reparto IT. Se ciò accade, è un segnale di avvertimento.)

Secondo il Department of Heath and Human Riepilogo della regola di sicurezza HIPAA dei servizi (DHHS), le violazioni delle regole di sicurezza sono crimini federali. Secondo la pagina Regola di applicazione, ogni accesso non autorizzato o illegale può essere multato fino a $ 100, fino a un massimo di $ 25.000 all'anno. Se permetti a qualcuno di avere le tue credenziali di accesso e loro le usano e possono essere ricondotte a te, ognuno di voi può essere colpito con le multe. Ogni record a cui si accede può essere multato per ogni volta che si accede.

Nessun motivo valido

Come notato sopra, i ragazzi IT, o almeno il responsabile della sicurezza delle cartelle cliniche elettroniche, possono accedere account utilizzando diversi metodi, ma è probabile che questi metodi vengano registrati.

Qualsiasi motivo legittimo per esaminare i record ha già accesso con il proprio account. La direzione non ha alcun motivo legittimo, a meno che non ottenga l'approvazione del responsabile della sicurezza delle cartelle cliniche elettroniche (EHRSO), il che significa che dovrebbero avere il proprio accesso.

Registro fisico della tua password per " Ho dimenticato "anche gli scopi non sono validi: l'EHRSO può reimpostare la password. Forse anche l'IT può reimpostare la tua password. Se segui questa strada, il prima possibile, dovresti cambiare la tua password.

Un EHRSO competente può persino creare un account di campionamento statistico che mostri i numeri dei record ma nessuna identificazione del paziente, quindi anche il campionamento statistico non è non è un motivo valido.

Dal momento che tutti i tuoi record possono essere esaminati dall'EHRSO, o da una persona da loro nominata, e a cui sono attribuiti i propri dati di accesso e password, e quindi registrati correttamente, rivedere il tuo lavoro non è un motivo valido.

Password tramite posta elettronica

Inviare una password tramite posta elettronica è sempre una cattiva idea. Soprattutto quando consente l'accesso che puoi essere multato per l'utilizzo improprio. Non inviare mai la tua password tramite e-mail a nessuno, incluso te stesso.

Segnalalo all'ERHSO

Il tuo responsabile della sicurezza ERH potrebbe non essere nel giro. Se lo sono, hai un grosso problema con il datore di lavoro. In caso contrario, potrebbero essere in grado di istruire gentilmente i superiori sulla situazione.

Riferisci a DHHS

Se non accettano "no" come risposta, non appena puoi contattare l'Ufficio per i diritti civili del Dipartimento della salute e dei servizi umani (DHSS-OCR). Fai loro sapere che hai dubbi sul fatto che le tue credenziali di accesso vengano utilizzate dal tuo datore di lavoro per ottenere un accesso illegale da parte della direzione alle cartelle cliniche elettroniche.

Questo è per fare 3 cose:

1. Proteggiti sia dal datore di lavoro che dal DHSS-OCR
2. Proteggi i diritti civili dei tuoi pazienti
3. Informa il tuo datore di lavoro su ciò che possono e non possono fare legittimamente.

Anche se non ne viene fuori nulla, viene registrato da DHSS-OCR e le future lamentele di altri avranno più munizioni. Potrebbe volerci un po 'di tempo.

Se sei minacciato dal tuo datore di lavoro, contatta la tua divisione licenze professionali e scopri quali sono i tuoi diritti e responsabilità statali. Tieni inoltre presente che la segnalazione di violazioni delle normative federali degli Stati Uniti è protetta dalle leggi sugli informatori a livello federale.

Gentile ma fermo

Rimani educato quando trattano con l'amministrazione. Anche se chiedono qualcosa di illegale, una risposta ostile o al vetriolo può essere motivo di interruzione.

Un capo "può" fare praticamente qualsiasi cosa, anche se è illegale. A mio modo di vedere, le uniche cose che un capo non può fare sono le cose a cui i suoi dipendenti si rifiutano di conformarsi.

Puoi anche rifiutarti di fare tutto ciò che il tuo capo chiede fare, indipendentemente dal fatto che tale richiesta sia legale, illegale, ragionevole o irragionevole. La richiesta del tuo capo non deve essere illegale o altro perché tu decida di rifiutarla.

Ho l'impressione che tu non pensi che quello che il tuo capo ti sta chiedendo sia ok. Se pensi che sia una cattiva idea, il mio consiglio è di non farlo. Oppure fallo e poi inizia subito a cercare un altro lavoro.

L'azienda può richiedere l'accesso completo a tutto ciò che fai per loro o sulle loro apparecchiature. Chiedere la tua password personale è assolutamente il modo sbagliato per gestirlo, però; dovrebbero essere in grado di impostare un override amministrativo su qualsiasi sistema se è davvero quello che vogliono.

Se lo fanno, dovresti collaborare.

In caso contrario, ma esiste un'emergenza aziendale legittima che richiede l'accesso quando non puoi essere presente, dovresti scoprire qual è la politica aziendale, chi dovrebbe approvarla, e poi cambia la tua password appena torni e / o la crisi è passata.

Se non c'è una crisi, si può aspettare fino a quando non ci si arriva.

Se si trova in una zona grigia tra queste, ottenere indicazioni esplicite dai dirigenti superiori e / o team di sicurezza informatica dell'azienda. Preferibilmente per iscritto sopra una firma.