ASTM E2147-01
保健信息系统中使用的审核与揭示记录的标准规范

Standard Specification for Audit and Disclosure Logs for Use in Health Information Systems

被代替

标准号

ASTM E2147-01

发布

2001年

发布单位

美国材料与试验协会

替代标准

ASTM E2147-01(2009)

当前最新

ASTM E2147-18

 

 

引用标准

ASTM E1384 ASTM E1633 ASTM E1762 ASTM E1869 ASTM E1902 ASTM E1986

适用范围

1.1 本规范适用于健康信息安全审计/披露日志的开发和实施。它规定了如何设计访问审核日志来记录对计算机系统中维护的患者可识别信息的所有访问，并包括制定健康信息日志的政策、程序和功能的原则，以记录向外部用户披露的所有健康信息以供手动使用和计算机系统。信息披露和审计过程应符合 1974 年《隐私法》(1) 的相关规定。
1.2 本规范的第一个目的是定义系统访问审计日志的性质、作用和功能及其在健康方面的用途信息系统作为帮助提供安全监督的技术和程序工具。与组织机密性和安全策略及程序相配合，永久审核日志可以清楚地识别访问患者身份信息的所有系统应用程序用户，记录所访问的患者信息的性质，并维护用户所采取操作的永久记录。通过为组织提供一种精确的方法来监控和审查谁访问了患者数据，审核日志有可能比传统的纸质记录环境进行更有效的安全监督。本规范将确定审计日志管理所需的功能、要记录的数据以及组织管理者使用审计日志作为安全和管理工具。
1.3 在没有计算机化日志的情况下，审计日志原则可以在本文中手动实现永久监控纸质患者记录访问的患者记录环境。当纸质患者记录和基于计算机的患者记录并行共存时，安全监督和访问管理应同时解决这两种环境。
1.4 本规范的第二个目的是确定建立向外部用户披露健康信息的永久记录的原则以及维护时要记录的数据。健康信息的安全管理需要一个全面的框架，其中包含联邦和州法律、规则和法规以及专业行为道德声明中规定的披露患者健康信息的要求和标准。应通过一套适用于所有医疗保健机构和健康信息系统的标准原则来建立此类框架的问责制。
1.5 用于审核和监督健康信息访问和披露的日志是每个医疗保健组织、数据中介的责任、数据仓库、临床数据存储库、维护或提供或有权访问个人可识别数据的第三方付款人、机构、组织或公司。此类日志在信息访问监控政策中进行了规定和支持，并与满足法律、监管、认证和机构要求的纪律制裁联系在一起。
1.6 组织需要规定聚合数据的访问要求并批准允许审计功能的查询工具，或设计数据存储库，限制包含为可识别数据提供潜在密钥的数据。使用跨数据库匹配数据元素的软件，可以通过分析包含有限识别数据元素（例如出生日期、出生地点、姓氏等）的聚合数据来推断患者可识别数据。这允许采用一致的方法将记录链接到纵向案例以用于研究目的。如果查询功能是定义的检索应用程序的一部分，但通常不容易审核标准查询工具，则可以将审核跟踪设计为与使用这些技术的应用程序一起使用。本规范适用于健康信息（记录）的披露或转移……

谁引用了ASTM E2147-01 更多引用