-50% de descuento* Si compras la misma norma UNE en distintos idiomas. * Dto. sobre el pvp inferior.

ASTM E2147 - 18

Standard Specification for Audit and Disclosure Logs for Use in Health Information Systems

Aviso: Las normas ASTM en lectura se visualizan a través del área decliente. Los archivos no se pueden descargar
Fecha edición: 2018-05-01
En Vigor
Idiomas disponibles: Inglés
Resumen:

This specification describes the security requirements involved in the development and implementation of audit and disclosure logs used in health information systems. It specifies how to design an access audit log to record all access to patient identifiable information maintained in computer systems, and includes principles for developing policies, procedures, and functions of health information logs to document all disclosure of confidential health care information to external users for use in manual and computer systems. This specification provides for two main purposes, namely: to define the nature, role, and function of system access audit logs and their use in health information systems as a technical and procedural tool to help provide security oversight; and to identify principles for establishing a permanent record of disclosure of health information to external users and the data to be recorded in maintaining it.
Keywords: audit log; disclosure; electronic health record; health information systems;
Scope:

1.1 This specification is for the development and implementation of secure audit data and logs for electronically stored health information. It specifies how to design the audit log to record all activities impacting a medical record, for example, creating a new record, entering data into a record, changing or deleting an existing record, and all additional user access data (for example, identification, location, and date and time) to patient-identifiable information maintained in computer systems. Such audit logs shall track not only data entry and modifications, but also simple access and viewing of the patient record, and whether any modifications are made during that access. This specification also includes principles for developing policies, procedures, and functions of health information logs to document all actions regarding identifiable health information for use in both manually entered (paper record) and computer systems.

1.2 The first purpose of this specification is to define the nature, purpose, and function of system access audit logs and their use in health information systems as a technical and procedural tool to help provide privacy and security oversight and produce a self-authenticating record that would, when maintained together with its audit logs, speak to and confirm its own integrity and accuracy of the medical and other data within the record. Moreover, in concert with organizational confidentiality and security policies and procedures, permanent audit logs can clearly identify all system application users who accessed and acted on patient identifiable information or both, and identify the location of the user, identify patient information accessed, and maintain a permanent record of actions taken by the user. Accomplishing the purpose of creating a trustworthy record thus requires the use of secure, automatic, computer-generated, time-stamped audit logs, which shall be used to independently record the identity of the user as well as the date, time, and location of user access, and also record all entries and actions that create, change, or delete electronic records or other patient information. Full transparency of modifications or deletions or both is mandatory. For example, record changes shall not obscure previously recorded information. Such audit data and documentation shall be retained for a period at least as long as that required for the subject paper and electronic records (together, “records”), including any time period required by evidence preservation or litigation hold requirements and applicable state or applicable federal laws pertaining to the subject records. In no event shall the audit data or medical records in hard copy or electronic format be destroyed in advance of that date prescribed by state, federal or other law or regulation, when such records may be legally destroyed; and in any case, not before ten years or, in the case of a minor child, before two years after that child’s eighteenth birthday. If such records are for any reason maintained beyond this minimum requirement, then the audit logs, and the data contained therein, must be maintained as long as the records are maintained. Audit logs and healthcare information shall be provided when specifically requested by authorized healthcare providers; the patient, his personal representative, advocate, and/or designee; researchers; quality control personnel; and organizational managers or administrators or both; and other persons authorized to have access to patient records or patient-identifiable information or both in any form.

1.3 In the absence of computerized logs, audit log principles can be implemented manually in the paper patient record environment with respect to permanently monitoring paper patient record access, data entry, and data modification. Where the paper patient record and the computer-based patient record coexist in parallel, security oversight and access and data management shall address both environments with the underlying and unifying principle being transparency regarding the identity of the individual accessing or acting upon data in the record or both; the location of the individual when doing so; the time and date of such actions/entries; and clear visibility of modifications such as addenda, deletions, error corrections, and late entries.

1.4 The second purpose of this specification is to identify principles for establishing a permanent record of disclosure of health information to external users and the data to be recorded in maintaining it. Security management of health information requires a comprehensive framework that incorporates both mandates and criteria for disclosing patient health information found in federal and state laws and rules and regulations and ethical statements of professional conduct. Accountability for such a framework shall be established through a set of standard principles that are applicable to all healthcare settings and health information systems.

1.5 The creation and preservation of logs used to audit and oversee health information access, actions made upon health information, and disclosure of health information are the responsibility of each healthcare provider, organization, data intermediary, data warehouse, clinical data repository, third-party payer, agency, organization, or corporation that maintains or provides or has access to individually identifiable data. Such logs are specified in and support policy on information access monitoring and are tied to disciplinary sanctions that satisfy legal, regulatory, accreditation, institutional mandates, civil remedies by the patient or patient’s family, and are also tied to authentication of medical data and a patient’s right to obtain a complete, accurate, and transparent set of medical data and metadata (for example, audit logs).

1.6 When non-patient-specific healthcare data is sought (for example, analyses of aggregate patient data for internal or external reviews, research, or subsidies), healthcare providers and organizations need to also prescribe access requirements for such aggregate data and approve query tools that allow complete auditing capability or design data repositories that, in an active query, can limit inclusion of data in end-product aggregate form that reveals potential keys to identifiable data. In other words, endproduct aggregate-patient data shall not contain patient-identifying data or elements that, through analysis, can be used to identify individuals through inferences. For example, fields such as birth date, sex, race, or relevant demographics, and medical records numbers, or combinations thereof, are analyzed together for research purposes, using software that matches data elements across databases, thereby allowing identification of specific patients through inferencing, while preserving patient privacy. Audit data and logs can be designed to work with such applications, if the query functions are part of a defined retrieval application, but the end-product data is safeguarded to protect patient identity from release. This specification applies to the disclosure or transfer of health information (records) whether as individual files or in batches.

1.7 This international standard was developed in accordance with internationally recognized principles on standardization established in the Decision on Principles for the Development of International Standards, Guides and Recommendations issued by the World Trade Organization Technical Barriers to Trade (TBT) Committee.
ICS: 35.240.80 - Aplicaciones de las tecnologías de la información en la sanidad
CTN: E31.25 - E31.25

Anulaciones Normas

Anula a E2147-01R13

El libro en palabras del autor

Ultricies magna feugiat malesuada sociosqu varius vivamus cubilia parturient, himenaeos vitae vehicula nam placerat netus urna platea, nostra rutrum felis mattis penatibus velit quisque.

Button
Preguntas frecuentes ¿Tienes alguna duda sobre nuestros productos?
  • ​Normas UNE, EN, ISO, IEC, BSI, DIN, ASTM, AFNOR, IEEE, SAE
  • Además, las normas del resto de organismos las puedes pedir a través del e-mail normas@aenor.com​
  • Libros técnicos en papel y en soporte electrónico (PDF, epub).

Las normas pueden adquirirse en PDF, lectura o papel. Las normas en lectura no son archivos de descarga, solo pueden visualizarse en el área de cliente. Las normas solicitadas en papel y algunos de los libros en catálogo se imprimen bajo demanda. 

Consultar plazos en normas@aenor.com​​.

La licencia de uso es para un usuario y un dispositivo, si deseas reproducir el contenido de la norma, debes solicitar una licencia que tendrá un coste adicional. Envíanos tu consulta aquí 

Las normas y libros de AENOR que aparecen en la tienda on-line solo se pueden comprar exclusivamente a través de la web: Tienda AENOR. No disponemos de tienda física.

Procedimiento de compra: haciendo clic en “Comprar” los productos deseados irán a la cesta de la compra. Si hubiera problemas de visualización el navegador recomendado es Chrome.

Para formalizar la compra debe Registrarse. En caso de no estar registrado como cliente, deberá Registrarse en la web incluyendo los datos de facturación, una clave y su email como usuario. De este modo, quedará creada la cuenta.

Una vez hecho esto, podrá visualizar su Pedido y su descuento, en caso de haber introducido algún código promocional, con todos los artículos cargados en la cesta de la compra, sus precios, impuestos establecidos en la legislación vigente y gastos de envío si fueran de aplicación.

Los precios de las normas y libros que aparecen en las diversas secciones no incluyen impuestos, ni gastos de envío.

Los códigos promocionales de AENOR constan de caracteres alfanuméricos y solo se podrán aplicar en la compra en web, recibir a través de una oferta específica y durante un tiempo limitado. Para aplicar tu código promocional, solo tienes que introducirlo en el paso 2 de 4 del proceso de compra en la web y clicar en “aplicar”, después de haberte identificado y elegido las formas de pago. Los códigos promocionales no son acumulables.

 

  • Tarjeta de crédito o débito (Visa, Mastercard) y PayPal.
  • Transferencia b​ancaria. En caso de optar por esta forma de pago es necesario enviar previamente a AENOR copia de la transferencia por correo electrónico a normas@aenor.com​​​
  • La factura de compra se puede descargar desde el área de cliente, en mis pedidos anteriores

​​En el caso de los ​clientes de empresas con sede ​en el extranjero, el número de identificación del contribuyente del país correspondiente (por ejemplo, en Argentina el CUIT), deberá rellenarse en el campo CIF/NIF - VAT.

  • Podrás acceder al contenido de tu compra haciendo clic en descarga o lectura según el formato seleccionado. En el apartado de "Mis productos" puedes ver todos los artículos que has adquirido; al hacer clic en cualquiera de ellos se abre el entorno de AENORMÁS, donde podrás acceder y consultar todos tus productos. Los archivos en formato digital están protegidos y en ningún caso son editables. Antes de adquirirlos, es importante que la licencia de uso sea leída y aceptada como paso previo a la compra.
  • Envío por mensajería. Los productos comprados en soporte físico se envían por mensajería. El plazo máximo de entrega en el territorio español, desde la aceptación del pedido por parte AENOR es de:
  •  Siete días laborables aproximados para todas las normas compradas a través de la tienda en soporte papel.
  • Tres días laborables aproximados para libros comprados a través de la tienda. Las existencias de los libros en papel son limitadas y su oferta en la web no implica disponibilidad en el plazo indicado. En el caso de no disponer del libro solicitado, se avisa al cliente de la demora en la recepción del pedido que será aproximadamente de siete días laborables. 

Para el resto de productos que no están en la web, consultar disponibilidad y plazo de entrega en normas@aenor.com.

1. Para los productos digitales (PDF, Epub), una vez realizada la entrega mediante descarga directa a través de la web en el Área de clientes, no tendrás derecho a ejercer tu derecho de desistimiento.

2. Para los productos personalizados en soporte papel, una vez realizada la compra, no tendrás derecho a ejercer tu derecho de desistimiento.

3.  Para el resto de productos en soporte papel, dispones del derecho a desistir de la compraventa en un plazo de 14 días naturales a contar desde la fecha de la compra. Recuerda que para la devolución es imprescindible que el producto se encuentre en perfectas condiciones, precintado por el envoltorio y conservando su embalaje original. El cliente será responsable de la recogida y los gastos de envío.

La factura del pedido incluye los gastos de envío​, por lo que no hay que abonar ningún importe al mensajero. ​Los gastos de envío se calculan en función tanto del destino final del pedido como del número de productos solicitados. Incluyen gastos de transporte y embalaje. Los gastos de envío están sujetos a revisiones periódicas. Los libros outlet tendrán gastos de envío gratuitos solo si el envío se realiza en Península.

​Destino ​Hasta tres normas y/o publicaciones ​A partir de tres normas y/o publicaciones
​Península ​ 7,31€ ​8,60€
​Baleares ​ 18,04€ ​23,34€
​Canarias, Ceuta y Melilla  ​​​18,04€ ​​23,34€
​Europa ​ 59,17€ ​80,07€
​Estados Unidos y Canadá ​ 70,07€ ​96,94€
​Resto del mundo ​ 91,94€ ​115,91€​​
  • ​​​​​Las compras realizadas por residentes en los Estados miembros de la Unión Europea estarán sujetas al pago de IVA (impuesto sobre el valor añadido).​
  • ​​
  • ​​En el caso de personas jurídicas y personas físicas que, actuando como empresarios, tengan su domicilio en algún Estado miembro de la Unión Europea (excepto residentes en España) y posean NIF/VAT intracomunitario inscrito en el censo VIES, estarán exentas del pago del IVA, siendo condición imprescindible el envío de dicho documento por correo electrónico a ​normas@aenor.com​​​.
  • Las compras realizadas a título particular (persona física), independientemente de donde tengan su residencia, estarán sujetas al pago del ​IVA.
  • L​as compras realizadas por entidades en países extracomunitarios estarán exentas del pago del IVA, siempre y cuando envíen el correspondiente documento de residencia fiscal por correo electrónico a normas@aenor.com​.
  • Las operaciones de venta se entenderán realizadas en el domicilio social de AENOR: Génova 6, 28004, Madrid – España.​

El contrato de compra de productos a través de este Sitio Web se regirá por la legislación española. Cualquier controversia que surja o guarde relación con el uso del Sitio Web o con dicho contrato será sometida a la jurisdicción exclusiva de los Juzgados y Tribunales de Madrid Capital.

No obstante lo anterior, si estás contratando como consumidor en los términos del Real Decreto 1/2007, nada en la presente cláusula afectará a los derechos que como tal te pudiera reconocer la legislación vigente.