Может ли HR/Boss потребовать ваше имя пользователя и пароль?

Недавно мы получили это электронное письмо на нашей работе от отдела кадров. Мы работаем в сфере здравоохранения, и наше имя пользователя и пароль связаны со всем, что мы делаем. Мы должны следовать строгим правилам HIPAA.

Не будет ли предоставление нашего имени пользователя и пароля нарушением нашей конфиденциальности? И откуда мы знаем, что наша информация будет храниться в тайне и использоваться правильно? Наша информация может быть использована, чтобы создать впечатление, что мы делали то, чего никогда не делали.

«Мне нужно, чтобы все прислали мне по электронной почте свое имя пользователя и пароль для входа в Windows. Эти пароли будут храниться в закрытой картотеке и не будут переданы никому, кроме генерального директора или главного операционного директора. Спасибо за быстрый ответ. В понедельник после обеда!"

Я знаю, что это заставляет нас всех съеживаться. Фишинг? Действительно плохая ИТ-политика? Простое разгильдяйство? Злоупотребление? Вопиющая глупость? Все важные вещи, но не здесь. Эта беседа была перемещена в чат .
Чтобы соответствовать HIPAA, ваш пароль должен быть принудительно изменен в течение определенного периода времени (обычно 3 месяца), поэтому это сделает все данные паролей пользователей в кабинете бесполезными по истечении этого периода. Конечно, вы можете отправить пароль по электронной почте, а затем сразу же изменить его самостоятельно!
@gnat Спасибо за эту ссылку. Я просто хорошо посмеялся.
Тогда нет, мы не соблюдаем HIPAA с самого начала. Хотя мы должны быть. За все два года, что я здесь, пароль был изменен один раз.
Что такое ХИПАА? Является ли Закон о переносимости и подотчетности медицинского страхования?
@Llopis да. Это означает, что любая организация в США, имеющая дело с медицинской информацией/записями других людей, имеет очень, очень строгие законы о безопасности и конфиденциальности, которые они должны соблюдать.
Я думаю, что название этого вопроса несколько вводит в заблуждение.
Есть хорошая история о физике Ричарде Фейнмане, который легко открывал запертые шкафы в лаборатории ядерной войны в Лос-Аламосе. Это может вас очень просветить в теме запертых шкафов (все остальное очень хорошо рассматривается в ответах). Книга называется «Вы, конечно, шутите, мистер Фейнман».
Пожалуйста, расскажите нам об исходе этой ситуации, я уверен, что все мы (особенно сетевые администраторы) жаждем узнать!
Я бы ответил своим именем пользователя и случайным паролем, который я придумаю на месте .... просто чтобы посмотреть, что произойдет :)

Ответы (11)

Просьба смехотворна на всех уровнях.

Во-первых, как менеджер/HR закроет вашу электронную почту в шкафу? Вы никогда не отправляете конфиденциальное имя пользователя/пароль по электронной почте. Существует небольшая вероятность того, что это может быть частью фишинговой атаки. В лучшем случае компьютер/ноутбук вашего босса/HR-а является единственной точкой отказа для безопасности всего офиса.

Во-вторых, как этот менеджер/HR будет гарантировать, что никто другой никогда не получит к нему доступ или не войдет под вашим именем?

В-третьих, существует множество способов администрирования Windows, с помощью которых я могу переопределить учетную запись пользователя в домене и войти в его профиль, используя соответствующие процедуры.

Для меня есть только две причины, по которым руководство может попросить об этом:

  • Они настолько плохо обучены и совершенно некомпетентны в технологиях и процедурах безопасности, что считают, что это «единственный способ» сделать это. Это многое говорит о вашей компании. Либо у вас есть высшее руководство, которое буквально не знает, как управлять организацией, которая обрабатывает конфиденциальные данные, либо они буквально не верят в ваш ИТ-персонал.

  • Также может случиться так, что ИТ-персонал помешал им делать определенные вещи, а ваш логин позволяет им обойти эти меры безопасности. Некоторые действительно хорошо разработанные приложения не допускали бы автоматический вход в систему, если бы я вошел в ваш профиль, используя аутентификацию домена. Таким образом, нам нужно либо иметь логин/пароль пользователя, либо сбросить пользователя. В любом случае, я не могу реально понять, почему высшему руководству необходимо войти в систему как вы, чтобы сделать что-то без вашего ведома.

  • (Добавление на основе утерянного комментария автора) - Обычно я бы не заходил так далеко, но автор добавила, что, по ее мнению, их аутсорсинговый отдел ИТ / безопасности знает об электронной почте и согласен с этим. Это верный признак того, что либо они очень непригодны для своей работы (нуждаются в реальной резервной копии), и если они настолько плохи, то они никак не могут придерживаться стандартов HIPAA. Или, что наиболее очевидно, они в сговоре с руководством — используют логины для «гнусных» действий.

Как бы я справился с этим?

Я бы спросил у своего менеджера, зачем им нужны ваши данные. Выразите свою обеспокоенность по поводу конфиденциальности (и правил HIPAA).

Если ваш менеджер настаивает на этом, я бы связался с отделом кадров — они отправили электронное письмо, но начните с вашего менеджера. Велика вероятность того, что он может быть не авторизован (или, увидев проблему с безопасностью, они скажут, что он не авторизован). Вот где это становится грубым. Потому что единственная группа, которая обычно менее технична, чем менеджеры, — это HR (в широком смысле здесь).

Вам нужно будет сообщить о своих опасениях в отдел кадров. Я хотел бы убедиться, что отдел кадров работает с кем-то из вашего ИТ-отдела, чтобы убедиться, что это соответствует правилам безопасности в компании. Если отдел кадров отказывается работать с ИТ-отделами, возможно, вам придется связаться с кем-то непосредственно из этих отделов. Если у вас есть раздел безопасности, я бы начал с них. Если не начинать с начальника ИТ.

Крайним средством является обращение в Службу здравоохранения и социального обеспечения . Вы можете прочитать, что это, вероятно, прямое нарушение их технических гарантий здесь . Если никто в вашей компании не хочет что-либо делать с проблемой безопасности, спросите, не является ли это нарушением, сообщите о своей компании и позвольте им получить информацию.

(И я действительно чувствую, что это отличается от запроса вашего пользователя/пароля, когда вы уходите из компании. Я чувствую, что это может быть оправдано, потому что, если бы они что-то сделали, была бы информация «отметка времени», которая позволила бы вам быть оправданным в правонарушениях. Но пока вы там работаете, это превращается в игру «он сказал/она сказала или где вы были в 10:32 утра 5 января?» И обратите внимание, что с вашим логином я могу легко удаленно войти в компьютер в офисе, в котором вы находитесь. на данный день, как вы.)

Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат .
+1 За сообщение о вашей компании. HIPAA — это не шутка (ну ладно, возможно, так оно и есть).
+1 За то, что я сэкономил 20 минут, мне потребовалось бы сказать почти то же самое.
Я бы даже не стал отправлять дату своего рождения по электронной почте. Электронная почта в большинстве случаев абсолютно небезопасна. За исключением случаев, когда вы используете хорошее шифрование или используете собственную сеть компании для передачи данных. Я также не могу поверить, что Департамент запрашивает такую ​​важную информацию по электронной почте без личного присутствия. Также у них, вероятно, уже есть доступ ко всем данным, потому что у них есть доступ к ИТ-отделу.
Что касается имени пользователя/пароля при выходе, я бы сказал им сбросить пароль.

Звук, который вы слышите, - это десять тысяч сетевых администраторов, кричащих "НЕТ!" на этом посту.

В лучшем случае это попытка показать, насколько вы доверчивы. Я на самом деле подозреваю, что это так, поскольку в наши дни аудит безопасности проверяет в основном социальные эксплойты.

В худшем случае это признак совершенно неумелого управления (имею в виду основательно, так как за загрязнение окружающей среды этой глупостью должны платить штрафы их родители).

В любом случае, я бы НИКОГДА никому не отправил НИКАКОЙ пароль, который был бы привязан к моей личности.

Я бы переслал это письмо в ваш ИТ-отдел с заголовком: «Очевидно, что ни у кого никогда не возникнет законной необходимости делать это, но я подумал, что это должно быть доведено до вашего сведения как попытка взлома системы безопасности».

Мы точно знаем, что это электронное письмо не является мошенничеством. Что это законное электронное письмо от нашего отдела кадров. Но как только что-то делается в системе, которую мы используем, это навсегда связывается с нашим именем.
«Мы точно знаем, что это электронное письмо не является мошенничеством». - Я точно знаю, что это либо гнусно, либо безумно глупо. Я не могу сказать вам, какой, но я бы не стал подчиняться ни одному из них. Я бы все равно отправил его вашей группе ИТ / безопасности. Я очень, очень надеюсь, что это проверка для HIPPA, а не говорить мне, что моя медицинская карта находится в руках таких глупых людей.
Ох уж это плохо управляемое! Но не волнуйтесь, мой логин и пароль все еще в безопасности...
Да, даже если это «законно» отдел кадров запрашивает эту информацию, я бы ПОЛНОСТЬЮ УВЕРЕН, что глава ИТ был проинформирован об этом.
Предотвращение такой глупости может быть достаточной причиной для того, чтобы некоторые доброжелательные инопланетяне одолжили свою машину времени, только в этот раз... :-)
@Melissa Мелисса: а как убедиться, что электронная почта действительна? Есть ли цифровая подпись? Если это просто адрес, то вам следует узнать, как легко подделать адрес электронной почты или отправить его раньше.
Потому что дама, отправившая письмо нашему "HR", это шутка, хочет знать, почему я не ответил...
Моя компания на самом деле периодически проводит внутренние фишинговые тесты, чтобы убедиться, что мы все в нашей лучшей игре. Ответьте ей: «Это нарушение HIPAA» и посмотрите, скажет ли она «Поздравляем!» Судя по вашему комментарию, я думаю, что перспективы мрачные, но попробовать стоит, и это определенно изменит ситуацию в правильном направлении.
Количество кричащих сетевых администраторов только что выросло еще на один или два порядка, теперь, когда этот вопрос находится в списке горячих вопросов.
Я могу подтвердить, я пробормотал «нет» себе под нос.
Раньше я получал «настоящие» от администраторов Windows. Оказывается, есть программное обеспечение настолько глупое, что загоняет администратора в угол.

Это смехотворный запрос на многих уровнях в среде HIPAA.

  • Не следует спрашивать в первую очередь
  • Не следует отправлять по электронной почте
  • Не следует хранить его в картотеке
  • Это вход в Windows.
    Если у вас есть локальный вход, а не домен, то я не понимаю, как вы вообще можете быть совместимым с HIPAA.
    В домене администратор домена может заблокировать учетную запись или изменить пароль.
    Если администратор домена меняет ваш пароль, это и регистрируется в журнале — есть доказательства, что изменение пароля не было выполнено вами.
    Если они не контролируют ваш пароль сегодня, то я не понимаю, как они соответствуют требованиям HIPAA.
    На самом деле, если вы не находитесь в домене, устройства не аутентифицируются, и это не соответствует требованиям HIPAA.

Я предполагаю, что они могут попросить об этом, но я подозреваю, что сам по себе запрос является доказательством того, что они не соответствуют требованиям HIPAA. Если вы выполните запрос, то, скорее всего, это нарушение HIPAA. Но если вы выполняете проверенный запрос руководства, то я бы сказал, что нарушение не может быть связано с вами. Если кто-то другой использует вашу учетную запись, вы можете сказать: «Эй, вы заставили меня раскрыть мой пароль». Докажите, что электронная почта или картотека не были скомпрометированы. Вот такая нелепая просьба. Даже кто-то из HR должен знать лучше.

Действуйте осторожно. Вы не сделали ничего плохого. Даже если вы ответите, вы, вероятно, не сделали ничего плохого. Если вы сообщите об этом, вы можете потерять работу или закрыть компанию. Если они не ущерб, то вы можете даже не получить деньги осведомителя. Это не ваша проблема. Не берите стрелы.

Мелисса, ты продолжаешь спрашивать, почему, как будто есть веская причина. Мой ответ таков: как с точки зрения HIPAA, так и с технической точки зрения я не вижу веских причин. Как HR оказался в центре этого, знают только HR, CEO и COO. ИТ-специалист, отвечающий за соответствие требованиям, никогда бы этого не сделал. Опять же, это не ваша проблема. Пусть ИТ обсудит это с HR. Я не вижу разницы между риском и вознаграждением в том, чтобы быть осведомителем.

Мне нравится, как вы беспокоитесь об аутентификации устройства, и мы все еще в шоке от «Картотеки». У тебя душа администратора безопасности, не так ли? +1
@WesleyLong Сейчас я программист, но на заре существования HIPPA я соблюдал требования HIPPA. Нет никакого способа, которым вы совместимы с локальным входом в систему. Я бы отключил локальный вход. Существует тип атаки, которая обманом заставляет компьютер войти в систему локально.
Эх, меня тоже минусовали. Как и @Ghost. Вероятно, кем-то, у кого есть система безопасности картотеки, стоящая рядом с их столом. Я всегда считал, что если ты никого не расстроил, ты не сказал ничего полезного.
Это HIPPA или HIPAA?
@mkennedy - Закон о переносимости и подотчетности медицинского страхования HIPAA . ... и я вижу, что ошибся в одном из своих комментариев.
@WesleyLong Я пытался мягко подтолкнуть автора ответов (и других .... Из-за моей низкой репутации любые внесенные мной правки все равно попадут в очередь на проверку!
@Blam - Если бы я был аудитором безопасности, я бы определенно исследовал вход в систему Windows и домен, но держу пари, что большинство не понимают разницы. Это просто «Как я вхожу в Windows». Это должен быть домен, учитывая, что OP говорит, что они аутентифицируются в своих приложениях с теми же учетными данными. Я многое предполагаю, но я думаю, что это то, что происходит.
Извините, орфография исправлена! @ Блам, нет, я сам этого не понимаю. Они сгенерировали для нас имя пользователя и пароль, когда мы только начали работать здесь. Затем они сказали нам войти и изменить наш пароль. Так почему теперь они снова просят узнать наш пароль.
@ Мелисса Я не знаю, почему они спрашивают. Мой ответ заключается в том, что нет смысла спрашивать.
@WesleyLong Если они соответствуют требованиям HIPPA, кто-то должен знать, что происходит. Большинство людей не знают разницы. Единственными людьми, которым необходимо знать разницу, является администратор сети. Я согласен, это определенно звучит так, как будто у них есть домен. В лучшем случае можно надеяться, что они соблюдают требования, а HR вмешивается в то, чего им не следует делать.
Лучший ответ здесь, это не ваша проблема, и создание сцены, эскалация, сарказм не принесут никакой пользы, а сообщение о вашей компании - это просто плохой карьерный шаг. У вас будет возможность отрицать любые проблемы со входом в систему, и если вы все еще беспокоитесь, вы можете просто изменить свой пароль.
Лично? -1 за то, что не предлагает разоблачать. Ваша конфиденциальность защищена законом в случае, если вы сообщите о нарушении, и при условии, что вы не рекламируете факт «Эй, я сообщил о компании, ахаха», нет никаких правдоподобных причин, по которым кто-то узнает, что осведомителем были вы.
@Anoplexian Лично я думаю, что ты полон какашек, и твой -1 для меня комплимент.

Это достаточно плохо для любой компании, но для той, которая находится под HIPAA, это совершенно неприемлемо (и, вполне возможно, незаконно). Я бы посоветовал вам получить копию правил HIPAA, найти соответствующие положения о доступе к данным и отправить их обратно.

http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityrulepdf.pdf

Обратите внимание, что есть положение о том, что им разрешено создавать специальные условия для обработки чрезвычайных ситуаций, но оно, похоже, противоречит разделу, в котором говорится, что должна быть возможность проверки того, что человек, вошедший в систему, является человеком, которым он должен быть. Отправляя информацию по электронной почте, вы, вероятно, нарушаете правила, поскольку есть другие люди, которые могут получить доступ к электронным письмам (системные администраторы), помимо человека, которому они отправлены.

Если вы подпадаете под действие закона HIPAA, у вас может быть сотрудник службы безопасности, который отвечает за соблюдение требований закона HIPAA. В этом случае сообщите об этом ему или ей, прежде чем отвечать начальнику. Это может быть лучший человек, чтобы рассказать, насколько это плохая идея.

Я хотел бы проверить документ ИТ-политики вашей компании. Я думаю, очень вероятно, что это особая политика, требующая, чтобы вы не писали по электронной почте и не записывали комбинацию имени пользователя и пароля.

Я бы тогда ответил всем, ссылаясь на правила и отказываясь их соблюдать.

Просто отправьте свое имя пользователя и пароль, а затем измените свой пароль. В любом случае, вы должны менять его каждые несколько месяцев или около того. Если в будущем кто-нибудь спросит, почему вы изменили свой пароль, вы можете сказать: «О, мне несколько раз говорили, что неплохо время от времени менять пароль, я даже не подумал об этом фрагменте». бумага, запертая где-то в шкафу».

«Наша внутренняя политика гласит, что мы должны немедленно изменить пароль, если мы подозреваем , что он может быть известен кому-то еще. Таким образом, следуя такому правилу, я приступил к его изменению ровно через 1 секунду после того, как отправил вам электронное письмо.» Самое смешное, что они не могут знать, является ли то, что вы отправляете, вашим паролем или мусором, если они не попытаются его использовать. Которым они якобы не собираются пользоваться.
Сократите процесс - отправьте ранее использованный пароль. Затем, когда они спрашивают: «Вы изменили свой пароль после того, как отправили его?» Вы можете честно и прямо ответить: «Нет». :-)

В настоящее время я IT-специалист в сфере здравоохранения. Я применяю политику, разработанную и созданную профессионалами в области безопасности. Эти политики структурированы в соответствии с HIPAA. Я могу найти местную политику в отношении всего в этом резюме: http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

Некоторые выдержки:

Административные меры безопасности -> Персонал службы безопасности. Застрахованная организация должна назначить сотрудника службы безопасности, ответственного за разработку и реализацию ее политик и процедур безопасности15.

Технические гарантии -> Контроль доступа . Застрахованная организация должна внедрить технические политики и процедуры, позволяющие only authorized personsполучить доступ к электронной защищенной медицинской информации (e-PHI).24

Рекомендации по паролю

Пароли должны периодически меняться. Это означает, что физически сохраненные пароли устареют.

Ваши ИТ-специалисты могут управлять вашим паролем и проверять его. Индивидуальное получение паролей намного сложнее, чем автоматизация процесса с помощью административного контроля.

Политические соображения

В соответствии с HIPAA у вас должен быть назначенный сотрудник службы безопасности, и вы должны быть обучены основным элементам управления безопасностью. Это будет правильное лицо, чтобы связаться по этому поводу.

В вашей ИТ-группе и группе безопасности должны быть политики с подробным описанием средств управления паролями. Эти политики являются юридическими документами.

Вопросы конфиденциальности / HIPAA

Возможность доступа к учетной записи врача или медсестры сама по себе является огромной проблемой. Должен быть предусмотрен контроль « Минимальных необходимых требований ». Ваш генеральный директор или главный операционный директор никогда не должны иметь доступа к информации о пациентах, которая не требуется им для выполнения своих должностных обязанностей. Можно привести множество аргументов и оправданий для отдельных ситуаций, но нельзя привести никаких аргументов в пользу всеобъемлющего доступа ко всем пациентам и сотрудникам.

Наличие пароля сотрудника также позволит вам ненадлежащим образом изменить диаграмму, что является нарушением HIPAA.

Запрашивание пароля всех сотрудников не является нарушением HIPAA из-за проблем, связанных с аудитом безопасности. Однако хранение этой информации легко может быть нарушением.

Наконец, если генеральный/главный операционный директор использовал вашу учетную запись для нарушения HIPAA, вы будете нести ответственность. Если вы участвовали в электронном письме, это может быть использовано для смягчения ответственности. Тем не менее, вы обязаны защищать свой пароль, сознательно разрешая кому-либо доступ к вашей учетной записи так же плохо, как выдавать себя за кого-то.

Что ты должен делать

Не сообщайте свой пароль. Изучите ИТ-политику в отношении паролей и контроля доступа. Сообщите об этом электронном письме своему руководителю, назначенному сотруднику службы безопасности и ИТ-администратору. Если руководство не отреагирует положительно, в вашем учреждении могут быть «анонимные» горячие линии безопасности, на которые вы можете пожаловаться. Кроме того, у вас есть возможность подать жалобу через Министерство здравоохранения и социальных служб США.

К сожалению, если вы пройдете жалобу через свое руководство, вас могут подозрительно уволить.

Вы не должны указывать свое имя пользователя и пароль и отвечать, объясняя, что политика безопасности не позволяет вам предоставлять эту информацию, и это звучит как фишинговое письмо; Напишите команде внутренней безопасности или ИТ-специалисту, чтобы они знали об электронной почте.

Если это законный запрос, и они продолжают настаивать на этом, обратитесь к ним лично, чтобы обсудить и объяснить, почему вы не должны этого делать. Если они все еще настаивают, сообщите об этом лично, а не по электронной почте.

Мы точно знаем, что это электронное письмо не является мошенничеством. Что это законное электронное письмо от нашего отдела кадров. Но как только что-то делается в системе, которую мы используем, это навсегда связывается с нашим именем.
Я не согласен с вашим последним предложением, если они настаивают на том, чтобы продолжать продвигаться вверх по цепочке внутри компании, и если они продолжают настаивать, то решите, связываетесь ли вы с HIPPA, как указано в бланке, уходите в отставку или и то, и другое. Ни при каких обстоятельствах вы не должны раскрывать кому-либо свои личные учетные данные для аутентификации.
@Namfuak Я использую практический подход. На самом деле никто не собирается говорить генеральному директору «нет». И если у вас есть выбор: сохранить вашу работу или предоставить нам доступ к вашей учетной записи в нашей системе (неважно, они могут изменить данные за кулисами сколько угодно, чтобы все выглядело так, как будто человек что-то сделал), кто уйдет? Компания не сделала ничего противозаконного; приведенная выше ссылка HIPAA не говорит, что работодатель не может иметь доступ к паролю и учетной записи сотрудника.

Просто сказать нет

HIPAA требует, чтобы доступ был ограничен теми, кому необходимо знать. Единственный способ, которым одобренная система электронных медицинских карт оценивает необходимость знать, - это кто вошел в систему. HIPAA также требует, чтобы они регистрировали, кто имел доступ к электронным записям и кто их изменил.

В соответствии с HIPAA и правилами электронных медицинских карт каждый поставщик должен иметь уникальный идентификатор, доступ к которому может получить только этот поставщик. Обычно это реализуется комбинацией предмета в руке (удостоверение личности или RFID) и предмета, который вы знаете (пароль), и для проверки предмет, известный многим людям (идентификатор учетной записи). ИТ-отдел может легко найти идентификатор учетной записи. ИТ-отдел, вероятно, может изменить пароль с минимальными хлопотами (но он регистрируется в системе), и если они делают это для неправильного доступа к чему-либо, гораздо проще указать, что ваш пароль был изменен кем-то другим. (Когда вы войдете в систему, вы обнаружите, что ваш пароль не работает, и вам придется сбросить его для вас. Если это произойдет, это предупреждающий знак.)

Согласно сводке правил безопасности HIPAA Министерства здравоохранения и социальных служб (DHHS) , нарушения правил безопасности являются федеральными преступлениями. Согласно странице « Правила правоприменения» , каждый несанкционированный или незаконный доступ наказывается штрафом в размере до 100 долларов США, но не более 25 000 долларов США в год. Если вы позволите кому-то получить ваши учетные данные для входа, и они используют их, и это может быть отслежено до вас, каждый из вас может быть оштрафован. Каждая доступная запись может быть оштрафована за каждый раз, когда к ней обращаются.

Нет уважительной причины

Как отмечалось выше, ИТ-специалисты или, по крайней мере, сотрудник службы безопасности электронных медицинских карт могут получить доступ к вашей учетной записи, используя несколько методов, но эти методы, скорее всего, будут зарегистрированы.

Любой законный повод посмотреть записи имеет доступ уже под своей учетной записью. У руководства нет законной причины, если только они не получат одобрение от сотрудника по безопасности электронных медицинских карт (EHRSO), а это означает, что у них должен быть собственный вход в систему.

Физическая запись вашего пароля для целей «Я забыл» также недействительна — EHRSO может сбросить ваш пароль. Возможно, даже ИТ-специалисты смогут сбросить ваш пароль. Если вы пойдете по этому пути, вам следует как можно скорее сменить пароль.

Компетентный EHRSO может даже создать учетную запись статистической выборки, в которой будут показаны записи, но не идентификация пациента, так что даже статистическая выборка не является уважительной причиной.

Поскольку все ваши записи могут быть просмотрены EHRSO или лицом, назначенным ими, а также подтверждены их собственным логином и паролем и, таким образом, должным образом зарегистрированы, просмотр вашей работы не является уважительной причиной.

Пароль через электронную почту

Отправка пароля по электронной почте всегда плохая идея. Особенно, когда он разрешает доступ, за ненадлежащее использование которого вас могут оштрафовать. Никогда и никому не отправляйте свой пароль по электронной почте, включая себя.

Сообщите об этом в ERHSO

Ваш сотрудник службы безопасности ERH может быть не в курсе. Если да, то у вас большие проблемы с работодателем. Если нет, они могут быть в состоянии мягко сообщить вышестоящим о ситуации.

Сообщить в DHHS

Если они не примут ответ «нет», как только вы сможете, обратитесь в Управление гражданских прав Министерства здравоохранения и социальных служб (DHSS-OCR). Сообщите им, что вы обеспокоены тем, что ваши учетные данные для входа в систему используются вашим работодателем для получения незаконным доступом руководства к электронным медицинским картам.

Это сделать 3 вещи:

  1. Защитить вас как от работодателя, так и от DHSS-OCR
  2. Защитите гражданские права ваших пациентов
  3. Проинформируйте своего работодателя о том, что он может и что не может делать на законных основаниях.

Даже если из этого ничего не выйдет, DHSS-OCR зарегистрирует это, и будущие жалобы других будут иметь больше боеприпасов. Это может занять некоторое время.

Если вам угрожает ваш работодатель, обратитесь в отдел профессионального лицензирования и узнайте, каковы ваши права и обязанности в штате. Также обратите внимание, что сообщения о нарушениях федеральных правил США защищены законами о разоблачениях на федеральном уровне.

Вежливый, но твердый

Будьте вежливы при общении с администрацией. Даже если они просят что-то незаконное, враждебный или язвительный ответ может быть основанием для увольнения.

Босс «может» делать практически все, даже если это незаконно. На мой взгляд, начальник не может делать только то, что отказываются выполнять его или ее подчиненные.

Вы также можете отказаться выполнять любую просьбу начальника, независимо от того, является ли эта просьба законной, незаконной, разумной или необоснованной. Просьба вашего босса не обязательно должна быть незаконной или какой-то еще, чтобы вы могли отказаться подчиниться.

У меня сложилось впечатление, что ты не думаешь, что то, о чем тебя просит твой босс, нормально. Если вы считаете, что это плохая идея, мой совет — не делайте этого. Или сделать это и тут же начать искать другую работу.

Я отказываюсь делать это из соображений безопасности моей личной жизни и безопасности личных данных клиентов, которых я видел в своем офисе. Я уже подал заявку на 4 вакансии на этой неделе :)
Хороший! Отличная работа.
К сожалению, у вас нет прав на конфиденциальность на компьютере, предоставленном компанией. У вас есть политика безопасности компании.

Компания может потребовать полный доступ ко всему, что вы делаете для них или на их оборудовании. Однако спрашивать ваш личный пароль — абсолютно неправильный способ справиться с этим; они должны быть в состоянии установить административное переопределение в любой системе, если они действительно этого хотят.

Если они это сделают, вы должны сотрудничать.

Если они этого не делают, но есть законная чрезвычайная ситуация, требующая доступа, когда вы не можете быть там, вы должны выяснить, какова политика компании — кто должен ее одобрить — и затем изменить свой пароль, как только вы возвращение и/или кризис миновал.

Если кризиса нет, он может подождать, пока вы не доберетесь туда.

Если он находится в серой зоне между ними, получите четкое указание от высшего руководства и/или группы компьютерной безопасности вашей компании. Желательно в письменной форме с подписью.

любой четверть компетентный немного осведомленный ИТ-специалист должен знать, как получить доступ к данным из административной учетной записи, если им это необходимо. Никогда не должно возникать законных чрезвычайных ситуаций, требующих от пользователя передачи пароля. Чаще всего пароль пользователя не используется для событий, подлежащих аудиту (таких как доступ или изменение данных пациента), в случае использования какой-либо формы переопределения администратора, которая также может оставаться доступной для аудита. нет серой зоны. его некомпетентность в лучшем случае и злой умысел в худшем.
Согласна некомпетентность. Скорее всего, эти люди не были достаточно информированы, чтобы организовать доступ администратора, прежде чем предоставить OP машину. Но если не считать чрезвычайной ситуации, это то, о чем они должны просить ... и на месте ОП я бы дал им это, убедившись, что он отличается от моего собственного пароля, и после проверки политики компании, чтобы выяснить, если этот человек вообще должен иметь доступ к моей машине. Конечно, недостатком административного доступа является то, что если не быть осторожным, можно устроить безобразный беспорядок на машине, но это ответственность того, кто входит в систему таким образом.
Это больше касается журналов аудита, чем чего-либо еще, особенно если речь идет о данных пациентов. Конечно, админ может зайти и устроить беспорядок, но админ не может ничего подписывать как кто-то другой, это опасно, это очень плохо. Конец дня, если произойдет что-то плохое, например, изменение данных или утечка данных, когда журналы проверяются, а администратор разбросан по нескольким записям пациентов, что может снять с автора личную ответственность, если это только имя автора. во всех журналах у них нет абсолютно никакого права на помощь. Посмотрите glp и cfr 21 в отношении цифровых подписей.
Может ли HR/Boss потребовать ваше имя пользователя и пароль?
СпросиСетьПолитика конфиденциальности1y, 0v