Exemple de scénario 2 les notes d`admission pour un nouveau patient incluent la notation autonome, «Newark, NJ.» Il n`est pas clair si cela se rapporte à l`adresse du patient, l`emplacement du fournisseur de soins de santé précédent du patient, l`emplacement de la collision automobile récente du patient, ou un autre point. L`expression peut être conservée dans les données. La pratique la plus courante dans les sites visités était l`utilisation d`identifiants de compte uniques (généralement attribués par un administrateur système) et de mots de passe non chiffrés conventionnels pour chaque utilisateur individuel. Souvent, une tentative a été faite pour s`assurer que les utilisateurs choisissent des mots de passe difficiles à deviner et que les mots de passe ont été changés tous les quelques mois, mais l`application était laxiste. Dans de nombreux environnements, les utilisateurs doivent mémoriser plusieurs mots de passe, selon le serveur d`informations auquel ils accèdent, et le compromis est la commodité de l`utilisateur (sans oublier les mots de passe) par rapport à la sécurité. Dans les situations avec des mots de passe complexes ou en évolution rapide, les utilisateurs sont souvent tentés d`écrire les codes pour une référence facile, le plus souvent dans des carnets personnels mais parfois sur des glissements attachés à leurs postes de travail, bien que le Comité n`ait pas respecté les mots de passe ouvertement lors de ses visites sur le site. Lorsque les modifications de mot de passe sont nécessaires périodiquement et le nouveau mot de passe n`est pas autorisé à être le même que le précédent, la pratique la plus courante était d`avoir deux mots de passe faciles à mémoriser que l`utilisateur alternait entre les intervalles de changement. Les contrôles sur les mots de passe et la désactivation du compte ont été plus rigoureux dans les systèmes contrôlés centralement et sont devenus beaucoup plus détendu dans les groupes plus décentralisés et faiblement affiliés. les comités sont passés par des noms différents (par exemple, les dossiers de santé, la confidentialité, la sécurité et la gestion des systèmes d`information) dans différentes institutions et ont des structures de Reporting différentes. Certains ont rapporté directement à la direction supérieure; d`autres faisaient partie d`un plus grand Comité des dossiers médicaux. Quoi qu`il en soit, la composition du Comité est généralement large et peut inclure des membres connaissant les besoins et le comportement des utilisateurs (p. ex., gestionnaires de l`information sur la santé, infirmières, médecins, gestionnaires d`admission, gestionnaires des ressources humaines et relations avec les patients représentants), des experts techniques sur les systèmes d`information de l`organisation, des avocats et des représentants des patients.
14 la haute direction assiste souvent les membres du Comité en les aidant à définir une portée de travail qui complète plutôt que de dupliquer d`autres les efforts organisationnels et en demandant des jalons clairs pour les réalisations des comités. L`utilisation d`une structure de Comité pour élaborer des politiques peut prendre beaucoup de temps et être sujette à retard; un site qui avait adopté un style décisionnel consensuel pour s`assurer que le buy-in a trouvé l`avantage compensé par sa nature chronophage. Les employés de ce site ont également commenté que les adhésions au Comité étaient souvent importantes (avec des membres de chaque ministère intéressé) et assujetties au chiffre d`affaires, ce qui a encore contribué à retarder. Néanmoins, il est essentiel d`assurer une représentation appropriée des intérêts pour élaborer une politique saine. sont les plus efficaces s`ils reconnaissent les préoccupations particulières liées à l`information sur la santé et offrent une protection adéquate. Les politiques et pratiques organisationnelles sont au moins aussi importantes que les mécanismes techniques de protection de l`information sur la santé électronique et de la vie privée des patients. 1 les politiques organisationnelles établissent les objectifs que les mécanismes techniques servent, décrivent les usages appropriés et les rejets d`informations, de créer des mécanismes de prévention et de détection des violations, et de fixer des règles pour discipliner les délinquants.