每個級別的請求都是荒謬的。

首先，經理/人力資源經理如何將您的電子郵件鎖定在櫃子中？您永遠不會通過電子郵件發送敏感的用戶名/密碼。這極有可能是網絡釣魚攻擊的一部分。充其量，現在您的老闆/人力資源部的計算機/筆記本電腦是整個辦公室安全的單點故障。

第二，這位經理/人力資源部將如何確保沒有其他人可以使用此權限或潛在權限

第三，Windows管理中有很多方法可以覆蓋用戶的域帳戶並使用適當的程序登錄到他們的配置文件。

對我來說，管理需要這樣做的原因只有兩個：

• 他們受過不適當的培訓，完全不擅長技術和安全程序，因此感到這是可以做到的“唯一方法”。這充分說明了您的公司。要么您的高層管理人員根本不了解如何管理一個處理敏感數據的組織，要么他們根本不相信您的IT /技術人員。

• 也可能是IT /技術人員阻止了他們執行某些操作，並且您的登錄名使他們可以繞過這些安全措施。如果我使用域身份驗證登錄到您的個人資料，則某些設計精良的應用程序將不允許自動登錄。因此，我們將需要具有用戶的登錄/通過權限或重置用戶。無論哪種方式，我都無法理解為什麼上級管理人員在您不知情的情況下進行操作時需要登錄。

• （根據失去的作者評論添加此內容）-我通常不會走得那麼遠，但是作者補充說，她相信他們的外包IT /安全部門知道這封電子郵件並且可以接受。這是一個肯定的信號，即他們要么非常不適合自己的工作（需要進行真正的備份），要么他們很糟糕，就無法遵循HIPAA標準。或然後最明顯的是，他們與管理人員陷入僵局-使用登錄名進行“惡意”操作。

我將如何處理？

我會問我的經理為什麼他們需要您的詳細信息。表達您對隱私（和HIPAA法規）的關注。

如果您的經理在這方面給您施加壓力，那麼我會聯繫HR-他們發送了電子郵件，但從您的經理開始。很有可能它沒有被授權（或者一旦他們看到安全問題，他們會說它未被授權）。這就是它變得粗糙的地方。因為人力資源（通常在這裡廣泛地講）是唯一通常比管理人員技術含量更低的人群。

您需要向HR表達您的疑慮。我將確保人力資源部門正在與您的IT /技術部門中的某人合作，以確保其符合公司的安全慣例。如果人力資源部拒絕與IT /技術部門合作，則可能需要直接與這些部門的人員聯繫。如果您有安全性部分，請從他們入手。如果不是從IT主管開始的話。

最後的方法是聯繫 衛生與公共服務。您可以了解到，這很可能直接違反了他們的技術保障（ 此處）。如果您的公司中沒有人想對安全問題採取任何措施，而只是詢問是否違反安全性，請報告您的公司，並對其進行教育。

（而且，我確實認為這與您離開公司時要求您的用戶/通行證有所不同。我認為這是有道理的，因為如果他們做了任何事情，就會有“時間戳記”信息，這將使您得到證明。但是當您在那工作時，這變成了他/她說的遊戲，或者您在1月5日上午10:32的位置在哪裡？請注意，使用您的登錄名，我可以輕鬆地遠程登錄PC 在您指定的時間在辦公室。）

您聽到的聲音是，一萬個網絡管理員在這篇文章中尖叫“不！” 。

充其量，這只是想看看您有多靈活。我實際上會懷疑是這種情況，因為最近這些天主要是針對社交漏洞的安全審計測試。

在最壞的情況下，這是完全無能的管理的標誌（我的意思是徹底的，因為他們的父母應該為因這種愚蠢而污染環境而支付罰款）。

在任何情況下，在這種情況下，我永遠不會向任何人發送與我的身份相關的任何密碼。

我會將這封電子郵件轉發給您的IT部門，標題為：“顯然，沒有人會合法地這樣做，但是我認為這應該作為嘗試的安全漏洞引起您的注意。”

這在HIPAA環境中的許多層次上都是荒唐的。

• 首先不應該詢問
• 不應該通過電子郵件發送
• 不應該將其保存在文件櫃中
• 它是Windows登錄帳戶。
  如果您使用本地登錄帳戶而不是域登錄帳戶，那麼我一開始就沒有看到您甚至符合HIPAA的要求。密碼。
  如果域管理員更改了您登錄的密碼-有證據表明您未執行密碼更改。
  如果他們今天不控制您的密碼，那麼我看不到他們如何是否符合HIPAA。
  如果您不在域中，則表示設備未通過身份驗證且不符合HIPAA。

我想他們可以提出要求，但我懷疑僅此一項要求就可以證明他們不符合HIPAA。如果您遵守要求，則很可能違反了HIPAA。但是，如果您遵守管理層提出的經核實的要求，那麼我想說的是，這種違規行為不是可以固定在您身上的。如果其他人使用您的帳戶，您可以說嘿，您讓我透露了我的密碼。證明電子郵件或文件櫃沒有受到破壞。這真是荒謬的要求。即使是人力資源部門的人也應該對此有所了解。

請謹慎行事。你沒做錯任何事。即使您回复，也可能沒有做錯任何事情。如果吹口哨，您可能會失業或關閉公司。如果它們沒有損壞，那麼您甚至可能沒有錢吹口哨。這不是你的問題。不要拿箭頭。

梅麗莎，你一直在問為什麼有正當的理由。我的回答是，從HIPAA和技術角度來看，我都沒有合理的理由。人力資源如何融入其中是只有人力資源，首席執行官和首席運營官才能知道的事情。負責合規性的IT人員永遠不會這樣做。同樣，這不是您的問題。讓IT與HR接手。我看不到吹哨的風險與回報。

這對任何公司來說都是非常糟糕的，但對於受HIPAA監管的公司來說，這是完全不可接受的（而且很可能是非法的）。我建議您獲得一份HIPAA法規的副本，找到有關數據訪問的適當條款，然後將其發送回去。

http://www.hhs.gov/ocr/privacy/hipaa /administrative/securityrule/securityrulepdf.pdf

請注意，有一項規定允許他們為處理緊急情況做出特殊規定，但確實與該節中指出的必須相抵觸。可驗證登錄的人應該是該登錄的人。通過電子郵件發送信息，您很可能會受到侵犯，因為除了其他發送人之外，其他人也可以訪問電子郵件（系統管理員）。

如果您在HIPAA之下，則可能有一名安全人員負責確保遵守HIPAA規定，如果這樣，請在向老闆作出回應之前將其告知他或她。這可能是個更好的人，可以提出一個好主意。

我會檢查您公司的IT政策文件。我認為這很可能是一項具體政策，要求您不要通過電子郵件發送或寫下您的用戶名/密碼組合。

然後我將引用該法規並拒絕遵守該法規。

只需輸入您的用戶名和密碼，然後更改密碼即可。無論如何，都應該要求您每隔幾個月左右進行更改。如果將來有人問您為什麼更改密碼，您可以說：“哦，有人多次告訴我，不時更改密碼是個好主意，我什至沒有想到紙鎖在櫃子裡的某個地方”。

我目前是醫療保健行業的IT專業人員。我執行由安全專家設計和創建的策略。這些策略基於HIPAA。我可以在此摘要中檢索有關所有內容的地方政策： http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

某些摘錄：

行政保護措施 -> 安全人員。受保護實體必須指定負責制定和實施其安全策略和程序的安全官員。 .15

技術保護措施 -> 訪問控制。涵蓋實體必須執行技術政策和程序，以允許 僅授權人員 訪問受保護的電子健康信息（e-PHI）。24

密碼注意事項

密碼必須定期更改。這意味著物理存儲的密碼將變得過時。

您的IT專業人員可以管理和審核您的密碼。單獨獲取密碼遠比通過管理控制使流程自動化要困難得多。

政策注意事項

基於HIPAA，您應該擁有任命的安全員並接受過基本的培訓安全控制。這將是與此相關的正確聯繫人。

您的IT小組和安全小組應制定詳細說明密碼控制措施的策略。這些政策是法律文件。

隱私/ HIPAA注意事項

能夠訪問醫生或護士帳戶本身就是一個巨大的問題。必須針對“ 最低必要要求”實施控制措施 。您的首席執行官或首席運營官絕不能訪問他們不需要執行的患者信息他們的工作職責。可以針對個別情況提出許多論據和藉口，但不能為所有患者和僱員提供全面的訪問權。

擁有僱員密碼還可以使您不適當地更改圖表，這是HIPAA違規。

出於安全審核的考慮，要求所有員工的密碼不是HIPAA違規。但是，存儲此信息很容易會構成違法行為。

最後，如果CEO / COO使用您的帳戶違反了HIPAA，則您將承擔責任。如果您參加了電子郵件，則可以用來減輕某些責任。但是，您有責任保護自己的密碼，明知允許某人訪問您的帳戶與假冒某人一樣糟糕。

您應該做什麼

請勿提供您的密碼。查看有關密碼和訪問控制的IT策略。將電子郵件報告給您的主管，指定的安全員和IT管理員。如果管理層的反應不理想，您的機構可能會投訴“匿名”安全熱線。另外，您可以選擇通過美國進行投訴。不幸的是，衛生與公共服務部

將投訴移交給您的管理層時，您可能會被懷疑終止。

您不應該不提供用戶名和密碼，然後回复並解釋說安全策略阻止您提供該信息，這聽起來像是網絡釣魚電子郵件；由內部安全小組或IT小組負責，以使他們知道所發送的電子郵件。

如果這是合法請求，並且他們進一步加大處理力度，請親自與他們聯繫，討論並解釋為什麼不應該這樣做。 t。如果他們仍然堅持，請親自提供而不是通過電子郵件提供。

只需拒絕

HIPAA要求訪問權限僅限於需要了解的人員。經批准的電子病歷系統評估需要知道的唯一方法是由誰登錄。HIPAA還要求他們記錄誰訪問了電子記錄以及誰進行了更改。

由於HIPAA和電子在運行狀況記錄規則中，每個提供程序應具有唯一的標識符，只有該提供程序可以訪問該標識符。這通常是通過將手中的物體（ID卡或RFID）和您知道的物品（密碼）結合在一起來實現的，為了進行驗證，許多人都知道的物品（帳戶ID）共同實現。 IT部門可以輕鬆查找帳戶ID。 IT部門可能會以最小的麻煩來更改密碼（但是它會登錄到系統中），如果他們這樣做是為了不正確地訪問內容，那麼指出您的密碼已被其他人更改要容易得多。 （當您登錄時，您會發現密碼失敗，並且必須IT為其重置。如果發生這種情況，這是一個警告信號。）

根據衛生與人類事務部的說法服務（DHHS） HIPAA安全規則摘要，違反安全規則是聯邦犯罪。根據執行規則頁，每次未經授權或非法訪問的最高罰款額為$ 100，最高每年為$ 25,000。如果您讓某人擁有您的登錄憑據，並且他們使用了它們，並且可以將其追溯到您，則每個人都會受到罰款。

無正當理由

如上所述，IT人員或至少電子病歷安全員可以訪問您的記錄。通過使用幾種方法來帳戶，但是這些方法很可能會被記錄。

查看記錄的任何合理原因都可以使用其自己的帳戶進行訪問。管理層沒有正當理由，除非他們得到電子病歷安全員（EHRSO）的批准，這意味著他們應該擁有自己的登錄名。

“我忘記了”的目的同樣無效-EHRSO可以重置您的密碼。甚至IT都可能會重置您的密碼。如果您選擇這種方式，則應盡快更改密碼。

有資質的EHRSO甚至可以創建一個統計採樣帳戶，該帳戶顯示記錄號，但沒有患者身份，因此即使是統計採樣也是如此。

由於您的所有記錄都可以由EHRSO或由他們指定的人進行審核，並具有自己的登錄名和密碼，因此可以正確登錄，因此對您的工作進行審核不會有充分的理由。

通過電子郵件發送密碼

通過電子郵件發送密碼始終是一個壞主意。特別是當它允許訪問時，可能會因使用不當而被罰款。永遠不要將您的密碼通過電子郵件發送給任何人，包括您自己。

將此信息報告給ERHSO

您的ERH安全主任可能不在圈中。如果是這樣，那麼您的雇主就會遇到大麻煩。如果沒有，他們也許可以輕輕地教育高層人士。

向DHHS報告

如果他們不回答“否”，請盡快您可以聯繫衛生和公共服務部的民權辦公室（DHSS-OCR）。讓他們知道您擔心您的雇主使用登錄憑據來獲取管理層對電子健康記錄的非法訪問。

這是要做的三件事：

1. 保護您免受雇主和DHSS-OCR的侵害
2. 保護您的患者的公民權利
3. 使您的雇主受到教育，了解他們可以合法地做什麼和不能做什麼。 > ol>

   即使沒有什麼好的選擇，它也會被DHSS-OCR記錄下來，並且將來其他人的抱怨也會帶來更多的彈藥。這可能需要一段時間。

   如果您受到雇主的威脅，請聯繫您的專業許可部門，以了解您的州權利和責任。還請注意，舉報違反美國聯邦法規的行為受到聯邦一級舉報人法律的保護。

   禮貌，但堅決

   在與政府打交道時保持禮貌。即使他們提出非法問題，敵意或尖酸的回應也可能成為終止合同的理由。

即使是非法的，老闆也可以做任何事情。如我所見，老闆 唯一不能做的就是他或她的員工拒絕遵守的事情。

您還可以拒絕執行老闆要求的任何事情無論該請求是合法，非法，合理還是不合理，您都可以這樣做。老闆的要求不必是非法的，也可以是您拒絕遵守的要求。

我的印像是，您不認為老闆要您提出要求。如果您認為這是個壞主意，我的建議是不要這樣做。或者這樣做，然後立即開始尋找其他工作。

公司可能要求您完全有權使用您為他們所做的任何事情或在他們的設備上所做的一切。但是，要求您輸入個人密碼絕對是錯誤的方式；如果他們確實想要的話，他們應該能夠在任何系統上設置管理替代。

如果這樣做，您應該配合。

如果他們不這樣做，但是有合法的業務緊急情況要求您在不存在時進行訪問，那麼您應該了解公司的政策是什麼-誰必須批准它-然後返回和/或危機過去後，請立即更改密碼。

如果沒有危機，它可以等到您到達那裡。

如果危機介於兩者之間的灰色地帶，請高層和/或您明確指示公司的計算機安全團隊。最好寫上簽名。