پاسخ مختصر مفید:
چی دیده ای حالا؟ اینکه طرف شکایت کنه که ای وای فتوشاپ باعث شد عکس عروسیم خراب بشه با اینکه شکایت کنند نرم افزار نسبت به آلرژیهای بیمار هشدار نداد یا مثلا دکتر چون توی یک ایالت دیگه با یک time zone متفاوت بود یباعث شد dose یک دارو کم و زیاد بشه باعث شد پسرم سکته کنه بمیره یک مقداری فرق فوکوله. اوکیییی؟!
اشتباه خوندی . ننوشته بودم defect . داشتم درباره حریم خصوصی و امکان ردیابی اعمال کاربر حرف میزدم و موارد قانونی.
ضمنا بستگی داره نرم افزارت چقدر مهم باشه. خطای ما میتونه باعث مرگ آدمها بشه. همین دو سه ساعت قبل که از سرکار امروزم برگشتم یک ساعت از وقت دیزاینر پروژه و یک ساعت از وقت من صرف Hazard Analysis برای فیکس یکی از defect هایی بود که بهمان گزارش شده بود. و کلا فیکسش از نظر کد نویسی حدود پنج خط کد بود و اتفاقا مربوط به foreign systems هم بود. من اصلا نمیدونم چند تا شرکت وطنی میان hazard analysis هم برای پروژه هاشون انجام بدهند! اونکه fraud detection به اون عیانی بود اونطور از آب در اومد. خدا این یکی رو به خیر کنه.
ببین من از bragging بدم میاد. چون همیشه دستهای بالاتری هست. اما یک کم انگار باید روشنت کنم: اینجا شما - نه شخص شما. کلا عرض میکنم - میایی میپرسی که آقا برنامه رو چجوری با یک دکمه زدن کامل
نصب کنم و دات نت فریم ورک حجمش زیاده نمیخوام اون رو هم نصب کنه و غیره .... فرقش اینه که همین برنامه تیم من که حجمش هم در مقایسه با سایر پروژه ها واقعا خیلی کمه حدود 400 هزار خط - رو اگر مشتری بخره و بخواد
نصب کنه و یا بخواد با بقیه سیستمهای ما اون رو مجتمع کنه مبلغ قرارداد فقط برای همین نصب برنامه میشه 500 هزار دلار . پس یک کمی فرق فولوکه. هزینه های پشتیبانی و مشاوره و آموزش و ارتقا و امکاناتی که براشون فعال کنیم و غیره رو هم هیچ . اونها جدا .
در مورد حریم خصوصی: من چون architect هستم دسترسی به پایپ لاین های محیط Production هم دارم اما مثلا senior software engineer ها و پایین تر اونها دسترسی ندارند به production . یعنی دیتاهای کاربران واقعی. یعنی میتونم لاگین کنم به فلان بیمارستان بگم بذار امشب برم پرونده پزشکی دوست دخترهای سارکوزی رو یک نگاهی بندازیم و بگذاریم توی فیسبوک استتوس. اما اولا که تمام کلیک هام داره لاگ میشه . ثانیا خلم مگه ! ثالثا این قضیه اونقدر مهم هست که قبل از اینکه به کسی دسترسی به production بدهند یک دوره کلاس آموزشی پنج روزه میفرستندت که نکات ایمنی و یک سری قوانین حریم خصوصی کشورهای مختلف و خلاصه باید و نباید های دسترسی به دیتای کاربر رو بهت آموزش میدهند و امتحانش رو هم پاس میکنی و بعدش بهت اکسس میدهند! . حالا اگر بعد از همه اینها هم طرف باز هم خودش تنش میخوارد که خب باید انداختش زندان حالش جا بیاد.
Procedures should clearly identify employees or classes of employees who will have access to electronic protected health information (EPHI). Access to EPHI must be restricted to only those employees who have a need for it to complete their job function.
The procedures must address access authorization, establishment, modification, and termination.
Entities must show that an appropriate ongoing training program regarding the handling of PHI is provided to employees performing health plan administrative functions.
A contingency plan should be in place for responding to emergencies.Covered entities are responsible for backing up their data and having disaster recovery procedures in place. The plan should document data priority and failure analysis, testing activities, and change control procedures.