安全与立法

数据保护规定在Viso

Viso——Noldus的AV录制工具——被用于许多不同的领域:心理学、医疗保健、教育、消费者研究、用户体验等等。在所有这些应用程序中,Noldus软件提供了高度的安全性,以保护数据不被非法使用。

数据保护是公平和适当地使用关于人们的信息。这是隐私权基本权利的一部分,但在更实际的层面上,它实际上是关于在人和组织之间建立信任。它是关于公平和公开地对待人们,承认他们有权控制自己的身份,以及他们与他人的互动。



适用的法规

诺达斯遵守有关客户数据保护的适用法律。欧盟(EU)和美国(USA)的立法最为突出,将在此讨论。

欧洲法规

在欧盟,《通用数据保护条例》(GDPR)立法于2018年5月25日生效。GDPR适用于针对或收集的与欧盟境内人员有关的所有形式的数据。作为一家全球性的专业IT公司,诺达斯遵守GDPR的所有规定。

美国的法规

在美国,1996年的《健康信息可携性和问责法》(HIPAA)通过关于以电子或其他方式收集和存储患者信息的规则和条例来保护患者的医疗记录。

另一项重要的美国法律是2009年的《经济和临床卫生卫生信息技术(HITECH)法》,旨在支持跨计算机化系统的卫生信息管理和卫生信息的安全交换。这项法律与我们在医疗保健领域的客户尤其相关。

此外,《家庭教育权利和隐私法》(FERPA)保护学生教育记录的隐私,因此对培训和教育领域的所有用户都很重要。

HIPAA和FERPA确保个人的个人信息受到保护,并防止未经授权的访问这些信息。这对于在医疗保健环境中工作的客户尤其重要。有实习医生的保健设施必须遵守《外国学生权利法》,从而确保学生的教育记录得到保护。HIPAA规定了非学生患者的隐私。



遵守法律

上述所有立法都指出,数据应保存在安全的地方,其他人不应获取。这可以通过几种方式实现:将计算机放置在一个安全且上锁的房间中,对计算机进行强大的密码保护,对计算机中的整个硬盘进行加密,要求软件访问使用硬件密钥,以及复杂的用户管理。

数据保护


提供认证

GDPR没有法定的合规性认证。合规机制在GDPR中有描述,但最终将由监管当局创建(或不创建)。它们还不存在。但是,诺达斯的所有软件和活动,包括与Viso相关的,都经过严格筛选,以符合GDPR。

HIPAA规则“不承担认证软件和现有产品的任务”(联邦公报第8352页/第68卷,第34号/ 2003年2月20日星期四/最终安全规则的规则和条例)。由于HIPAA规则是可扩展的,以适应必须遵守这些规则的实体在类型和规模上的巨大范围,没有一个单一的标准化程序可以适当地培训所有实体的员工。

HIPAA规则也没有为提供HIPAA认证的独立机构设定标准或授权。然而,有许多资源可以帮助像Noldus这样的中小型企业确保其员工了解健康信息的保护。诺达斯要求所有可能接触到患者健康信息的员工都要参加培训课程。

HITECH指的是电子健康记录(EHR)程序和模块的测试和认证。Noldus Viso不是电子健康记录程序或模块。



法规翻译成AV工具Viso

Viso是一个封闭的网络软件解决方案。数据存储在Viso网络中的视频服务器上,受用户网络安全程序的控制。Noldus IT不需要访问任何视频文件、安全健康信息或教育记录;即使我们提供技术支持或进行升级,我们的所有活动都是独立于患者信息访问进行的。Noldus IT在任何时候都不会保持与任何Viso系统的活动连接。这样的连接只能由Viso用户发起、授权和监督。因此,Noldus IT属于“软件供应商”而不是“业务伙伴”的类别。

获得Viso系统的主要原因之一可能是用视频记录学生、参与者或患者。诺迪斯IT非常重视记录数据的隐私和安全。

在Viso中,已经实现了几个特性来保护HIPAA要求的未授权访问。Viso区分了三种类型的安全措施:1)管理的,2)物理的和3)技术的。

1)行政安全措施

行政安全措施被描述为旨在管理安全措施的选择、发展、实施和维护的政策和程序。它们保护电子存储的健康信息,并管理用户所在组织在保护该信息方面的行为。

Noldus IT培训员工如何识别受保护的数据,并确保这些数据不会在未经允许的情况下被访问或从客户站点删除。

2)物理安全措施

当我们考虑物理防护措施时,设施中上锁的门是第一种防护措施。由于Noldus IT从不收集或传输数据,因此Viso用户有责任保护他们的设施、工作站和移动设备。

3)技术安全措施

在Viso中已经实现了一些技术保障措施,以确保系统的安全性。

Viso技术保障从内置的用户管理特性开始,该特性允许在不同的用户级别访问Viso。客户端站点的管理员负责分配用户权限。无论用户级别是什么,访问都需要唯一的用户名和密码组合。

传输中的数据采用TLS (Transport Layer Security)加密。这可以防止网络流量嗅探提取信息,并防止数据在传输过程中被更改。

关于使用视频的用户活动(录制、替换和删除视频)在审计跟踪功能中注册,并在管理员级别进行访问。

如果达到预设的不活动时间,用户将自动注销。



Viso的哪些特性有助于遵守法律?

密码加密

Viso可以与您自己的LDAP集成;因此,没有用户名或密码存储在Viso。但是,您也可以选择在Viso内部本地生成用户名和密码。在这些情况下,它们在Viso数据库中被加密。此外,还有符合LDAP要求的。密码至少包含以下字符:

  • 10个字符
  • 一个大写字母(如A)
  • 4个中的3个:
    • 大写字母
    • 小写字母
    • 数量
    • 特殊字符
  • 它可能不包含用户名的部分内容

完善的用户管理

Viso支持健壮的用户管理结构。管理员可以分配四个级别的专用用户角色,这些角色提供了高级别的安全性和对谁可以查看哪些记录的完全控制。

审计跟踪

Viso审计跟踪功能创建一个日志文件,其中包含所有与视频创建、删除和用户选择的访问相关的活动。审计跟踪的保留期由客户决定,可以设置为符合GDPR和HIPAA。

隐私保护开关

根据客户的要求,Viso系统中的摄像头可以配备物理隐私开关。当开关打开时,这个开关将一个黑色的隐私盖在相机上,以防止录像发生。一个可选的灯可以指示饲料是否“实时”和/或录音正在进行中。

Viso登录屏幕


如果您有任何问题或需要更多信息,请在您方便的时候与我们联系。