Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

• tietojen paljastaminen ei aiheuta harmia (JULKINEN)
• tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
• tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
• tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

• Lukittu kaappi
• Luotettu siirtokumppani
• Sinetöidyt kirjekuoret
• Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

• Valitun salaustason käyttö
• Salasanasuojaus
• Turvallinen hävittäminen
• Tarkemmin rajatut pääsyoikeudet

Organisaation olisi varmistettava, että terveydenhuollon tietojärjestelmät on konfiguroitu siten, että ne sisältävät automaattisesti selkeät potilastunnisteet, kuten nimen ja syntymäajan, kaikissa näytettävissä ja tulostettavissa tiedoissa. Tämä on kriittinen turvallisuustoimenpide, jolla estetään sekaannukset ja varmistetaan, että tiedot liitetään aina oikein oikeaan terveydenhuollon vastaanottajaan.

Tämän saavuttamiseksi organisaation olisi

• laadittava "potilastunnisteen vähimmäistietoja" koskeva politiikka: Määritellä pakollinen joukko vähintään kahta yksilöllistä potilastunnusta (esim. koko nimi, syntymäaika, yksilöllinen tunnistenumero), joiden on oltava kaikissa järjestelmän tuotoksissa.
• Määritä standardoidut otsikot ja alatunnisteet: Ohjelmoidaan kaikki terveydenhuollon tietojärjestelmät siten, että vaaditut potilastunnisteet sijoitetaan automaattisesti ja johdonmukaisesti jokaisen näytön ja tulostetun asiakirjan otsikkoon ja/tai alatunnisteeseen.
• Vakioidaan kaikki kliinisten raporttien mallit: Varmista, että kaikissa raporttien (esim. laboratoriotulokset, radiologiset raportit, kotiutusyhteenvedot) tuottamiseen käytetyissä malleissa on varatut, muokkaamattomat kentät pakollisia potilastunnisteita varten.
• Ota käyttöön aktiiviset tarkistuskehotukset: Integroi kriittisiin työnkulkuihin (kuten lääkkeiden antamiseen tai testien tilaamiseen) järjestelmätason tarkistuksia tai "kovia pysäytyksiä", jotka vaativat henkilökuntaa tarkistamaan aktiivisesti potilaan henkilöllisyyden näytöllä olevien tietojen perusteella.

Organisaation on otettava käyttöön käytännöt ja menettelyt, joilla sallitaan pääsy suojattuihin sähköisiin terveystietoihin.

Organisaatio ylläpitää luetteloa nimetyistä tietotyypeistä, joita voivat olla esimerkiksi:

• Henkilötiedot
• Suojatut terveystiedot
• Pankkitilien numerot
• Organisaation tiedollinen omaisuus
• Operatiivista teknologiaa koskevat tiedot

Ja jäljittää ja dokumentoi metatiedot kustakin näistä nimetyistä tietotyypeistä, kuten:

• Alkuperä
• Tiedon omistaja
• Maantieteellinen sijainti

Organisaatiot voivat myös jatkuvasti etsiä ja analysoida tapauskohtaista tietoa tunnistaakseen näiden nimettyjen tietotyyppien uusia esiintymiä.

Paperikopio tarkoittaa näytetyn tai siirretyn tiedon pysyvää jäljennöstä fyysiseen muotoon.

Organisaatiolla on työntekijöille ohjeet, jotka rajoittavat henkilötietoja sisältävän materiaalin paperikopioiden luomista. Tämä sisältää tulostetun materiaalin.