הסמכת אבטחת מידע וחסיון מידע לפי חוקי ה- HIPAA

HIPPA - BIO-CHEM

חסיון מידע של אזרחים בכלל ופרטיות ואבטחת המידע הרפואי של מטופלים בפרט הוא אחד מהנושאים החמים ביותר של השנים האחרונות בתחומי הפארמה, המדיקל וכמובן הבריאות הדיגיטלית.
חוקים שונים כגון ה- GDPR באירופה, ה- HIPAA בארה”ב ואחרים באים לתת מענה לבעיה זו, אשר מחריפה עם הזמן במעבר לעולמות המחשוב, המידע, הדיגיטל והביג-דטה.
זליגת מידע אישי של אנשים כפי שראינו בלא מעט מקרים, כגון מספרי כרטיס אשראי מתגמד לעומת זליגה של מידע אישי ורפואי של חולים. כרטיסי אשראי ניתן לבטל בקלות, אך תיקים רפואיים, רשומות בריאותיות והיסטוריה רפואית וגנטית המשויכת לאדם מסוים, ברגע שזלגה החוצה- הנזק שנוצר הוא בלתי הפיך. מידע זה יכול להיות בשימוש של גורמים עוינים או גורמים בעלי אינטרסים מסחריים ועסקיים מסוג זה או אחר. דמיינו שמידע רפואי אישי עושה דרכו לחברות ביטוח, למעסיקים או ליצרנים/משווקים/נותני שרותים בתחומי הרפואה ומנוצל לרעה…

 

מה זה HIPAA?

ראשי התיבות של HIPAA הן Health Insurance Portability and Accountability Act והוא חוק פדרלי שנחקק בשנת 1996 בארה”ב.

חוק  ורגולציית ה- HIPAA חלים הן על רשומות נייר והן על רשומות אלקטרוניות, ו-HIPAA קובע כללים נוקשים כיצד ניתן לאסוף, להשתמש ולחשוף PHI (Protected Health Information) בצורה הטובה ביותר שתמנע שיבוש או חשיפה של המידע הרפואי.

בפועל, מטרתו של חוק ה- HIPAA היא להגן על הפרטיות והאבטחה של מידע בריאותי מסווג של אנשים (PHI) ולהבטיח את הסודיות, השלמות והזמינות של מידע בריאותי מוגן אלקטרוני (e-PHI) כאשר הוא נוצר, מתקבל, בשימוש, או מתוחזק על ידי ישויות אלה ואחרות כגון מרפאות, בתי חולים, חברות ביטוח וחברות ביומד.

HIPAA כולל שני עקרונות מרכזיים: פרטיות ואבטחה.

עקרון הפרטיות קובע סטנדרטים להגנה על הפרטיות של PHI של יחידים, בעוד שעקרון האבטחה קובע סטנדרטים לאומיים להגנה על הסודיות, האינטגריטי והזמינות של e-PHI.

 

מי מחויב לציית לחוקי ה- HIPAA?

ישויות רלוונטיות לעבודה לפי חוקי ה- HIPAA כוללות:

  • קופות חולים
  • מסלקות בריאות
  • חברות ביטוח
  • בתי חולים וספקי שירותי בריאות
  • חברות פארמה ומכשור רפואי
  • מפתחי תוכנה רפואית ושירותי בריאות דיגיטלית
  • כל גורם או גוף אשר אוסף, מאחסן, מנתח או משדר כל מידע בריאותי בצורה אלקטרונית

 

HIPAA כולל גם הוראה לאכיפה, המאפשרת לחקור ולנקוט פעולה נגד ישויות המפרות את כללי הפרטיות או האבטחה. העונשים על אי ציות יכולים לנוע מקנסות (כבדים) ועד שלילת רישיון למכירה בארה”ב.

HIPAA הוא חוק חשוב שעוזר להגן על המידע האישי והרגיש של חולים ומטופלים בארצות הברית ומטיל את האחריות על לטיפול והגנה על מידע זה על החברות והארגונים.

 

חסיון אבטחת מידע רפואי לפי דרישות ה- HIPAA בארה”ב

נושא אבטחת המידע הרפואי הינו בעל חשיבות גבוהה והוא נוגע לכלל האזרחים ברוב העולם המערבי.
חוקי ה- HIPAA בארה”ב באים לתת מענה בכל הנוגע לאבטחה, חסיון ופרטיות של מידע של מטופלים וחולים, מידע אשר מצוי בבתי חולים, מרפאות, חברות ביטוח וחברות הפועלות בתחום הבריאות הדיגיטלית והתוכנה הרפואית.
על מנת להגן על מידע זה יש להבטיח כי הארגון עומד בסטנדרטים גבוהים של אבטחת מידע ובדגש על מידע רפואי.
חברות המפתחות תוכנות רפואיות למשל וחברות אחרות שנותנות שירותי בריאות עושות שימוש נרחב במידע אישי-רפואי רגיש של מטופלים (עיבוד מידע, אחסון מידע, העברת מידע וכו’) כחלק מפעילותן.
עם התגברות האיומים על מערכות מבוססות אינטרנט וביג דאטה, נדרשות החברות והארגונים הללו להגן על מערכות המחשוב הקריטיות של מערכת הבריאות בכל הרמות, על מנת להבטיח רצף טיפולי וניהולי כנדרש ובמקביל להגן על המידע מאיומי סייבר.
מה הם הסיכונים הקיימים בשימוש במידע רפואי?
כאשר ישנה גישה למידע אישי-רפואי מוטלת אחריות רבת משקל על הארגון המחזיק במידע או עושה בו שימוש, על מנת להבטיח כי המידע מוגן משינויים לא מאושרים ומחיקה, כמו גם על פרטיות ובטיחות המטופלים.

סיכון פירוט ודוגמאות
גניבת מידע גניבת מידע רפואי למטרה מסחרית וחשיפת מידע אישי ורפואי של המטופלים יכולה להוביל להשלכות חמורות
מניעת שירות/טיפול רפואי תקלה שלא מאפשרת לגשת למידע הרפואי של המטופל עלולה להוות סיכון רפואי למטופל ולעכב טיפול חיוני
שיבוש מידע עשוי להוביל להחלטות רפואיות שגויות ולפגיעה בבריאות המטופל

 

מה המצב הרגולטורי בארץ בכל הנוגע לאבטחת מידע וחסיון מידע רפואי?

על פי חוזר מנכ”ל “הגנה על מידע במערכות ממוחשבות במערכת הבריאות” משנת 2015 ישנה דרישה כי מוסדות הרפואה במדינת ישראל יוסמכו לתקן אבטחת מידע למערכות בריאות ת”י 27799. כמו כן, קיימת דרישה ברורה שכל ספק אשר עובד עם מוסד רפואי יהיה מוסמך לתקן זה או לתקן הבינלאומי 27001 ISO אשר עליו הוא מבוסס.

 

למה צריך HIPPA בתחומי הבריאות הדיגיטלית והרפואה?

חברות תוכנה רפואיות, פרמצבטיקה, ניסויים קליניים, בריאות דיגיטלית ומכשור רפואי הפעילות בשוק האמריקני, חייבות לציית לחוק HIPAA על מנת להגן על ה-PHI של המטופלים שלהן וכתנאי למכור את מוצריהן ושירותיהן בשוק זה.
הציות לחוקי ה- HIPAA כולל יישום אמצעי אבטחה קפדניים בכדי להגן מפני גישה לא מורשית, חשיפה או מניפולציה של PHI ועבודה לפי נהלים ודרישות הרגולציה הרלוונטיות. בנוסף, חברות תוכנה רפואיות ובריאות דיגיטלית חייבות לעמוד גם בדרישות הקשורות להסכמת המטופל לשימושים במידע והודעה במקרה של פריצת/זליגת מידע.
כחלק מדרישות החוק של HIPAA, חברות המייצרות תוכנות רפואיות, מכשור רפואי וחברות בריאות דיגיטליות מחויבות לקיים אמצעי הגנה אדמיניסטרטיביים, פיזיים וטכניים כדי להבטיח את הסודיות, השלמות והזמינות של מידע בריאותי מוגן אלקטרוני (ePHI).
בנוסף, חברות נדרשות לציית לדרישות לעניין ניידות נתונים של PHI, דבר שאמור להקל על המטופלים להעביר את הרשומות הרפואיות שלהם בין ספקי שירותי בריאות ותוכנה שונים.
חשוב לציין כי אי עמידה בחוקי HIPAA עלולה להוביל לסנקציות וקנסות משמעותיים לחברה ובין היתר, לשלול מהחברה את ההיתר למכור את מוצריה בארה”ב.

 

כיצד ניתן להוכיח כי החברה שלי מצייתת לדרישות הרגולציה ול- HIPAA?

ישנן חברות ייעוץ אשר מציעות קבלת תעודות הסמכה לHIPAA לאחר תהליך ליווי בכתיבת נהלים, הדרכות, הטמעה וביקורת.
במאמר מוסגר יצוין, כי החלק הרלוונטי בחוק ה- HIPAA העוסק בפרטיות מטופלים מכיל יותר מ- 400 עמודים כתובים ואילו ה- GDPR – החוק האירופאי לאבטחת מידע אישי מזהה ( PII -Personally identifiable information ) הינו קצר יותר והוא מכיל “רק” 261 עמודים.
כיוון שקשה מאוד לחברות לעמוד בעומס הדרישות החוקיות אשר כולל את הצורך בהבנתן , ניתוחן וישומן הלכה למעשה בארגון, גופים בינלאומיים מוסמכים כגון ארגון ה-ISO כתבו תקנים מותאמים לרגולציית אבטחת המידע אשר עוזרים בהבנת הדרישות והטמעתן.
תקנים ספציפיים אלו לאבטחת מידע רפואי, נכתבו על בסיס התקן הבינלאומי לאבטחת מידע 27001 ISO כך שארגון אשר יוכיח ציות לתקנים אלו ויעבור ביקורת מהגופים המוסמכים, יקבל תעודת הסמכה רשמית שהוא עומד בדרישות אבטחת המידע הרפואי (27799 ISO).
חלק מתקני ה-ISO כבר מוכרים ב-FDA (כמו 14791 ISO ו- 13485 ISO), כך שנראה כי לתעודות הניתנות על ידי הארגון הבינלאומי המוסמך ISO יש יתרונות אך יחד עם זאת, לאף אחת מהסמכות אלו אין משמעות חוקית.
משמעות הוכחת הציות ועמידה בביקורת של גוף רשמי כגון ה- ISO מהווה ראיה חזקה כלפי מוסדות רפואיים ושירותי בריאות נוספים כי החברה מצייתת לסטנדרטים גבוהים. בארץ, כאמור לעיל, מדובר בדרישת סף.

 

לסיכום

HIPAA הוא חוק חשוב שעוזר להגן על הפרטיות והאבטחה של הרשומות הרפואיות של אנשים ומידע בריאותי אישי אחר. חברות תוכנה רפואיות, מכשור רפואי ובריאות דיגיטלית אשר מתעתדות לפעול בשוק האמריקני, חייבות לנקוט בצעדים הדרושים כדי לציית לחקיקת HIPAA הן על מנת להגן על ה-PHI של המטופלים שלהן והן על מנת להבטיח את התפעול התקין ואת המשך פעילותן העסקית.

תוכן עניינים

שתפו את המאמר