אנו חיים בעידן המידע.
נאמר כבר הכל ואין הרבה מה להוסיף לזה- היות והמציאות מדברת בעד עצמה.
מה שהיה הוא לא מה שקורה או מה שיהיה.
מגמה זו כמובן אינה פוסחת על הסקטור העסקי בכלל על חברות בתחומי הבריאות בפרט.
המונח בריאות דיגיטלית או E-Health מוכר כבר לכולנו וזהו תחום שצובר תאוצה וללא ספק יהווה חלק בלתי נפרד של רפואת העתיד.
אבטחת מידע רפואי ואישי של ארגוני בריאות ומטופלים
נתונים ואינפורמציה בכמויות אדירות ומסוגים שונים נאספים, מאוחסנים ומנותחים על ידי ארגונים רבים, העושים בהם שימוש למטרות עסקיות או כחלק ממתן שירותים כגון שירותי רפואה.
חשוב לזכור כי ישנו הבדל מהותי בהתייחסות הרגולטורית לסוגי מידע שונים.
ישנם נתונים אישיים שאינם מוגדרים “מידע רגיש” כגון מס’ כרטיס אשראי ומאידך ישנו מידע אישי-רפואי ומסווג, שאם נחשף או מגיע “לידיים הלא נכונות”- משם אין דרך חזרה והנזק למטופל הוא אדיר ובלתי הפיך.
תארו לכם מה אפשר לעשות עם תיק רפואי של אזרח אשר תוכנו נחשף לגורמים שאינם אמורים לקרוא אותו… מה אפשר לעשות עם סוג מידע כזה? אילו גופים יכולים להשתמש במידע זה לתועלתם? …
לא מדובר רק על ארגוני בריאות. לדוגמא, חברות מתחומי הפרמצבטיקה, המכשור הרפואי, הבריאות הדיגיטלית וחברות אשר מבצעות ניסויים קליניים, מחזיקות ברוב המקרים מידע רגיש מאוד אשר לעיתים כולל רשומות רפואיות ותיקים רפואיים, תוצאות בדיקות רפואיות, מידע גנטי, דמוגרפי וכדומה.
לאור זאת, ברור לכל שהרגולציה בתחומי אבטחת המידע וחסיון המידע חשובה מאוד וככזו מחייבת חברות בתחומי הפארמה, המדיקל, הבריאות הדיגיטלית והבריאות, כמו גם ארגוני רפואה, לוודא מעל לכל ספק ולהוכיח באמצעות נהלים, דוחות ורשומות, כי מידע זה ישמר כמסווג ויהיה מוגן בכל עת.
הסמכה ל- GDPR לחברות מתחומי הבריאות והמדיקל
ראשי התיבות של GDPR הן General Data Protection Regulation.
GDPR הוא חוק אירופאי שמטרתו להגן על מידע ולשמור על פרטיות המידע במדינות אשר פועלות עסקית באירופה או שמעבירות מידע אישי של אזרחים אירופאיים אל מחוץ למדינות האיחוד.
כאשר חברה כלשהי במסגרת פעילותה העסקית, אוספת או מאחסנת מידע פרטי או רפואי מזוהה, היא מחויבת להגן על פרטיות מידע זה, ולאפשר סביבת עבודה עסקית פשוטה, שקופה ובטוחה.
דרישות GDPR בתחומי המכשור הרפואי, התוכנה והבריאות הדיגיטלית
- הגנה ואבטחת מידע
- ניהול סיכונים
- הסכמה מודעת של המטופל למסירת מידע שיעשה בו שימוש על ידי החברה
- הגנה ואבטחת מידע מפני פריצה או אירועי אבטחת מידע
- מינוי נושא משרה בחברה העוסק בנושא אבטחת מידע
- עיבוד מידע בדגש על אתיקה, שקיפות ואחריות
- אפשרות המטופל לבקש בכל עת להמחק ממאגרי המידע
- מגבלות על העברת ידע רפואי בין חברות או ארגונים
הסמכה ל- HIPAA לחברות מתחומי הבריאות והמדיקל
HIPAA הנו ראשי תיבות של Health Insurance Portability and Accountability Act והוא חלק מחוק ביטוח בריאות וחבות אחריות בארה”ב.
החוק עוסק באספקטים שונים הקשורים לפרטיות ואבטחה של מידע שחובה ליישם במטרה לשמור על מידע רפואי המוגדר כמידע רגיש ומסווג.
דרישות HIPAA בתחומי המכשור הרפואי, התוכנה והבריאות הדיגיטלית
- פרטיות מידע רפואי
- הגנה ואבטחת מידע הקשור לבריאות המטופל
- סטנדרטיזציה של אמצעים אלקטרוניים
- העברת מידע רפואי
- סנקציות על הפרות
- שיפור הזמינות והנגישות של חולים לשירותי סיעוד וביטוח בריאות
ההבדלים בין GDPR ל- HIPAA בחברות בריאות דיגיטלית
HIPAA ו-GDPR הן שתי תקנות שמטרתן כאמור היא להגן על נתונים אישיים, אך ישנם כמה הבדלים מרכזיים ביניהן, במיוחד עבור חברות בריאות דיגיטליות.
ההבדלים המרכזיים בין HIPAA ל-GDPR
| נושא | HIPAA | GDPR |
| היקף | HIPAA היא תקנה אמריקאית החלה על ספקי שירותי בריאות, קופות חולים ומסלקות בריאות המטפלות במידע ורשומות רפואיות מוגנות (PHI). | GDPR היא תקנה אירופית החלה על כל ארגון המעבד נתונים אישיים של אנשים באיחוד האירופי ללא קשר לסוג התעשייה. |
| עקרונות הגנת מידע | · מזעור נתונים
· הגנה על נתונים · דיוק ואמינות נתונים · אבטחת מידע |
· מזעור נתונים
· הגנה על נתונים · דיוק ואמינות נתונים · אבטחת מידע
ה- GDPR עוסק יותר באמצעים הטכניים והארגוניים שחברות חייבות לנקוט בהם, על מנת להבטיח את אבטחת הנתונים האישיים. |
| זכויות הפרט | זכות הפרט לגשת, לשלוט ולהגן על הנתונים האישיים שלו. | זכות הפרט לגשת, לשלוט ולהגן על הנתונים האישיים שלו.
בנוסף, ה- GDPR מקפיד יותר מה-HIPAA על זכויות הפרט. לדוגמה, GDPR מעניק לאנשים את ה- “זכות להישכח”, כלומר שאדם רשאי לבקש את מחיקת הנתונים האישיים שלו בכל עת. |
| תעודת הסמכה | ל-HIPAA אין תהליך הסמכה פורמלי אך ישנם תקני ISO רלוונטיים אשר מכסים את דרישות ה- HIPAA כגון ISO 27799. | ל-GDPR יש מנגנון הסמכה המאפשר לחברות להוכיח עמידה בדרישות הרגולציה.
ניתן להעניק אישור GDPR על ידי גוף התעדה שהוסמך על ידי רשות מפקחת אירופאית. כמו כן, ישנם תקני ISO רלוונטיים אשר מכסים את דרישות ה- GDPR. |
| הגדרה של נתונים אישיים | ההגדרה של HIPAA ל-PHI פחות רחבה מההגדרה של GDPR לנתונים אישיים.
לפי ה- HIPAA, PHI כולל מידע שניתן להשתמש בו כדי לזהות אדם, כגון שמו, כתובתו ומספר תעודת זהות שלו, כמו גם מידע בריאותי. |
ההגדרה של GDPR לנתונים אישיים היא רחבה יותר וכוללת כל מידע שניתן להשתמש בו לזיהוי ישיר או עקיף של אדם, כגון כתובות IP ומזהים מקוונים אחרים. |
| דרישות הסכמה | HIPAA מאפשר לחברות או ארגונים להשתמש ולחשוף PHI ללא הסכמה אישית של הפרט למטרות טיפול, תשלום ופעולות בריאות. | GDPR דורש מארגונים לקבל הסכמה מפורשת מאנשים לפני עיבוד הנתונים האישיים שלהם. |
| קצין הגנת מידע | ל-HIPAA אין דרישה למינוי אדם שתפקידו הרשמי בחברה אשר תפקידו הוא אחריות על הגנה ואבטחת מידע. | GDPR מחייב את החברה למנות קצין הגנת מידע (DPO) אם מעבדים כמויות גדולות של נתונים אישיים או עוסקים במעקב שיטתי אחר אנשים/מטופלים. |
| עונשים על אי ציות | הפרות HIPAA יכולות להוביל לקנסות הנעים בין 100 ל-$50,000 לכל הפרה, כאשר על הפרות חוזרות ניתן להגיע גם לקנסות של כ- 1.5 מליון דולר. | ל-GDPR יש קנסות על אי ציות והפרות של עד 4% מההכנסות השנתיות הגלובליות של החברה או 20 מיליון אירו, הגבוה מבניהם. |
לסיכום,
עבור חברות בריאות דיגיטליות, תוכנה רפואית, אפליקציה סלולרית או מכשור רפואי משולב תוכנה, כמו גם חברות ניסויים קליניים, פרמצבטיקה ומכשור רפואי, אשר פועלות או מתעתדות למכור את שירותיהן בארה”ב ואירופה, חובה לעמוד בדרישות רגולציה מחמירות העוסקות באבטחה וחסיון של מידע כמו גם הצורך בניהול מערכת איכות, אשר תתמוך, תנהל ותבקר פעילות זו.
מלבד הדרישות הרגולטוריות והחוקיות, הסמכות פורמליות כגון ISO 27799, ISO 27001 , ו- ISO 13485 מהוות הוכחה לכך שהחברה פועלת כנדרש ומבטיחה את חסיון המידע של המטופלים, וכמו כן את עתידה וביצועיה העסקיים בארה”ב ואירופה.
