HIPAA והדרישות לחסיון מידע רפואי של מטופלים

2020-06-28T07:22:23+00:00ינואר 15, 2020|Articles, Digital Health, Medical Device|

מה זה HIPAA?

ראשי התיבות של HIPAA הן Health Insurance Portability and Accountability Act.

דרישות ה- HIPAA נגזרות מתחום ביטוח הבריאות וחוק האחריות והן למעשה מגדירות את דרישות התקן להגנה על נתונים רגישים של מטופלים אמריקניים. תקנות ה- HIPAA פורסמו בשנת 1996 והן מחייבות חברות מתחום המדיקל והבריאות הדיגיטלית העוסקות במידע רפואי ו/או בריאותי של מטופלים. על חברות מסוג זה, מוטלת החובה להגן על מידע רפואי/בריאותי ואף לנקוט אמצעי אבטחה פיזיים, טכנולוגיים ורשתיים ובנוסף לנטר ולעקוב אחר הנתונים על מנת להבטיח שמידע זה לא יזלוג מחד וישמר ברמת שלמות ואמינות, תוך תאימות לדרישות ה- HIPAA. כל גוף, חברה או גורם אחר, אשר מספק טיפול, מידע, נתונים, פרטים אישיים, בין אם במישרין ובין אם כחלק מעבודה עם גוף שכזה, כגון קבלן משנה או שותף עסקי, מחוייב גם הוא לעמוד בתאימות לדרישות ה- HIPAA.

תקנות הפרטיות והאבטחה של ה-HIPAA

על פי ה- HHS האמריקני, עמידה בתקן ה- HIPAA מחייב בין היתר, הקפדה על פרטיות וחסיון מידע בריאותי של מטופלים ברמה הלאומית וככזה אמור לאפשר זיהוי פרטני של חריגות או חשש למצבים של זליגת מידע מאוחסן ו/או מידע המועבר בצורה אלקטרונית.

אבטחה המידע הבריאותי/הרפואי של מטופלים, יכלול בין היתר ישום מנגנוני הגנה שונים, טכניים ושאינם טכניים, על מנת לאבטח את ה- PHI האלקטרוני של חולים ומטופלים (e-PHI). במסגרת חלוקת האחריות לפי ה- HHS, המשרד לזכויות האזרח (OCR) האמריקני, הוא זה שאחראי על אכיפת כללי הפרטיות והבטיחות, זאת באמצעות פעילות יזומה והטלות סנקציות וקנסות כספים.

על מנת להבטיח עמידה של הארגונים הרלוונטיים לדרישות ה- HIPAA, ממשלת ארה"ב העבירה את חוק טכנולוגיית המידע לבריאות כלכלית וקלינית (HITECH). חוק זה מטיל עונשים כבדים על ארגוני בריאות המפרים את כללי הפרטיות ואבטחת המידע. חוק זה נכנס לתוקף בעקר לאור ההתפתחות הטכנולוגית העניפה בתחומי הבריאות, והגברת השימוש, האחסון וההעברה של מידע רפואי באמצעים אלקטרוניים.

המטרה העקרית של רגולציית ה- HIPAA הנה לאבטח ולהגן על פרטיות המידע הבריאותי של אנשים, ולספק PHI מאובטח, שלם, אמין וזמין, ובמקביל לאפשר לארגוני הבריאות השונים לאמץ טכנולוגיות חדשות לשיפור האיכות, השירות והיעילות של הטיפול בחולים תוך שליטה טובה יותר על נתונים המוגדרים כרגישים. כללי האבטחה הנדרשים במסגרת ה- HIPAA, אם ייושמו נכון ובהסתמך על תכנון מוקדם, יאפשרו גמישות מספקת לחברה/לארגון ביישם המדיניות, הנהלים והטכנולוגיות המתאימות תוך מזעור הסיכונים ל- PHI של חולים ומטופלים.

שירותי היעוץ שלנו בתחום הבריאות הדיגיטלית

הצורך בתאימות לדרישות ה- HIPAA

אנו חיים בעידן המידע. מידע בתצורה אלקטרונית ודיגיטלית, מהווה חלק משמעותי בתחום הבריאות בכלל והבריאות הדיגיטלית בפרט. נתונים רבים מצויים ברשת, ובין השאר קיימים גם נתונים על אנשים בעלי בעיות בריאות ו/או מטופלים. בנוסף, קיים מידע בריאותי רב באפליקציות סלולריות בהן נעשה שימוש יומיומי ע"י אנשים וכמו כן שימוש גליונות רפואיים אלקטרוניים וכמובן העברת מידע ברשתות החברתיות ובפורומים מקצועיים.

חשוב לזכור כי חלק ניכר מהפעולות המבוצעות ע"י ספקי בריאות פרטיים וממשלתיים, כגון הזמנת תורים, תיקים רפואיים, יעוץ רפואי מרחוק/באמצעות מכשור, מערכות לבדיקות רדיולוגיות, בתי מרקחת, מעבדות, עמדות לשירות עצמי, חשופים כולם לזליגת מידע רפואי ולכן תאימות לדרישות ה- HIPAA חשובה מאוד ליישום מיידי.

אחד הכלים הראשוניים בבואנו לטפל בנושא אבטחת חסיון המידע של מטופלים הנו סקר סיכונים ושימוש נכון בכלי זה, יאפשר לזהות, לסווג ולטפל בסיכונים הרלוונטיים.

ישום אמצעי בטיחות פיזיים וטכנולוגיים כחלק ממדיניות ה- HIPAA

ה- HHS דורש הטמעת אמצעי הגנה פיזיים וטכנולוגיים בארגונים העושים שימוש/מזינים/מאחסנים מידע רפואי ונתונים רגישים על מטופלים.

דוגמאות לאמצעי הגנה שיש ליישם בהתאם לדרישות ה- HIPAA:

  • גישה מוגבלת ומבוקרת למתקן / לאיזורים שונים במתקן הרלוונטי
  • הגדרה ויישום מדיניות בנוגע לשימוש וגישה לתחנות עבודה ומדיה אלקטרונית
  • הגבלות על העברה, הסרה, הסרה ושימוש חוזר במדיה אלקטרונית ו- ePHI
  • גישה מוגבלת ומבוקרת ל- ePHI
  • שימוש באמצעי זיהוי מתקדמים למשתמשים כולל ססמאות, חתימה אלקטרונית/דיגיטלית וכיו"ב
  • יישום אמצעי אבטחת רשתות מתקדמים לרבות העברת נתונים, דואר אלקטרוני, אינטרנט, ענן וכיו"ב.
  • הגדרה ויישום נהלי גישה במצבי חירום, כניסה אוטומטית, הצפנה ופענוח
  • הפקה ומעקב אחר דוחות ביקורת או יומנים (log) המתעדים כל סוג פעילות שבוצע בחומרה או בתוכנה
  • ניטור ובקרה על מקרים של שינוי או השמדה של ePHI
  • הגדרה ויישום מדיניות גיבוי ואחזור מידע
  • הגדרה ויישום מדיניות Disaster recovery ושחזור מידע רפואי
  • הגדרה ויישום מדיניות Data integrity

    לפרטים נוספים






    For further details






    מחקר ופיתוח

    ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

    קרא עוד

    תכנון והנדסה

    תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

    קרא עוד

    ייצור ואריזה

    מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

    קרא עוד

    GXP, איכות וולידציה

    מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

    קרא עוד

    רגולציה ורישום

    יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

    קרא עוד

    תוכנה ומערכות

    יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

    קרא עוד

    העדכונים האחרונים לדרישות ה- HIPAA

    מספר שינויים ועדכונים יתווספו לדרישות ה- HIPAA בקרוב, לדוגמא:

    • עונשים כספיים עדכניים בגין אי עמידה בדרישות ה- HIPAA אשר יאפשרו אכיפה טובה יותר תוך העברת האחריות על ההפרה לארגון
    • הגברת המשאבים המופנים לטובת אכיפה (בשנת 2018 לבדה סך הקנסות עמד על כ- 29 מיליון דולר).

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 13 שנה לחברות ביו-מד.

    לייעוץ בנושא חיסיון מידע רפואי של מטופלים, פנו אלינו.

    ליצירת קשר לחץ כאן

    072-2337710

    [email protected]

    מאמרים אחרונים

    עדכוני GMP של ארגון הבריאות העולמי

    לפני עדכוני GMP של ארגון הבריאות העולמי נסביר בקצרה את המושג: GMP – Good Manufacturing Practice  ובתרגום לעברית - תנאי יצור נאותים, מהווה חלק משמעותי מפרקטיקות העבודה היומיומית בכל [...]

    ולידציה לתוכנות אוטומציה בייצור

    מהפכת המדע בארגוני הטכנולוגיה הרפואית והביו-פארמה דיגיטליזציה, אחסון וניתוח של נתוני Big Data, למידת מכונה (ML) ובינה מלאכותית (AI) עד לפני זמן לא רב היו מונחים זרים לעולם הביו-מד [...]

    ולידציה למערכות ERP פריוריטי ו- SAP בחברות פארמה ומדיקל

    מהי ולידציה למערכות ERP פריוריטי? מערכת ERP היא מערכת ממוחשבת לתכנון משאבי הארגון והיא נמצאת בשימוש כמעט בכל העסקים והארגונים הבינוניים והגדולים בעולם, אך גם בשימוש של חברות קטנות [...]

    חשיבות ה- Data integrity בחברות תרופות

    חשיבות ה- Data integrity בחברות תרופות אמינות ושלמות הנתונים, או במונח הלועזי Data integrity מאפשרת הן לחברה והן לגופי הרגולציה אשר מבצעים ביקורות איכות ו-GMP תקופתיות, להבין שהנתונים שנוצרו [...]

    6 העקרונות החשובים ביותר בסטריליזציה באוטוקלב

    6 העקרונות החשובים ביותר בסטרליזציה באוטוקלב אמנם, מכשירי האוטוקלב התעשייתים ומערכות ה- SIP נחשבים מאוד בטוחים ומבוקרים, אך התנהלות לא נכונה או חוסר הבנה של העקרונות המרכזיים בעיקור באמצעות [...]

    השימוש במערכות רובוטיות לניתוחים

    השימוש במערכות רובוטיות לניתוחים מהו תקן ISO 27799? 27799 ISO הינו תקן לאבטחת מערכות מידע רפואי בתחום הבריאות. תקן 27799 ISO מהווה מסמך הרחבה בינלאומי, אשר בא להוסיף על [...]

    קרא עוד

    Share This Story, Choose Your Platform!

    צור קשר

      צור קשר