יישום דרישות HIPAA בתחום הבריאות הדיגיטלית

HIPAA והקשר שלו לתחום המכשור הרפואי

HIPAA הנו ראשי תיבות של Health Insurance Portability and Accountability Act והוא מהווה חלק מחוק ביטוח בריאות וחבות אחריות משנת 1996 בארצות הברית. החוק מפרט את דרישות הפרטיות והאבטחה שיש לנקוט על מנת לשמור על מידע רפואי.

בשנים האחרונות החוק הפך לרלוונטי עוד יותר, לאור הפרות חוזרות ונשנות של חסיון מידע רפואי שבוצעו על מאגרי מידע של ספקי שירותי בריאות אמריקניים. הפרות אלה לעיתים נגרמו בשל ליקוי אבטחה ואף כתוצאה מהתקפות סייבר. בשנת 1996 החוק נחתם ע”י הנשיא ביל קלינטון והוא כולל חמישה חלקים.

חמשת החלקים עוסקים בנושאים כגון הרפורמה של כיסוי ביטוח הבריאות, תקנים ליישום גישה אלקטרונית מאובטחת לנתוני בריאות תוך שמירה על חסיון, מיסוי לטיפול רפואי, המשך כיסוי ביטוחי חיים ומס הכנסה.

התחומים הרלוונטיים ליישום דרישות ה- HIPAA בתחומי המכשור הרפואי והבריאות הדיגיטלית, בעקר עוסקים בפרטיות של מידע רפואי, הגנה ואבטחת מידע הקשור לבריאות המטופל ואכיפת כללי ה- HIPAA בקרב החברות תוך הטלת סנקציות על הפרות.

מה המטרה של HIPAA?

ל- HIPAA שתי מטרות עיקריות: מתן כיסוי ביטוח בריאות רציף לעובדים המאבדים או מחליפים עבודה, ולהפחית את הנטל ואת עלויות שירותי הבריאות הניתנים למבוטחים בתחום הבריאות על-ידי סטנדרטיזציה של השימוש באמצעים אלקטרוניים, העברת מידע רפואי ושידור של עסקאות ניהוליות ופיננסיות תוך שיפור הזמינות והנגישות של חולים לשירותי סיעוד וביטוח בריאות.

מהן הסנקציות לחברות אשר מפרות את כללי ה- HIPAA?

משרד HHS לזכויות האזרח (OCR), אשר אחראי על אכיפת ה- HIPAA, הוציא בשנת 2016 הנחיות המבהירות כי ספקי שירותי ענן וחברות הקשורות לספקים מסוג זה, אשר עובדים במישרין או בעקיפין עם ארגוני בריאות צריכים לפעול על פי כללי הפרטיות והאבטחה של HIPAA.

הכלל לגבי ההודעות על הפרת כללי ה- HIPAA במסגרת מערך התקנות הכולל מחייב חברות או ארגונים ושותפים עסקיים אחרים, אשר הפרו את כללי הפרטיות והחסיון של מטופלים, להודיע לחולים באופן מסודר על הפרת הנתונים.

בנוסף לעלויות הודעות הפרת הפרטיות של המידע לחולים, ארגוני בריאות וספקים של רשומות בריאות אלקטרוניות (EHR) ומערכות הקשורות EHR, עשויים לעמוד בפני קנסות כבדים גם בעקבות ביקורת HIPAA שנערכת לפי בהוראת חוק HITECH על ידי המשרד לזכויות האזרח. ספקים יכולים אף לעמוד בפני עונשים פליליים הנובעים מהפרה של כללי הפרטיות והאבטחה של ה- HIPAA.

במהלך שנת 2016, ה- OCR חיזק עוד יותר את כללי האבטחה של HIPAA בעקר בנוגע לאבטחת סייבר של טכנולוגיות לזיהוי פערי אבטחת סייבר ו- “יישור” דרישות הרגולציה של ה- HIPAA עם תקני אבטחת סייבר לאומיים.

איזה מידע רפואי מוגן במסגרת דרישות ה- HIPAA?

כללי הפרטיות וחסיון המידע הרפואי הכלולים ב- HIPAA, מגנים על כל מידע בריאותי המאפשר זיהוי פרטני של האדם, אשר מוחזק או מועבר. ניתן לשמור מידע בריאותי זה בכל צורה שהיא, כולל דיגיטלית, על נייר או בעל פה. מידע בריאותי זה המאפשר זיהוי נפרד ידוע גם בשם PHI במסגרת כלל הפרטיות.

מה נחשב למידע בריאותי מוגן במסגרת ה- HIPAA?

PHI כולל:

• שם המטופל
• כתובת
• תאריך לידה
• מספר תעודת זהות
• מצב בריאותי או מצב נפשי
• כל טיפול שניתן למטופל
• מידע הנוגע לתשלום עבור הטיפול הניתן לאדם המזהה את המטופל
• מידע שיש בסיס סביר להניח שניתן להשתמש בו כדי לזהות את המטופל

כלל האבטחה של HIPAA

כללי האבטחה להגנה על מידע בריאותי ורפואי אלקטרוני של ה- HIPAA, קובעים תקנים לאומיים לאבטחת נתוני חולים המאוחסנים או מועברים אלקטרונית. כללי האבטחה מחייבים הצבת אמצעי הגנה פיזיים ואלקטרוניים כאחד, במטרה להבטיח מעבר מידע בצורה מאובטחת, וכמו כן תחזוקה וקליטה של PHI.

אחת הדרישות המקדמיות לחברות הכפופות לדרישות הרגולטוריות של ה- HIPAA הינה לבצע ניתוח סיכונים (Risk Assessment). כאשר מטפלים בסיכונים הקשורים ל- PHI ומידע בריאותי מוגן אלקטרוני (ePHI), על ארגוני שירותי הבריאות, לשאול את עצמם שלוש שאלות מרכזיות:

1. האם אתה יכול לזהות את מקורות ה- ePHI וה- PHI בארגון שלך, כולל את כל ה- PHI שאתה יוצר, מקבל, מתחזק או מעביר?
2. מהם המקורות החיצוניים של PHI?
3. מהם האיומים האנושיים, הטבעיים והסביבתיים על מערכות מידע המכילות ePHI ו- PHI?

כללי אומניבוס של ה- HIPAA

כלל אומניבוס של ה- HIPAA, בהקשר של טכנולוגיית מידע רפואי, הוא כלל שנחקק על ידי OCR שמטרתו העקרית היא לשנות את כללי הפרטיות, האבטחה והאכיפה של HIPAA וליישם תיקוני חקיקה לפי חוק HITECH. כלל אומניבוס HIPAA למעשה סימן את השינויים הנרחבים ביותר בכללי הפרטיות והבטחון של ה- HIPAA מאז שהם יושמו לראשונה. השינויים כוללים את הדברים הבאים:

• חיזוק ההגנה על הפרטיות והאבטחה עבור PHI של אנשים
• שינוי כללי ההתראה על הפרות הנוגעות לטיפול פסיכולוגי לא מאובטח, והצבת סטנדרטים אובייקטיביים יותר להערכת חבותו של ספק שירותי בריאות בעקבות הפרת נתונים
• שינוי כלל הפרטיות של HIPAA לחיזוק ההגנה על הפרטיות של מידע גנטי
• התווית אסטרטגיות חסיון מידע על מטופלים

אכיפת האבטחה של OCR, כפי שעודכנו בעידן ה- EHR וכפי שנדרש על ידי חוק HITECH

• התאמת דרישות ההגנה על PHI גם לשותפים עסקיים וקבלני משנה
• קביעת מגבלות חדשות לגבי אופן השימוש במידע וחשיפה למטרות שיווק וגיוס כספים
• איסור מכירת מידע בריאותי של אדם ללא רשותו
• שיפור יכולתו של אדם לאשר שימוש במידע הבריאותי שלו למטרות מחקר

הגדלת הקנסות בגין אי ציות על בסיס רשלנות, עם קנס מרבי של 1.5 מיליון דולר לכל הפרה

הגדרות ה- HIPAA לשותף עסקי

HIPAA מגדיר שותף עסקי, כארגון או אדם העובד בשיתוף עם PHI או מספק כגוף המספק שירותים ליישות המכוסה המטפלת ברשומות בריאות אישיות. דוגמאות לשותפים עסקיים: רואי חשבון, מתכנתים, חברות לניתוח נתונים, מבקרים, רופאים, מנהלי בתי מרקחת, מפתחי אפליקציות סלולריות ויועצים שיש להם או יכולים לקבל גישה ל- PHI או PHR.

למה מפתחי אפליקציות אמורים לעבוד לפי כללי ה- HIPAA?

ברגע שפציינט מוריד אפליקציה לסמארטפון שלו, למפתח האפליקציה ולספק אפשרות למתן שירותי ניהול חולים הכולל ייעוץ לבריאות מטופלים מרחוק, העברת הודעות לחולים, מעקב אחר מזון המטופל, אופי ותדירות פעילות ספורטיבית אותה הוא מבצע, וגישה לממשקי תוכניות האינטגרציה והיישום שלהן.

יתר על כן, המידע שהמטופל מחדיר ליישום משולב אוטומטית ב- EHR. לכן, החל משנת 2010, בהתאם לחוק HITECH, טיפול והשימוש ב- PHI חייבים לעמוד בתקנות האבטחה של HIPAA ותקנות הפרטיות של HIPAA.

על פי חוק HITECH, כל גורם עסקי ב- HIPAA המשרת ספקים או מוסד רפואיים, נחשב גם הוא ככפוף לביקורות על ידי OCR במסגרת HHS, וניתן לקנוס אותו בגין אי עמידה בתנאים החוזיים, דרישה להשתמש באמצעי הגנה מתאימים בכדי להבטיח שימוש ב- PHI כמפורט בחוזה ועונש על אי-ציות לדרישות הרגולציה או עקב הפרות.