יישום דרישות HIPAA בתחום הבריאות הדיגיטלית

יישום דרישות HIPAA בתחום הבריאות הדיגיטלית

2020-06-28T07:28:04+00:00ינואר 15th, 2020|

HIPAA והקשר שלו לתחום המכשור הרפואי

HIPAA הנו ראשי תיבות של Health Insurance Portability and Accountability Act והוא מהווה חלק מחוק ביטוח בריאות וחבות אחריות משנת 1996 בארצות הברית. החוק מפרט את דרישות הפרטיות והאבטחה שיש לנקוט על מנת לשמור על מידע רפואי. בשנים האחרונות החוק הפך לרלוונטי עוד יותר, לאור הפרות חוזרות ונשנות של חסיון מידע רפואי שבוצעו על מאגרי מידע של ספקי שירותי בריאות אמריקניים. הפרות אלה לעיתים נגרמו בשל ליקוי אבטחה ואף כתוצאה מהתקפות סייבר. בשנת 1996 החוק נחתם ע"י הנשיא ביל קלינטון והוא כולל חמישה חלקים. חמשת החלקים עוסקים בנושאים כגון הרפורמה של כיסוי ביטוח הבריאות, תקנים ליישום גישה אלקטרונית מאובטחת לנתוני בריאות תוך שמירה על חסיון, מיסוי לטיפול רפואי, המשך כיסוי ביטוחי חיים ומס הכנסה.

התחומים הרלוונטיים ליישום דרישות ה- HIPAA בתחומי המכשור הרפואי והבריאות הדיגיטלית, בעקר עוסקים בפרטיות של מידע רפואי, הגנה ואבטחת מידע הקשור לבריאות המטופל ואכיפת כללי ה- HIPAA בקרב החברות תוך הטלת סנקציות על הפרות.

מה המטרה של HIPAA?

ל- HIPAA שתי מטרות עיקריות: מתן כיסוי ביטוח בריאות רציף לעובדים המאבדים או מחליפים עבודה, ולהפחית את הנטל ואת עלויות שירותי הבריאות הניתנים למבוטחים בתחום הבריאות על-ידי סטנדרטיזציה של השימוש באמצעים אלקטרוניים, העברת מידע רפואי ושידור של עסקאות ניהוליות ופיננסיות תוך שיפור הזמינות והנגישות של חולים לשירותי סיעוד וביטוח בריאות.

מהן הסנקציות לחברות אשר מפרות את כללי ה- HIPAA?

משרד HHS לזכויות האזרח (OCR), אשר אחראי על אכיפת ה- HIPAA, הוציא בשנת 2016 הנחיות המבהירות כי ספקי שירותי ענן וחברות הקשורות לספקים מסוג זה, אשר עובדים במישרין או בעקיפין עם ארגוני בריאות צריכים לפעול על פי כללי הפרטיות והאבטחה של HIPAA.

הכלל לגבי ההודעות על הפרת כללי ה- HIPAA במסגרת מערך התקנות הכולל מחייב חברות או ארגונים ושותפים עסקיים אחרים, אשר הפרו את כללי הפרטיות והחסיון של מטופלים, להודיע לחולים באופן מסודר על הפרת הנתונים.

בנוסף לעלויות הודעות הפרת הפרטיות של המידע לחולים, ארגוני בריאות וספקים של רשומות בריאות אלקטרוניות (EHR) ומערכות הקשורות EHR, עשויים לעמוד בפני קנסות כבדים גם בעקבות ביקורת HIPAA שנערכת לפי בהוראת חוק HITECH על ידי המשרד לזכויות האזרח. ספקים יכולים אף לעמוד בפני עונשים פליליים הנובעים מהפרה של כללי הפרטיות והאבטחה של ה- HIPAA.

במהלך שנת 2016, ה- OCR חיזק עוד יותר את כללי האבטחה של HIPAA בעקר בנוגע לאבטחת סייבר של טכנולוגיות לזיהוי פערי אבטחת סייבר ו- "יישור" דרישות הרגולציה של ה- HIPAA עם תקני אבטחת סייבר לאומיים.

איזה מידע רפואי מוגן במסגרת דרישות ה- HIPAA?

כללי הפרטיות וחסיון המידע הרפואי הכלולים ב- HIPAA, מגנים על כל מידע בריאותי המאפשר זיהוי פרטני של האדם, אשר מוחזק או מועבר. ניתן לשמור מידע בריאותי זה בכל צורה שהיא, כולל דיגיטלית, על נייר או בעל פה. מידע בריאותי זה המאפשר זיהוי נפרד ידוע גם בשם PHI במסגרת כלל הפרטיות.

שירותי היעוץ שלנו בתחום הבריאות הדיגיטלית

מה נחשב למידע בריאותי מוגן במסגרת ה- HIPAA?

PHI כולל:

  • שם המטופל
  • כתובת
  • תאריך לידה
  • מספר תעודת זהות
  • מצב בריאותי או מצב נפשי
  • כל טיפול שניתן למטופל
  • מידע הנוגע לתשלום עבור הטיפול הניתן לאדם המזהה את המטופל
  • מידע שיש בסיס סביר להניח שניתן להשתמש בו כדי לזהות את המטופל

כלל האבטחה של HIPAA

כללי האבטחה להגנה על מידע בריאותי ורפואי אלקטרוני של ה- HIPAA, קובעים תקנים לאומיים לאבטחת נתוני חולים המאוחסנים או מועברים אלקטרונית.

כללי האבטחה מחייבים הצבת אמצעי הגנה פיזיים ואלקטרוניים כאחד, במטרה להבטיח מעבר מידע בצורה מאובטחת, וכמו כן תחזוקה וקליטה של PHI. אחת הדרישות המקדמיות לחברות הכפופות לדרישות הרגולטוריות של ה- HIPAA הינה לבצע ניתוח סיכונים (Risk Assessment). כאשר מטפלים בסיכונים הקשורים ל- PHI ומידע בריאותי מוגן אלקטרוני (ePHI), על ארגוני שירותי הבריאות, לשאול את עצמם שלוש שאלות מרכזיות:

  1. האם אתה יכול לזהות את מקורות ה- ePHI וה- PHI בארגון שלך, כולל את כל ה- PHI שאתה יוצר, מקבל, מתחזק או מעביר?
  2. מהם המקורות החיצוניים של PHI?
  3. מהם האיומים האנושיים, הטבעיים והסביבתיים על מערכות מידע המכילות ePHI ו- PHI?

לפרטים נוספים






For further details






כללי אומניבוס של ה- HIPAA

כלל אומניבוס של ה- HIPAA, בהקשר של טכנולוגיית מידע רפואי, הוא כלל שנחקק על ידי OCR שמטרתו העקרית היא לשנות את כללי הפרטיות, האבטחה והאכיפה של HIPAA וליישם תיקוני חקיקה לפי חוק HITECH.

כלל אומניבוס HIPAA למעשה סימן את השינויים הנרחבים ביותר בכללי הפרטיות והבטחון של ה- HIPAA מאז שהם יושמו לראשונה. השינויים כוללים את הדברים הבאים:

  • חיזוק ההגנה על הפרטיות והאבטחה עבור PHI של אנשים.
  • שינוי כללי ההתראה על הפרות הנוגעות לטיפול פסיכולוגי לא מאובטח, והצבת סטנדרטים אובייקטיביים יותר להערכת חבותו של ספק שירותי בריאות בעקבות הפרת נתונים.
  • שינוי כלל הפרטיות של HIPAA לחיזוק ההגנה על הפרטיות של מידע גנטי
  • התווית אסטרטגיות חסיון מידע על מטופלים

אכיפת האבטחה של OCR, כפי שעודכנו בעידן ה- EHR וכפי שנדרש על ידי חוק HITECH

  • התאמת דרישות ההגנה על PHI גם לשותפים עסקיים וקבלני משנה
  • קביעת מגבלות חדשות לגבי אופן השימוש במידע וחשיפה למטרות שיווק וגיוס כספים
  • איסור מכירת מידע בריאותי של אדם ללא רשותו
  • שיפור יכולתו של אדם לאשר שימוש במידע הבריאותי שלו למטרות מחקר

הגדלת הקנסות בגין אי ציות על בסיס רשלנות, עם קנס מרבי של 1.5 מיליון דולר לכל הפרה

הגדרות ה- HIPAA לשותף עסקי

HIPAA מגדיר שותף עסקי, כארגון או אדם העובד בשיתוף עם PHI או מספק כגוף המספק שירותים ליישות המכוסה המטפלת ברשומות בריאות אישיות.

דוגמאות לשותפים עסקיים: רואי חשבון, מתכנתים, חברות לניתוח נתונים, מבקרים, רופאים, מנהלי בתי מרקחת, מפתחי אפליקציות סלולריות ויועצים שיש להם או יכולים לקבל גישה ל- PHI או PHR.

מחקר ופיתוח

ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

קרא עוד

תכנון והנדסה

תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

קרא עוד

ייצור ואריזה

מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

קרא עוד

GXP, איכות וולידציה

מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

קרא עוד

רגולציה ורישום

יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

קרא עוד

תוכנה ומערכות

יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

קרא עוד

למה מפתחי אפליקציות אמורים לעבוד לפי כללי ה- HIPAA?

ברגע שפציינט מוריד אפליקציה לסמארטפון שלו, למפתח האפליקציה ולספק אפשרות למתן שירותי ניהול חולים הכולל ייעוץ לבריאות מטופלים מרחוק, העברת הודעות לחולים, מעקב אחר מזון המטופל, אופי ותדירות פעילות ספורטיבית אותה הוא מבצע, וגישה לממשקי תוכניות האינטגרציה והיישום שלהן. יתר על כן, המידע שהמטופל מחדיר ליישום משולב אוטומטית ב- EHR.

לכן, החל משנת 2010, בהתאם לחוק HITECH, טיפול והשימוש ב- PHI חייבים לעמוד בתקנות האבטחה של HIPAA ותקנות הפרטיות של HIPAA. על פי חוק HITECH, כל גורם עסקי ב- HIPAA המשרת ספקים או מוסד רפואיים, נחשב גם הוא ככפוף לביקורות על ידי OCR במסגרת HHS, וניתן לקנוס אותו בגין אי עמידה בתנאים החוזיים, דרישה להשתמש באמצעי הגנה מתאימים בכדי להבטיח שימוש ב- PHI כמפורט בחוזה ועונש על אי-ציות לדרישות הרגולציה או עקב הפרות.

אנו בחברת Bio-Chem מייעצים כבר יותר מ- 13 שנה לחברות ביו-מד.

לייעוץ בנושא הבריאות הדיגיטלית, פנו אלינו.

ליצירת קשר לחץ כאן

072-2337710

[email protected]

מאמרים אחרונים

חוק הגנת הפרטיות ואבטחת מידע רפואי

מהי אבטחת מידע רפואי? אבטחת מידע רפואי, עוסקת בהגנה על חיסיון המידע, אמינותו ושלמותו במטרה לנקוט בפעולות המתאימות וכך לוודא כי לא תתרחש זליגה של מידע רפואי על מטופלים [...]

תכנון מעבדות גנריות בתחום התרופות

תכנון מעבדות מחקר "גנריות" התחום התרופות כאשר מתכננים מתקן מעבדות בצורה "גנרית", כל המעבדות תהיינה באותו גודל ויתאימו לאותם אספקות ומערכות הנדסיות ותשתית בסיסיות. נפנה לאופציה של תכנון מעבדות [...]

מהי ביקורת GMP וכיצד ניתן להתכונן אליה?

מה זה GMP? GMP הנו ראשי התיבות של המונח “Good Manufacturing Practice” אשר בשפה העברית קרוי "תנאי יצור נאותים". ה- GMP כולל בתוכו את כל האספקים התיאורטיים של תחום [...]

מאמר בדיקות QA והבטחת איכות לתוכנה

הבטחת איכות (QA) לתוכנה רפואית בשנים האחרונות אנו נתקלים ביותר ויותר תוכנות רפואיות ואפליקציות מתחומי ה E-health והבריאות הדיגיטלית אשר חלקן פשוטות ומיועדות יותר לצרכי Well being  כגון אפליקציות [...]

בריאות דיגיטלית בבתי חולים

מהי אינפורמטיקה רפואית? אינפורמטיקה רפואית הנה תחום אינטר-דיציפלינרי החוקר שימוש במידע וידע ביו-רפואי באופן אפקטיבי בכדי לבצע בירור מדעי ורפואי ולאפשר פתרון בעיות וקבלת החלטות, במטרה לשפר את בריאותו [...]

קרא עוד

צור קשר

צור קשר





WhatsApp chat