יישום דרישות HIPAA בתחום הבריאות הדיגיטלית

2020-06-28T07:28:04+00:00ינואר 15, 2020|Articles, Digital Health, Medical Device|

HIPAA והקשר שלו לתחום המכשור הרפואי

HIPAA הנו ראשי תיבות של Health Insurance Portability and Accountability Act והוא מהווה חלק מחוק ביטוח בריאות וחבות אחריות משנת 1996 בארצות הברית. החוק מפרט את דרישות הפרטיות והאבטחה שיש לנקוט על מנת לשמור על מידע רפואי. בשנים האחרונות החוק הפך לרלוונטי עוד יותר, לאור הפרות חוזרות ונשנות של חסיון מידע רפואי שבוצעו על מאגרי מידע של ספקי שירותי בריאות אמריקניים. הפרות אלה לעיתים נגרמו בשל ליקוי אבטחה ואף כתוצאה מהתקפות סייבר. בשנת 1996 החוק נחתם ע"י הנשיא ביל קלינטון והוא כולל חמישה חלקים. חמשת החלקים עוסקים בנושאים כגון הרפורמה של כיסוי ביטוח הבריאות, תקנים ליישום גישה אלקטרונית מאובטחת לנתוני בריאות תוך שמירה על חסיון, מיסוי לטיפול רפואי, המשך כיסוי ביטוחי חיים ומס הכנסה.

התחומים הרלוונטיים ליישום דרישות ה- HIPAA בתחומי המכשור הרפואי והבריאות הדיגיטלית, בעקר עוסקים בפרטיות של מידע רפואי, הגנה ואבטחת מידע הקשור לבריאות המטופל ואכיפת כללי ה- HIPAA בקרב החברות תוך הטלת סנקציות על הפרות.

מה המטרה של HIPAA?

ל- HIPAA שתי מטרות עיקריות: מתן כיסוי ביטוח בריאות רציף לעובדים המאבדים או מחליפים עבודה, ולהפחית את הנטל ואת עלויות שירותי הבריאות הניתנים למבוטחים בתחום הבריאות על-ידי סטנדרטיזציה של השימוש באמצעים אלקטרוניים, העברת מידע רפואי ושידור של עסקאות ניהוליות ופיננסיות תוך שיפור הזמינות והנגישות של חולים לשירותי סיעוד וביטוח בריאות.

מהן הסנקציות לחברות אשר מפרות את כללי ה- HIPAA?

משרד HHS לזכויות האזרח (OCR), אשר אחראי על אכיפת ה- HIPAA, הוציא בשנת 2016 הנחיות המבהירות כי ספקי שירותי ענן וחברות הקשורות לספקים מסוג זה, אשר עובדים במישרין או בעקיפין עם ארגוני בריאות צריכים לפעול על פי כללי הפרטיות והאבטחה של HIPAA.

הכלל לגבי ההודעות על הפרת כללי ה- HIPAA במסגרת מערך התקנות הכולל מחייב חברות או ארגונים ושותפים עסקיים אחרים, אשר הפרו את כללי הפרטיות והחסיון של מטופלים, להודיע לחולים באופן מסודר על הפרת הנתונים.

בנוסף לעלויות הודעות הפרת הפרטיות של המידע לחולים, ארגוני בריאות וספקים של רשומות בריאות אלקטרוניות (EHR) ומערכות הקשורות EHR, עשויים לעמוד בפני קנסות כבדים גם בעקבות ביקורת HIPAA שנערכת לפי בהוראת חוק HITECH על ידי המשרד לזכויות האזרח. ספקים יכולים אף לעמוד בפני עונשים פליליים הנובעים מהפרה של כללי הפרטיות והאבטחה של ה- HIPAA.

במהלך שנת 2016, ה- OCR חיזק עוד יותר את כללי האבטחה של HIPAA בעקר בנוגע לאבטחת סייבר של טכנולוגיות לזיהוי פערי אבטחת סייבר ו- "יישור" דרישות הרגולציה של ה- HIPAA עם תקני אבטחת סייבר לאומיים.

איזה מידע רפואי מוגן במסגרת דרישות ה- HIPAA?

כללי הפרטיות וחסיון המידע הרפואי הכלולים ב- HIPAA, מגנים על כל מידע בריאותי המאפשר זיהוי פרטני של האדם, אשר מוחזק או מועבר. ניתן לשמור מידע בריאותי זה בכל צורה שהיא, כולל דיגיטלית, על נייר או בעל פה. מידע בריאותי זה המאפשר זיהוי נפרד ידוע גם בשם PHI במסגרת כלל הפרטיות.

שירותי היעוץ שלנו בתחום הבריאות הדיגיטלית

מה נחשב למידע בריאותי מוגן במסגרת ה- HIPAA?

PHI כולל:

  • שם המטופל
  • כתובת
  • תאריך לידה
  • מספר תעודת זהות
  • מצב בריאותי או מצב נפשי
  • כל טיפול שניתן למטופל
  • מידע הנוגע לתשלום עבור הטיפול הניתן לאדם המזהה את המטופל
  • מידע שיש בסיס סביר להניח שניתן להשתמש בו כדי לזהות את המטופל

כלל האבטחה של HIPAA

כללי האבטחה להגנה על מידע בריאותי ורפואי אלקטרוני של ה- HIPAA, קובעים תקנים לאומיים לאבטחת נתוני חולים המאוחסנים או מועברים אלקטרונית.

כללי האבטחה מחייבים הצבת אמצעי הגנה פיזיים ואלקטרוניים כאחד, במטרה להבטיח מעבר מידע בצורה מאובטחת, וכמו כן תחזוקה וקליטה של PHI. אחת הדרישות המקדמיות לחברות הכפופות לדרישות הרגולטוריות של ה- HIPAA הינה לבצע ניתוח סיכונים (Risk Assessment). כאשר מטפלים בסיכונים הקשורים ל- PHI ומידע בריאותי מוגן אלקטרוני (ePHI), על ארגוני שירותי הבריאות, לשאול את עצמם שלוש שאלות מרכזיות:

  1. האם אתה יכול לזהות את מקורות ה- ePHI וה- PHI בארגון שלך, כולל את כל ה- PHI שאתה יוצר, מקבל, מתחזק או מעביר?
  2. מהם המקורות החיצוניים של PHI?
  3. מהם האיומים האנושיים, הטבעיים והסביבתיים על מערכות מידע המכילות ePHI ו- PHI?

    לפרטים נוספים






    For further details






    כללי אומניבוס של ה- HIPAA

    כלל אומניבוס של ה- HIPAA, בהקשר של טכנולוגיית מידע רפואי, הוא כלל שנחקק על ידי OCR שמטרתו העקרית היא לשנות את כללי הפרטיות, האבטחה והאכיפה של HIPAA וליישם תיקוני חקיקה לפי חוק HITECH.

    כלל אומניבוס HIPAA למעשה סימן את השינויים הנרחבים ביותר בכללי הפרטיות והבטחון של ה- HIPAA מאז שהם יושמו לראשונה. השינויים כוללים את הדברים הבאים:

    • חיזוק ההגנה על הפרטיות והאבטחה עבור PHI של אנשים.
    • שינוי כללי ההתראה על הפרות הנוגעות לטיפול פסיכולוגי לא מאובטח, והצבת סטנדרטים אובייקטיביים יותר להערכת חבותו של ספק שירותי בריאות בעקבות הפרת נתונים.
    • שינוי כלל הפרטיות של HIPAA לחיזוק ההגנה על הפרטיות של מידע גנטי
    • התווית אסטרטגיות חסיון מידע על מטופלים

    אכיפת האבטחה של OCR, כפי שעודכנו בעידן ה- EHR וכפי שנדרש על ידי חוק HITECH

    • התאמת דרישות ההגנה על PHI גם לשותפים עסקיים וקבלני משנה
    • קביעת מגבלות חדשות לגבי אופן השימוש במידע וחשיפה למטרות שיווק וגיוס כספים
    • איסור מכירת מידע בריאותי של אדם ללא רשותו
    • שיפור יכולתו של אדם לאשר שימוש במידע הבריאותי שלו למטרות מחקר

    הגדלת הקנסות בגין אי ציות על בסיס רשלנות, עם קנס מרבי של 1.5 מיליון דולר לכל הפרה

    הגדרות ה- HIPAA לשותף עסקי

    HIPAA מגדיר שותף עסקי, כארגון או אדם העובד בשיתוף עם PHI או מספק כגוף המספק שירותים ליישות המכוסה המטפלת ברשומות בריאות אישיות.

    דוגמאות לשותפים עסקיים: רואי חשבון, מתכנתים, חברות לניתוח נתונים, מבקרים, רופאים, מנהלי בתי מרקחת, מפתחי אפליקציות סלולריות ויועצים שיש להם או יכולים לקבל גישה ל- PHI או PHR.

    מחקר ופיתוח

    ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

    קרא עוד

    תכנון והנדסה

    תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

    קרא עוד

    ייצור ואריזה

    מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

    קרא עוד

    GXP, איכות וולידציה

    מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

    קרא עוד

    רגולציה ורישום

    יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

    קרא עוד

    תוכנה ומערכות

    יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

    קרא עוד

    למה מפתחי אפליקציות אמורים לעבוד לפי כללי ה- HIPAA?

    ברגע שפציינט מוריד אפליקציה לסמארטפון שלו, למפתח האפליקציה ולספק אפשרות למתן שירותי ניהול חולים הכולל ייעוץ לבריאות מטופלים מרחוק, העברת הודעות לחולים, מעקב אחר מזון המטופל, אופי ותדירות פעילות ספורטיבית אותה הוא מבצע, וגישה לממשקי תוכניות האינטגרציה והיישום שלהן. יתר על כן, המידע שהמטופל מחדיר ליישום משולב אוטומטית ב- EHR.

    לכן, החל משנת 2010, בהתאם לחוק HITECH, טיפול והשימוש ב- PHI חייבים לעמוד בתקנות האבטחה של HIPAA ותקנות הפרטיות של HIPAA. על פי חוק HITECH, כל גורם עסקי ב- HIPAA המשרת ספקים או מוסד רפואיים, נחשב גם הוא ככפוף לביקורות על ידי OCR במסגרת HHS, וניתן לקנוס אותו בגין אי עמידה בתנאים החוזיים, דרישה להשתמש באמצעי הגנה מתאימים בכדי להבטיח שימוש ב- PHI כמפורט בחוזה ועונש על אי-ציות לדרישות הרגולציה או עקב הפרות.

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 13 שנה לחברות ביו-מד.

    לייעוץ בנושא הבריאות הדיגיטלית, פנו אלינו.

    ליצירת קשר לחץ כאן

    072-2337710

    [email protected]

    מאמרים אחרונים

    עדכוני GMP של ארגון הבריאות העולמי

    לפני עדכוני GMP של ארגון הבריאות העולמי נסביר בקצרה את המושג: GMP – Good Manufacturing Practice  ובתרגום לעברית - תנאי יצור נאותים, מהווה חלק משמעותי מפרקטיקות העבודה היומיומית בכל [...]

    ולידציה לתוכנות אוטומציה בייצור

    מהפכת המדע בארגוני הטכנולוגיה הרפואית והביו-פארמה דיגיטליזציה, אחסון וניתוח של נתוני Big Data, למידת מכונה (ML) ובינה מלאכותית (AI) עד לפני זמן לא רב היו מונחים זרים לעולם הביו-מד [...]

    ולידציה למערכות ERP פריוריטי ו- SAP בחברות פארמה ומדיקל

    מהי ולידציה למערכות ERP פריוריטי? מערכת ERP היא מערכת ממוחשבת לתכנון משאבי הארגון והיא נמצאת בשימוש כמעט בכל העסקים והארגונים הבינוניים והגדולים בעולם, אך גם בשימוש של חברות קטנות [...]

    חשיבות ה- Data integrity בחברות תרופות

    חשיבות ה- Data integrity בחברות תרופות אמינות ושלמות הנתונים, או במונח הלועזי Data integrity מאפשרת הן לחברה והן לגופי הרגולציה אשר מבצעים ביקורות איכות ו-GMP תקופתיות, להבין שהנתונים שנוצרו [...]

    6 העקרונות החשובים ביותר בסטריליזציה באוטוקלב

    6 העקרונות החשובים ביותר בסטרליזציה באוטוקלב אמנם, מכשירי האוטוקלב התעשייתים ומערכות ה- SIP נחשבים מאוד בטוחים ומבוקרים, אך התנהלות לא נכונה או חוסר הבנה של העקרונות המרכזיים בעיקור באמצעות [...]

    השימוש במערכות רובוטיות לניתוחים

    השימוש במערכות רובוטיות לניתוחים מהו תקן ISO 27799? 27799 ISO הינו תקן לאבטחת מערכות מידע רפואי בתחום הבריאות. תקן 27799 ISO מהווה מסמך הרחבה בינלאומי, אשר בא להוסיף על [...]

    קרא עוד

    Share This Story, Choose Your Platform!

    צור קשר

      צור קשר