טעויות נפוצות הגורמות להפרות HIPAA

כחברה המספקת שירותי ייעוץ ורגולציה בחברות ביו-מד, פארמה, מדיקל, בריאות דיגיטלית וארגוני בריאות, אנו נתקלים מדי יום בטעויות נפוצות, בעיקר מצד עובדי החברה, אשר גורמות להפרות HIPAA ועשויות לסכן את הארגון ואת רמת חיסיון המידע הרפואי האישי.

במאמר זה נסקור, ראשית, את הצורך בהתאמה לרגולציית HIPAA האמריקאית, עבור תוכנה/אפליקציה רפואית ומוצרי בריאות דיגיטלית, נזכיר מספר טעויות נפוצות הגורמות להפרות HIPAA ונעניק טיפים מועילים כיצד להימנע מטעויות אלו ומהקנסות הכבדים אשר מוטלים בגינן. ( לקריאה נוספת על HIPAA)

הצורך בהתאמה לרגולציית HIPAA

מידע רפואי הקשור לשירותי בריאות אישיים או רשומות רפואיות הינו מידע רגיש ביותר, וככזה מחייב את תעשיות הפארמה, המדיקל והבריאות הדיגיטלית, להקים ולנהל מאגרי מידע ממוחשבים באופן מוסדר ובטוח. לצד היתרונות העצומים, קיימים גם סיכונים גדולים, בעיקר בתחום אבטחת המידע וחסיון מידע רפואי ואישי על מטופלים.

דליפת מידע רגיש מסוג זה אל מחוץ לארגון מהווה סיכון עצום, בין אם המידע הגיע לידי גורמים זדוניים ובין אם לאו. הסיכון באבטחת המידע הרפואי האישי הוביל לחקיקת רגולציית HIPAA בארה”ב ולהחלת קנסות כבדים של אלפי ומיליוני דולרים על הארגונים שמבצעים הפרות HIPAA.

רגולציית HIPAA מתווה קווים מנחים שיאפשרו לאבטח ולהגן על פרטיות המידע הבריאותי והאישי, תוך שמירה על מידע שלם, אמין וזמין, ובמקביל לאפשר לארגוני הבריאות השונים לאמץ טכנולוגיות חדשות לשיפור האיכות, השירות והיעילות של הטיפול הרפואי. השאלה שמטרידה חברות המפתחות תוכנה או אפליקציה רפואית וספקי שירותי בריאות בכל הגדלים והסוגים נשארת זהה:

כיצד אדע אם הארגון שלי מתאים לדרישות HIPAA?

הצעד הראשון הוא הכרה ומודעות לסיבות הנפוצות ביותר, אשר גורמות להפרות רגולציית HIPAA והן: טעויות אנוש. הרבה מהטעויות הנפוצות אשר גורמות להפרות רגולציית HIPAA הינן תוצאה של התנהלות אנושית, בעיקר מצד העובדים בחברה. הבשורה הטובה היא, כי ברוב המקרים, טעויות אלו יכולות להיות מבוקרות ונשלטות על ידי הדרכה והטמעה ברורה של הנהלים המותאמים לרגולציית HIPPA.

הטעויות הנפוצות ביותר הגורמות להפרת רגולציית HIPAA

להלן הטעויות הנפוצות ביותר שחברות תוכנה רפואית, אפליקציה רפואית, בריאות דיגיטלית וארגוני בריאות עושים, והטיפים למניעתן:

השארת מידע גלוי

אחת הטעויות האנושיות הנפוצות ביותר שנעשתה באקראי ובחוסר תשומת לב היא חשיפה של רשומות טיפול או מידע רפואי או אישי אחר על ידי הצוות המטפל ל”עיניים לא נכונות”.

כך, השארת קובץ נגיש בעל מידע רפואי על גבי מסך מחשב פתוח באזור ההמתנה של המטופלים, או בחשיפה לעיני עובדים אחרים, הינה הפרה של רגולציית HIPAA ועלולה להוביל לתשלום קנסות כבדים עד מאוד.

טיפ ליישום: השתמשו בפרגודים ליד עמדות העבודה ונעילה אוטומטית של המערכות הממוחשבות והמסכים. כמו כן, יש לכתוב ולאשר נהלים מבוקרים וברורים ולערוך הדרכות לחשיבות מניעת הגישה למידע והעלאת המודעות לכך, על מנת להימנע מלבצע הפרת HIPAA.

אי הקפדה על סוג משתמש נכון

ישנם שני סוגים של חשבונות משתמשים אפשריים בשימוש במהלך העבודה היומיומית. האחד הוא חשבון משתמש רגיל אשר יכול לבצע את רוב הפעולות הנדרשות לביצוע העבודה, אך אינו מורשה לבצע פעולות “מתקדמות”. השני הוא חשבון מנהל מערכת (“Administrator”). כשמו כן הוא, והוא יכול לעשות כמעט כל פעולה במערכת.

אם וירוס או האקר חודר למחשב בזמן שימוש בחשבון מנהל מערכת, הוא יוכל למעשה לפעול כמנהל מערכת ולעשות “ככל העולה על רוחו” במידע. לעומת זאת, בעת שימוש כחשבון רגיל, ישנן הגבלות על הפעולות שיוכל לבצע אם הצליח לחדור.

למרבה הצער, יש מקרים רבים בהם אין הקפדה על כניסה של משתמש חלפי רמת הרשאה הנדרשת, דבר המהווה הפרת HIPAA.

טיפ ליישום: יש להקפיד על כניסת משתמש רגיל באופן סטנדרטי וכברירת מחדל, כמו גם ליצור נהלים ברורים בנוגע למי בארגון יש הרשאות ומאיזה סוג ולערוך הדרכה ברורה ויסודית לאופן הטיפול ברשומות מידע, על מנת שלא לבצע הפרת HIPAA.

אי הקפדה על כניסה ויציאה נכונה של משתמשים

הפרות נוספות מתרחשות כאשר אין הקפדה על יציאה מוסדרת בעת חילופי משתמשים בחשבונות רגילים וכך שוב ישנה אפשרות לחשיפת מידע מוגן ולהפרת רגולציית HIPAA, בפני עובדים לא מורשים.

טיפ ליישום: על העובד להבין כי שימוש בלתי מורשה אשר נעשה תחת שם משתמש שלו, בתוצאה מכך ששכח להתנתק מהמערכת או שהעביר/חשף את פרטי הגישה שלו, עלול לגרום לאובדן משרתו. לפיכך, יש להקפיד על יציאה מסודרת מהמחשב בכל עזיבת עמדת העבודה, ניתוק אוטומטי לאחר חוסר פעילות, וכמובן, ליצור נהלים מתאימים, להטמיע, להדריך ולהעלות את מודעות העובדים.

היעדר נוהל לתלונות

יש להתכונן לעובדה המצערת אך הבלתי נמנעת עבור חברות בתחומי הבריאות הדיגיטלית, התוכנה הרפואית, האפליקציה הרפואית, ארגוני וספקי שירותי בריאות, והיא כי בשלב מסוים נשואי המידע יתלוננו על כך שהמידע הרפואי האישי שלהם אינו מוגן כראוי. כמובן שלא כל תלונה מחייבת כי התרחשה הפרת HIPAA, אך די בהיעדר נוהל כתוב המתייחס לפיקוח ובקרה על תלונות אלה על מנת להוות הפרת HIPAA.

תלונות יכולות להגיע במגוון אופנים. בין אם מדובר בתלונה רשמית להנהלת הארגון, פניה ישירה לצוות המטפל או הערה מצוות העובדים, יש לפתוח בחקירת האירוע באופן רשמי. לפי נהלי ה- HIPAA, על הארגון לחקור כל תלונה כאשר יש סיבה להאמין כי הופר חוק HIPAA, ולתעד את כל הצעדים שננקטו בתהליך.

היעדר הצפנה- כונן קשיח

שימוש בהצפנה הוא אחת השיטות השכיחות והיעילות ביותר כדי למנוע הפרות HIPAA, כמו גישה בלתי מורשית למידע. הצפנה הופכת את המידע לבלתי קריא, אלא אם גם מפתח ההצפנה נמצא בידיי הגורם אשר פרץ למערכת.

למה זה חשוב? קל מאוד לגנוב מחשבים, בעיקר מחשבים ניידים אותם עלולים עובדי הארגון לשכוח בשדה התעופה, ברכב, או בבית קפה, כמו גם פרטי גישה לאחסון מידע בענן. אם יש על המחשב מידע רפואי אישי לא מוצפן, אתה עלול למצוא את עצמך במשבר עקב הפרת HIPAA.

הצפנה היא אמצעי אבטחה כל כך חזק עד כדי כך שאין צורך בדיווח על אירוע אבטחתי, אלא אם גם מפתח ההצפנה נגנב.

טיפ ליישום: הצפנה אינה אמצעי מנדטורי בהתאמה לרגולציית HIPAA, אולם אם הארגון אינו משתמש בשיטה זו, עליו להשתמש ולהטמיע שיטה אחרת מתאימה, למשל “פסאודונימיזציה” או “אנונימיזציה” של הנתונים.

גיבוי המידע

הרבה חברות גאות בכך שהן מגבות את המידע הממוחשב, על בסיס קבוע ואפילו יומי. גיבוי עדכני של המידע הוא הגנה טובה מפני דרישות כופר. אולם, עסקים קטנים משתמשים בכוננים חיצונים לשמירת הגיבוי, כמו התקן USB נייד. התקן כזה עלול גם הוא להיגנב בקלות רבה. לפיכך, יש להשתמש בהצפנת המידע גם בתהליך הגיבוי.

טיפ מעשי: ערכו צילום מסך על מנת להוכיח שהגיבוי נעשה תחת הצפנת הנתונים. צרו נהלים מתאימים, הטמיעו וערכו הדרכות מתאימות לעובדים הרלוונטיים.

לסיכום, העיצומים הכספיים בגין הפרות HIPAA רק הולכים ועולים, והסיכון לפריצת המידע הרגיש גובר, בכל יום שעובר, בין אם זה חדירה של וירוס או תוכנה זדונית, פתיחה שגויה של דואר אלקטרוני מזיק, או פריצת האקר למערכת. על מנת למכור את השירותים ו/או את התוכנה הרפואית, האפליקציה הרפואית או את מוצר הבריאות הדיגיטלי שלכם בארה”ב, יש להקפיד על עמידה ברגולציית ה- HIPAA.

על מנת לוודא כי העסק שלכם אכן מציית לדרישות רגולציית HIPAA, פנו אלינו.

ערן יונה

מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל ערן וצוות חברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד, פארמה, מיכשור רפואי, תעשיות המזון ותוספי תזונה. לתיאום שיחת ייעוץ, פנו אלינו ונשמח לסייע. המייל שלנו: [email protected]

שתפו את המאמר