HIPAA והדרישות לחסיון מידע רפואי של מטופלים

HIPAA והדרישות לחסיון מידע רפואי של מטופלים

ה- HIPAA מגדיר למעשה את דרישות התקן בכל הקשור להגנה על נתונים רגישים של מטופלים אמריקניים. דרישות ה- HIPAA נגזרות מתחום ביטוח הבריאות וחוק האחריות והן למעשה תקנות. תקנות ה- HIPAA פורסמו בשנת 1996 והן מחייבות חברות מתחומי הפארמה, המדיקל והבריאות הדיגיטלית העוסקות במידע רפואי ו/או בריאותי של מטופלים. 

במסגרת ה- HIPAA, על חברות מסוג זה מוטלת החובה להגן על מידע רפואי/בריאותי אותו הן מחזיקות או שאליו יש להן גישה, ואף לנקוט אמצעי אבטחה פיזיים, טכנולוגיים ורשתיים. בנוסף על חברות שכפופות לתקנות ה- HIPAA לנטר ולעקוב אחר הנתונים, על מנת להבטיח שמידע מסוג זה לא יזלוג מחד וישמר ברמת השלמות והאמינות הנדרשות, תוך תאימות לדרישות.

 

מה זה HIPAA?

ראשי התיבות של HIPAA הן:

Health Insurance Portability and Accountability Act. כל גוף, חברה או גורם אחר, אשר מספק טיפול, מידע, נתונים, פרטים אישיים, בין אם במישרין ובין אם כחלק מעבודה עם גוף שכזה, כגון קבלן משנה או שותף עסקי, מחויב גם הוא לעמוד בתאימות לדרישות ה- HIPAA.

 

תקנות הפרטיות והאבטחה של ה- HIPAA

כאמור, ה- HIPAA הוא אוסף של תקנות שיש לעמוד בהן.

על פי ה- HHS האמריקני, עמידה בתקן HIPAA מחייב בין היתר הקפדה על סטנדרט גבוה של פרטיות וחסיון של מידע בריאותי, אישי ורפואי של מטופלים. התייחסות הרגולטור בכל הנוגע לתקנות ה- HIPAA היא ברמה הלאומית וככזה אמור לאפשר זיהוי פרטני של חריגות או חשש למצבים של זליגת מידע מאוחסן ו/או מידע המועבר בצורה אלקטרונית וכמובן ישום אמצעי אבטחה על מידע מסוג זה.

אבטחת המידע הבריאותי/הרפואי של מטופלים במסגרת תקנות ה- HIPAA, יכלול בין היתר מנגנוני הגנה שונים, טכנולוגים ולא טכנולוגים, על מנת לאבטח את הרשומות הרפואיות האלקטרוניות והמידע של חולים ומטופלים (e-PHI).

 

מה קורה אם לא עובדים לפי דרישות ה- HIPAA?

במסגרת חלוקת האחריות לפי ה- HHS, המשרד לזכויות האזרח (OCR) האמריקני, הוא זה שאחראי על אכיפת כללי הפרטיות והבטיחות של ה- HIPAA, והוא מבצע זאת באמצעות פעילות יזומה והטלות סנקציות וקנסות כספים כבדים. על מנת להבטיח עמידה של הארגונים הרלוונטיים בדרישות ה- HIPAA, ממשלת ארה”ב העבירה את חוק טכנולוגיית המידע לבריאות כלכלית וקלינית (HITECH).

חוק זה מטיל עונשים כבדים על ארגוני בריאות המפרים את כללי הפרטיות ואבטחת המידע. חוק זה נכנס לתוקף בעקר לאור ההתפתחות הטכנולוגית העניפה בתחומי הבריאות, התרופות והמכשור הרפואי, וכתוצאה מהגברת השימוש, האחסון וההעברה של מידע רפואי באמצעים אלקטרוניים.

 

מהן המטרות של ה- HIPAA?

המטרות המרכזיות של רגולציית ה- HIPAA:

  • לאבטח ולהגן על פרטיות המידע הבריאותי של אזרחים אמריקניים
  • לספק PHI מאובטח, שלם, אמין וזמין
  • לאפשר לארגוני הבריאות השונים לאמץ טכנולוגיות חדשות
  • להוביל לשיפור האיכות, השירות והיעילות של הטיפול בחולים
  • לשפר את השליטה על נתונים המוגדרים כרגישים
  • לאמץ וליישם כללי אבטחת מידע באופן הנכון
  • תכנון מוקדם אשר יתן גמישות מספקת לארגון ביישם המדיניות
  • כתיבה ויישום הנהלים והטכנולוגיות המתאימות תוך מזעור הסיכונים לחשיפת PHI של חולים ומטופלים

 

למה צריך לעבוד לפי דרישות HIPAA?

אנו חיים בעידן המידע ולכן מאוד חשוב ליישם את דרישות ה- HIPAA וה- ISO אשר עוסקות באבטחה וחסיון מידע. מידע בתצורה אלקטרונית ודיגיטלית, מהווה חלק משמעותי בתחום הבריאות בכלל והבריאות הדיגיטלית בפרט. נתונים רבים מצויים ברשת, ובין השאר קיימים גם נתונים רפואיים על אנשים ומטופלים.

בנוסף, קיים מידע בריאותי רב באפליקציות סלולריות בהן נעשה שימוש יומיומי ע”י אנשים וכמו כן מבוצע שימוש בגליונות רפואיים אלקטרוניים וכמובן העברת מידע ברשתות החברתיות, בפורומים מקצועיים וכו. חשוב לזכור כי לא מעט פעולות אשר מבוצעות ע”י ארגוני בריאות וספקי שירותים רפואיים פרטיים וממשלתיים, עלולות לחשוף מידע רפואי רגיש.

מידע רפואי רגיש עשוי להחשף בפעילויות שונות, לדוגמא:

  • הזמנת תורים
  • צפיה בתיקים רפואיים
  • יעוץ רפואי מרחוק/באמצעות מכשור
  • מערכות לבדיקות רדיולוגיות
  • בתי מרקחת
  • מעבדות
  • עמדות לשירות עצמי

 

ברגע שמידע זלג או נחשף, אין דרך חזרה ולכן תאימות לדרישות ה- HIPAA כל כך קריטית ליישום מיידי. אחד הכלים הראשוניים בבואנו לטפל בנושא אבטחת חסיון המידע של מטופלים הנו סקר סיכונים בהתאם לתקנות ה- HIPAA. שימוש נכון בכלי זה יאפשר לזהות, לסווג ולטפל בסיכונים הרלוונטיים.

 

אמצעי בטיחות פיזיים וטכנולוגיים בהתאם לדרישות ה- HIPAA

כחלק מדרישות ה- HIPAA, ארגון ה- HHS האמריקני דורש הטמעת אמצעי הגנה פיזיים וטכנולוגיים. הדרישות מכוונות לארגונים העושים שימוש/מזינים/מאחסנים מידע רפואי ונתונים רגישים על מטופלים.

 

אמצעי הגנה שיש ליישם לפי ה- HIPAA

  • גישה מוגבלת ומבוקרת למתקן ולאיזורים שונים בתוכו
  • כתיבה ויישום מדיניות שימוש וגישה לתחנות עבודה ומדיה אלקטרונית
  • הגבלות על העברה, הסרה, הסרה ושימוש חוזר במדיה אלקטרונית ו – ePHI
  • גישה מוגבלת ומבוקרת ל – ePHI
  • אמצעי זיהוי מתקדמים למשתמשים כולל ססמאות, חתימה אלקטרונית/דיגיטלית
  • אבטחת רשתות לרבות העברת נתונים, דואר אלקטרוני, אינטרנט וענן
  • כתיבה ויישום נהלי גישה במצבי חירום, כניסה אוטומטית, הצפנה ופענוח
  • מעקב אחר דוחות המתעדים כל פעילות שבוצעה בחומרה או בתוכנה
  • ניטור ובקרה על מקרים של שינוי או השמדה של ePHI
  • כתיבה ויישום מדיניות גיבוי ואחזור מידע
  • כתיבה ויישום מדיניות Disaster recovery ושחזור מידע רפואי
  • כתיבה ויישום מדיניות Data integrity
  • כתיבה ויישום מדיניות המשכיות עסקית

תוכן עניינים

שתפו את המאמר