מה זה HIPAA?
ראשי התיבות של HIPAA הן Health Insurance Portability and Accountability Act.
דרישות ה- HIPAA נגזרות מתחום ביטוח הבריאות וחוק האחריות והן למעשה מגדירות את דרישות התקן להגנה על נתונים רגישים של מטופלים אמריקניים. תקנות ה- HIPAA פורסמו בשנת 1996 והן מחייבות חברות מתחום המדיקל והבריאות הדיגיטלית העוסקות במידע רפואי ו/או בריאותי של מטופלים.
על חברות מסוג זה, מוטלת החובה להגן על מידע רפואי/בריאותי ואף לנקוט אמצעי אבטחה פיזיים, טכנולוגיים ורשתיים ובנוסף לנטר ולעקוב אחר הנתונים על מנת להבטיח שמידע זה לא יזלוג מחד וישמר ברמת שלמות ואמינות, תוך תאימות לדרישות ה- HIPAA. כל גוף, חברה או גורם אחר, אשר מספק טיפול, מידע, נתונים, פרטים אישיים, בין אם במישרין ובין אם כחלק מעבודה עם גוף שכזה, כגון קבלן משנה או שותף עסקי, מחוייב גם הוא לעמוד בתאימות לדרישות ה- HIPAA.
תקנות הפרטיות והאבטחה של ה-HIPAA
על פי ה- HHS האמריקני, עמידה בתקן ה- HIPAA מחייב בין היתר, הקפדה על פרטיות וחסיון מידע בריאותי של מטופלים ברמה הלאומית וככזה אמור לאפשר זיהוי פרטני של חריגות או חשש למצבים של זליגת מידע מאוחסן ו/או מידע המועבר בצורה אלקטרונית.
אבטחה המידע הבריאותי/הרפואי של מטופלים, יכלול בין היתר ישום מנגנוני הגנה שונים, טכניים ושאינם טכניים, על מנת לאבטח את ה- PHI האלקטרוני של חולים ומטופלים (e-PHI). במסגרת חלוקת האחריות לפי ה- HHS, המשרד לזכויות האזרח (OCR) האמריקני, הוא זה שאחראי על אכיפת כללי הפרטיות והבטיחות, זאת באמצעות פעילות יזומה והטלות סנקציות וקנסות כספים.
על מנת להבטיח עמידה של הארגונים הרלוונטיים לדרישות ה- HIPAA, ממשלת ארה"ב העבירה את חוק טכנולוגיית המידע לבריאות כלכלית וקלינית (HITECH). חוק זה מטיל עונשים כבדים על ארגוני בריאות המפרים את כללי הפרטיות ואבטחת המידע. חוק זה נכנס לתוקף בעקר לאור ההתפתחות הטכנולוגית העניפה בתחומי הבריאות, והגברת השימוש, האחסון וההעברה של מידע רפואי באמצעים אלקטרוניים.
המטרה העקרית של רגולציית ה- HIPAA הנה לאבטח ולהגן על פרטיות המידע הבריאותי של אנשים, ולספק PHI מאובטח, שלם, אמין וזמין, ובמקביל לאפשר לארגוני הבריאות השונים לאמץ טכנולוגיות חדשות לשיפור האיכות, השירות והיעילות של הטיפול בחולים תוך שליטה טובה יותר על נתונים המוגדרים כרגישים.
כללי האבטחה הנדרשים במסגרת ה- HIPAA, אם ייושמו נכון ובהסתמך על תכנון מוקדם, יאפשרו גמישות מספקת לחברה/לארגון ביישם המדיניות, הנהלים והטכנולוגיות המתאימות תוך מזעור הסיכונים ל- PHI של חולים ומטופלים.
הצורך בתאימות לדרישות ה- HIPAA
אנו חיים בעידן המידע. מידע בתצורה אלקטרונית ודיגיטלית, מהווה חלק משמעותי בתחום הבריאות בכלל והבריאות הדיגיטלית בפרט. נתונים רבים מצויים ברשת, ובין השאר קיימים גם נתונים על אנשים בעלי בעיות בריאות ו/או מטופלים. בנוסף, קיים מידע בריאותי רב באפליקציות סלולריות בהן נעשה שימוש יומיומי ע"י אנשים וכמו כן שימוש גליונות רפואיים אלקטרוניים וכמובן העברת מידע ברשתות החברתיות ובפורומים מקצועיים.
חשוב לזכור כי חלק ניכר מהפעולות המבוצעות ע"י ספקי בריאות פרטיים וממשלתיים, כגון הזמנת תורים, תיקים רפואיים, יעוץ רפואי מרחוק/באמצעות מכשור, מערכות לבדיקות רדיולוגיות, בתי מרקחת, מעבדות, עמדות לשירות עצמי, חשופים כולם לזליגת מידע רפואי ולכן תאימות לדרישות ה- HIPAA חשובה מאוד ליישום מיידי.
אחד הכלים הראשוניים בבואנו לטפל בנושא אבטחת חסיון המידע של מטופלים הנו סקר סיכונים ושימוש נכון בכלי זה, יאפשר לזהות, לסווג ולטפל בסיכונים הרלוונטיים.
ישום אמצעי בטיחות פיזיים וטכנולוגיים כחלק ממדיניות ה- HIPAA
ה- HHS דורש הטמעת אמצעי הגנה פיזיים וטכנולוגיים בארגונים העושים שימוש/מזינים/מאחסנים מידע רפואי ונתונים רגישים על מטופלים.
דוגמאות לאמצעי הגנה שיש ליישם בהתאם לדרישות ה- HIPAA:
- גישה מוגבלת ומבוקרת למתקן / לאיזורים שונים במתקן הרלוונטי
- הגדרה ויישום מדיניות בנוגע לשימוש וגישה לתחנות עבודה ומדיה אלקטרונית
- הגבלות על העברה, הסרה, הסרה ושימוש חוזר במדיה אלקטרונית ו- ePHI
- גישה מוגבלת ומבוקרת ל- ePHI
- שימוש באמצעי זיהוי מתקדמים למשתמשים כולל ססמאות, חתימה אלקטרונית/דיגיטלית וכיו"ב
- יישום אמצעי אבטחת רשתות מתקדמים לרבות העברת נתונים, דואר אלקטרוני, אינטרנט, ענן וכיו"ב
- הגדרה ויישום נהלי גישה במצבי חירום, כניסה אוטומטית, הצפנה ופענוח
- הפקה ומעקב אחר דוחות ביקורת או יומנים (log) המתעדים כל סוג פעילות שבוצע בחומרה או בתוכנה
- ניטור ובקרה על מקרים של שינוי או השמדה של ePHI
- הגדרה ויישום מדיניות גיבוי ואחזור מידע
- הגדרה ויישום מדיניות Disaster recovery ושחזור מידע רפואי
- הגדרה ויישום מדיניות Data integrity