מהי תאימות ל- HIPAA?

  • Home
  • מהי תאימות ל- HIPAA?
מהי תאימות ל- HIPAA?

מהי תאימות ל- HIPAA?

למד על חוק ביטוח בריאות ואחריות (HIPAA) והדרישות לעמידה ב- HIPAA בסעיף הגנת הנתונים 101, הסדרה שלנו על יסודות אבטחת המידע.

 

הגדרה של תאימות ל- HIPAA

חוק ניידות ואחריות של ביטוח בריאות (HIPAA) קובע את הסטנדרט להגנה על מידע רגיש של מטופלים. חברות העוסקות במידע בריאותי מוגן (PHI) חייבות לנקוט באמצעי אבטחה פיזיים, בהגנה ובתהליך לבצע אותם כדי להבטיח תאימות ל- HIPAA. גופים מכוסים (כל מי שמעניק טיפול, תשלום ותפעול בבריאות) ושותפים עסקיים (כל מי שיש לו גישה למידע על המטופל ומספק תמיכה בטיפול, תשלום או פעולות) חייבים לעמוד בתאימות HIPAA. גופים אחרים, כמו קבלני משנה וכל שותפים עסקיים קשורים אחרים, חייבים לעמוד גם הם.

 

כללי האבטחה של HIPAA ו- HIPAA

על פי משרד הבריאות והשירותים האנושיים בארה"ב (HHS), כלל הפרטיות של HIPAA , או תקנים לפרטיות של מידע בריאותי שניתן לזהותו באופן אישי, קובע סטנדרטים לאומיים להגנה על מידע בריאותי מסוים. בנוסף, כלל האבטחה קובע מערך לאומי של תקני אבטחה להגנה על מידע בריאותי ספציפי המוחזק או מועבר בצורה אלקטרונית.

כלל האבטחה מפעיל את ההגנות של כלל הפרטיות על ידי התייחסות לאמצעי הגנה טכניים ולא טכניים שעליהם להקים גופים מכוסים על מנת לאבטח את ה- PHI האלקטרוני של אנשים (e-PHI). במסגרת HHS, המשרד לזכויות האזרח (OCR) אחראי על אכיפת כללי הפרטיות והאבטחה באמצעות פעילויות ציות מרצון וקנסות כספיים אזרחיים.

 

הצורך לעמידה ב- HIPAA

HHS מציין כי כאשר ספקי שירותי בריאות וגופים אחרים העוסקים ב- PHI עוברים לפעולות ממוחשבות, כולל מערכות הזמנת רופאים ממוחשבות (CPOE), רשומות בריאות אלקטרוניות (EHR) ומערכות רדיולוגיה, רוקחות ומעבדה, תאימות HIPAA חשובה יותר. מתמיד. באופן דומה, תוכניות בריאות מספקות גישה לתביעות וכן ליישומי טיפול ויישומים בשירות עצמי. אמנם כל השיטות האלקטרוניות הללו מספקות יעילות וניידות מוגברת, אך הן גם מגדילות באופן דרסטי את סיכוני האבטחה העומדים בפני נתוני בריאות.

 

כלל האבטחה קיים כדי להגן על פרטיות המידע הבריאותי של אנשים, ובמקביל לאפשר לגופים מכוסים לאמץ טכנולוגיות חדשות לשיפור איכות ויעילות הטיפול בחולים. כלל האבטחה, לפי תכנונו, גמיש מספיק כדי לאפשר לגוף מכוסה ליישם מדיניות, נהלים וטכנולוגיות המתאימות לגודל, למבנה הארגוני ולסיכונים של ה- PHI של החולים והצרכנים.

 

אמצעי הגנה פיזיים וטכניים, מדיניות ועמידה ב- HIPAA

ה- HHS דורש אמצעי הגנה פיזיים וטכניים עבור ארגונים המארחים נתוני חולים רגישים. אמצעי הגנה פיזיים אלה כוללים:

  • גישה ושליטה מוגבלת במתקן עם גישה מורשית במקום
  • מדיניות אודות שימוש וגישה לתחנות עבודה ולמדיה אלקטרונית
  • הגבלות על העברה, הסרה, סילוק ושימוש חוזר במדיה אלקטרונית ו- ePHI

באותו אופן, אמצעי ההגנה הטכניים של HIPAA מחייבים בקרת גישה המאפשרת רק לגורמים מורשים לגשת ל- ePHI. בקרת הגישה כוללת:

  • באמצעות מזהי משתמש ייחודיים, נהלי גישה לחירום, התנתקות אוטומטית והצפנה ופענוח
  • דוחות ביקורת או יומני מעקב המתעדים פעילות בחומרה ובתוכנה

מדיניות טכנית אחרת לתאימות HIPAA צריכה לכסות בקרות שלמות, או אמצעים שנקבעו כדי לאשר ש- ePHI אינו משתנה או נהרס. התאוששות מאסון ה- IT וגיבוי מחוץ לאתר הם מרכיבים מרכזיים שמבטיחים שגיאות וכשלים במדיה אלקטרונית מתקנים במהירות, כך שמידע בריאות המטופל יתאושש בצורה מדויקת ושלמה. אמצעי הגנה טכני אחרון הוא אבטחת רשת או שידור שמבטיחה מארחים תואמי HIPAA מגנים מפני גישה לא מורשית ל- ePHI. הגנה זו מתייחסת לכל שיטות העברת הנתונים, כולל דוא"ל, אינטרנט או רשתות פרטיות, כגון ענן פרטי.

 

כדי לסייע בהבטחת עמידה ב- HIPAA, ממשלת ארה"ב העבירה חוק משלים, חוק טכנולוגיית המידע לבריאות כלכלית וקלינית ( HITECH ), המעלה קנסות לארגוני בריאות המפרים כללי פרטיות וביטחון של HIPAA. חוק HITECH הושם במקום עקב התפתחות טכנולוגיית הבריאות והשימוש המוגבר, האחסון וההעברה של מידע בריאותי אלקטרוני.

 

הגנת נתונים לארגונים בתחום הבריאות ועמידה בתאימות ל- HIPAA

הצורך באבטחת נתונים גדל עם הגידול בשימוש ובשיתוף של נתוני חולים אלקטרוניים. כיום, טיפול איכותי מחייב את ארגוני הבריאות לעמוד בביקוש מואץ זה לנתונים תוך עמידה בתקנות HIPAA והגנה על PHI. קביעת אסטרטגיית הגנת נתונים מאפשרת לארגוני בריאות:

 

ודא את האבטחה והזמינות של PHI כדי לשמור על אמון המטפלים והמטופלים

לעמוד בתקנות HIPAA ו- HITECH לגישה, ביקורת, בקרת תקינות, העברת נתונים ואבטחת מכשירים

לשמור על נראות ושליטה רבה יותר בנתונים רגישים ברחבי הארגון

הפתרונות הטובים ביותר להגנה על נתונים מזהים ומגנים על נתוני מטופלים בכל הצורות, כולל נתונים מובנים ולא מובנים , מיילים, מסמכים וסריקות, תוך מתן אפשרות לספקי שירותי הבריאות לשתף נתונים באופן מאובטח על מנת להבטיח את הטיפול הטוב ביותר האפשרי. מטופלים מפקידים את נתוניהם בידי ארגוני הבריאות, וחובתם של ארגונים אלה לדאוג למידע הבריאותי המוגן שלהם. למידע נוסף על שיטות עבודה מומלצות להגנה על נתונים בתחום הבריאות, קרא את המדריך שלנו לאבטחת סייבר בתחום הבריאות .

 

תאימות HIPAA בנוף COVID-19

זה לשון המעטה לומר שהעולם שונה בגלל המגיפה. כמעט ללא ספק, שירותי הבריאות אמורים להשתנות ביותר בשנים הקרובות. שמירה על ציות לפרטיות היא גם קשה יותר. גורמים המגדילים את הסיכון למידע בריאותי פרטי כוללים:

 

ביקורי טלאה-בריאות: מספר הביקורים של ספקי שירותי הבריאות שנערכו באינטרנט זינק. מטופלים שבדרך כלל עורכים נסיעות קצרות במרפאה או במשרד מחליטים להישאר בבית ולראות את הרופא שלהם באופן וירטואלי, אלא אם כן יש צורך בהחלט בביקור אישי. הגנה על נתונים באינטרנט קשה אם מתעלמים מאמצעי זהירות.

ספירת חולים מוגברת (לאחר נעילה): כעת, כאשר מדינות רבות מאפשרות להתרחש מרבית ההליכים והביקורים, הייתה תקיפה של פגישות. כאשר הם משויכים להנחיות התרחקות פיזית, לעיתים קרובות חסרים משרדים צוות כאשר לוח הזמנים מוגדל. מצב זה יוצר הזדמנות לטעויות תאימות של HIPAA.

ספקי טיפול מרובים: לעתים קרובות חולים רואים רופאים מרובים. עם זאת, בדיקות מוגברות וזמני תוצאות מגוונים הופכים את הדברים לעננים. רופאים ראשוניים המקבלים עדכונים ממעבדות בדיקה מרובות, חולים או בתי חולים פירושם שהנתונים עוברים פנימה והחוצה בקצב מהיר יותר (אם מתמודדים עם מקרי וירוסים פוטנציאליים).

הישאר מעודכן כדי להימנע מבעיות

 

משרד הבריאות ושירותי האנוש (HHS) עדכן באופן יזום את אלו שנמצאים בסיקור HIPAA (המכונה "גופים מכוסים"). הנה מה שיש ל- HHS לומר על העלייה באפשרויות הבריאות הטלה:

 

"ספק שירותי בריאות מקורה המעוניין להשתמש בטכנולוגיית תקשורת שמע או וידאו על מנת לספק בריאות חולים במהלך חירום הבריאות הציבורית COVID-19 יכול להשתמש בכל מוצר תקשורת מרחוק שאינו ציבורי הפנוי לתקשורת עם חולים. OCR מפעילה את שיקול הדעת האכיפתי שלה לא להטיל קנסות בגין אי ציות לכללי HIPAA בקשר למתן בריאות תום לב באמצעות מוצרי תקשורת שמע או וידאו כאלה שאינם פונים לציבור במהלך חירום בריאות הציבור הארצי של COVID-19. הפעלת שיקול דעת זה מתייחסת לטל-בריאות הניתנים מכל סיבה שהיא, ללא קשר לשירותי הבריאות הקשורים לאבחון וטיפול במצבים בריאותיים הקשורים ל- COVID-19. " (מקור: HHS)

 

הקפד לעקוב אחר עדכונים אלה ממי שעוקבים אחר ואכיפת תאימות HIPAA על מנת להבטיח את הסביבה הבטוחה ביותר. התקשורת עשויה לספק הנחיות בנושאים הבולטים ביותר שנגרמים על ידי המגיפה, כגון פגישות מוגברות, איומי נתונים וטכניקות למיתון.

 

עונשים מעודכנים בגין הפרות HIPAA

 

קנסות ועונשים פוטנציאליים עודכנו מוקדם יותר בשנת 2019. ( התיעוד הרשמי אמור היה להתפרסם ב -30 באפריל.) הפרטים המתוארים במסמך כללו מבנה שכבתי להפרות עם "מכסים" תואמים החל מ- 25,000 $ לשכבה 1.

 

אכיפה טובה יותר ואחריות על הפרות

 

שנת 2019 הייתה שנה גדולה לאכיפה. על פי כתב העת HIPAA, הקנס הכספי הממוצע היה יותר מ -1.2 מיליון דולר. האכיפה הוגברה בשנת 2018 וכמובן שלא הוחל בשנה האחרונה. משרד הבריאות ושירותי האנוש לזכויות האזרח (HHS OCR) החמיר את מאמצי האכיפה בשנת 2018, וכמובן שנמשך עד השנה שעברה. עם זאת, בשל המצב העולמי הנוכחי, האכיפה עשויה לתפוס מושב אחורי במשך רוב שנת 2020.

 

הנחיות או תקנות נוספות בנוגע לאופיואידים

 

מעמדם של התמכרות לאופיואידים ושימוש יתר באמריקה תויג באופן בולט כ"משבר "ו"מגיפה". חקיקה חדשה הובטחה ונדונה למאבק בסוגיות סביב התרופה השנויה במחלוקת. עם זאת, זה עלול לגרום לשינויים נוספים ב- HIPAA. שינויים אלה יכולים לנוע בין הנחיות נוספות או בעיות תאימות אפשריות.

פוסטים קשורים

מהי אבטחת נקודות קצה? Endpoint Security

אבטחת נקודות קצה היא תהליך של אבטחת נקודות הקצה השונות ברשת, המוגדרות לרוב כהתקני משתמשי

קראו עוד

מה תפקידו של איש אבטחת מידע ואיומי סייבר?

תפקיד איש תשתיות אבטחת מידע וסייבר הופך להיות חשוב יותר ויותר בארגון המודרני, מכיוון שחברות

קראו עוד

Secure By Design

Lorem ipsum dolor sit amet sed, consectetur adipiscing elit do obcaecati praesentium. Labore sint recusandae

קראו עוד

אל תלכו לאיבוד.....

צרו קשר איתנו, וקבלו מענה לכל השאלות שלכם

צרו קשר

דילוג לתוכן