HIPAA מייצג את חוק הניידות והאחריות של ביטוח הבריאות, הוא אוסף מקיף של תקנות שנחקק על ידי הקונגרס האמריקאי בשנת 1996. הוא נועד להגן על הפרטיות והאבטחה של המידע הבריאותי של מטופלים. HIPAA חל על כל ספקי שירותי הבריאות, קופות החולים ומסלקות הבריאות המשדרות באופן אלקטרוני מידע בריאותי, כמו גם על שותפיהם העסקיים שיש להם גישה למידע זה.

בבסיסו HIPAA שואפת להבטיח שמידע בריאותי רגיש של מטופלים נשמר חסוי ומוגן מפני גישה, שימוש או חשיפה בלתי מורשית. התקנות מתארות תקנים ודרישות ספציפיות שגופים רלוונטיים חייבים לפעול לפיהם כדי להשיג מטרה זו של שמירה על המידע. תקנים ודרישות אלו כוללים אמצעי הגנה למידע בריאותי אלקטרוני, נהלים אדמיניסטרטיביים לניהול והגנה על מידע בריאותי והנחיות לזכויות הפרט בנוגע למידע הבריאותי שלו.

HIPAA קובעת גם עונשים על אי ציות, שיכולים לנוע מקנסות משמעותיים ועד להאשמות פליליות. הדבר מדגיש את החשיבות של ארגונים ויחידים הפועלים בתעשיית הבריאות במטרה לדבוק בתקנות וליישם אמצעי הגנה להגנה על מידע בריאותי.

איך HIPAA עובד? – המנגנונים מאחורי HIPAA 

הרגולציה פועלת באמצעות שורה של מנגנונים ותקנות שמטרתן להגן על הפרטיות והאבטחה של מידע בריאותי של מטופלים. אחד המרכיבים המרכזיים של HIPAA הוא חוק הפרטיות, הקובע סטנדרטים לאופן שבו ספקי שירותי בריאות, קופות חולים וגופים אחרים חייבים לטפל במידע של המטופל ולהגן עליו. כלל זה קובע את זכותם של יחידים לשלוט במידע הבריאותי שלהם ומגביל את השימוש והחשיפה של מידע זה ללא הסכמתם.

בנוסף לכלל הפרטיות HIPAA כולל גם את כלל האבטחה, המתמקד באמצעי ההגנה הטכניים הדרושים להגנה על מידע בריאותי אלקטרוני. כלל זה מחייב ישויות רפואיות ליישם אמצעים כגון בקרות גישה, הצפנה והערכות אבטחה סדירות כדי להבטיח את הסודיות והשלמות של רשומות בריאות אלקטרוניות.

הרגולציה מתייחסת גם לדרישות להודעה על הפרה, אשר קובעת כי ישויות מכוסות חייבות להודיע ליחידים ולמחלקת הבריאות ושירותי האנוש (HHS) במקרה של הפרה של מידע בריאותי לא מאובטח. הודעה זו נועדה ליידע אנשים המושפעים מכך, כך שיוכלו לנקוט בצעדים מתאימים כדי להגן על עצמם מפני נזק אפשרי.

כדי לאכוף ציות ל- HIPAA  המשרד לזכויות האזרח (OCR) בתוך HHS אחראי על חקירת תלונות וביצוע ביקורות. ל- OCR יש סמכות להטיל עונשים וסנקציות על ישויות שלא מצייתות לתקנות HIPAA כולל קנסות ופעולות מתקנות לטיפול בכל הפרה.

מי צריך לציית לרגולציה? פרספקטיבה רחבה

• ספקי שירותי בריאות:
  ספקי שירותי בריאות, כולל רופאים, אחיות, בתי חולים, מרפאות ובתי מרקחת, הם הישויות העיקריות שצריכות לציית ל   HIPAA  שכן הם מטפלים במידע רגיש של המטופל על בסיס יומי ואחראים להבטחת פרטיותו ואבטחתו. זה כולל הן רשומות פיזיות והן מידע בריאותי אלקטרוני. ספקי שירותי בריאות חייבים ליישם את אמצעי ההגנה הניהוליים, הטכניים והפיזיים הדרושים כדי להגן על נתוני המטופלים ולעמוד בדרישות המפורטות בתקנות  HIPAA. 

• תכניות בריאות:
  תכניות בריאות, כגון חברות ביטוח, קופות חולים ותוכניות ממשלתיות כמו Medicare ו-Medicaid  נופלות גם הן תחת היקף תאימות זו. ישויות אלו אוספות ומאחסנות כמויות עצומות של מידע בריאותי אישי, כולל היסטוריה רפואית של אנשים, תוכניות טיפול ורישומי תשלום. לתכניות בריאות חייבות להיות מדיניות ונהלים כדי להגן על מידע זה ולהגביל את הגישה לצוות מורשה בלבד. כמו כן, עליהם להבטיח שמכבדים את זכויותיהם של אנשים לגשת למידע הבריאותי שלהם ולשלוט בו.

• שותפים עסקיים:
  HIPAA  גם מרחיבה את דרישות התאימות שלה לשותפים עסקיים, שהם ישויות צד שלישי המספקות שירותים לגופים רלוונטיים ויש להם גישה למידע הבריאותי המוגן של החולים. זה כולל גופים כגון חברות חיוב רפואי, ספקי IT וספקי אחסון בענן. שותפים עסקיים חייבים להתקשר בהסכם בכתב עם הישות המכוסה, הידוע בשם Business Associate Agreement (BAA)  המתאר את חובותיהם להגן ולאבטח מידע על המטופל. הם גם כפופים לביקורות ועונשים אם הם לא עומדים בתקנות אלו.

יועצי אבטחת המידע שלנו עם ניסיון ומוניטין של מעל כעשור עם בקיאות בדרישות ה- HIPAA וחוקים נוספים מרחבי העולם וילוו את ארגונך מקצה לקצה עד לעמידה בתקנות ובהתאמה מלאה לתחום הפעילות שלך.