HIPAA – Health Insurance Probability and Accountability Act

 

HIPAA – Health Insurance Probability and Accountability Act הינו חוק אמריקאי הקובע מסגרת אחידה לניהול, שמירה והעברה של מידע רפואי חסוי. החוק נחקק ע”י הקונגרס כך שיחול על שירותי הבריאות האמריקאים ובהמשך הורחב ואומץ ע”י התעשייה העולמית ומשמש למעשה “תו תקן” לניהול אבטחת מידע עבור חברות העוסקות בתחום הרפואי. הוא חל על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

 

החוק מתווה מודל להגנה על המידע הרפואי ועל כל פעולה הקשורה במידע זה לפי העקרונות הבאים:

  1. הגבלת הגישה לגורמי אנוש או תוכנה שקיבלו הרשאה מפורשת בלבד
  2. שמירת מידע על כל גישה למידע וביצוע תהליכי בקרה על אותו מידע
  3. המידע לא עובר מניפולציות ללא הרשאה
  4. יש להעניק מזהה יחודי לכל אדם או ישות הניגשים למידע
  5. מידע מועבר בצורה בטוחה (מוצפן ומאובטח)

HIPAA קובע נהלי עבודה לשמירה על הפרטיות והאבטחה של מידע הרפואי החסוי, מונע הונאות ושימוש לרעה במידע ומגדיר את העונשים על הפרות. הדרישות העיקריות של התקן כוללות התייחסות לקביעת מדיניות ונהלי אבטחת מידע, ביצוע הערכות וסקרי סיכונים, הטמעת אמצעי אבטחת מידע, הגברת מודעות לנושאי אבטחת מידע ועוד.

הפעילות כוללת בדיקה והגדרת תכנית עבודה ביחס לשלושה נושאים עיקריים:

בחינה אפליקטיבית של מערכות המכילות מידע רפואי: אבטחת Session, ניהול משתמשים, הרשאות והזדהות, הפקת דו”חות, הפרדת סביבות, נתיב בקרה, בדיקות קלט וכו’.

בחינת תשתיות הארגון: אבטחת בסיסי נתונים, גיבויים, בקרת גישה וניהול, בחינת ההגנה ברמת התקשורת (HTTPS), בדיקות הקשחה.

בחינת אבטחת מידע ארגונית: קיום נהלי עבודה, הדרכות מודעות, הפרדה בין נתוני זיהוי לקוח לרשימות רפואיות של לקוח (EPHI), תיעוד אירועים, בקרת משתמשים והרשאות, בחינת תקינות גיבויים, בקרת תהליכי זיהוי, ניהול שינויים, תכנית המשכיות עסקית.

חשוב לציין כי החוק משאיר לחברות מרחב תמרון ואת האחריות להגדיר עבור עצמן כיצד להטמיע וליישם את הדרישות על בסיס המאפיינים הייחודיים שלהן, גודלן, מורכבותן, היכולות, התשתיות הטכנולוגית, העלויות, ההסתברות ופוטנציאל הסיכון הקריטי.

הפעילות של חברת RUsafe כוללת בדיקה וניתוח סיכונים על פי דרישות HIPAA ,הגדרת תכנית עבודה להשלמת הפערים וליווי עד  להשלמתם.

החוק מחייב כל ישות שמנהלת או שהינה בעלת גישה למידע אישי מזהה לחתום על התחייבות לקיים את כל דרישות שמירת הפרטיות המצוינות בתקינת HIPAA. התחייבות זאת נקראת BAA – Business Associate Agreement.

  • קבלת ההסמכה לתקן עבור ארגונכם מהווה התחייבות לאיכות השירות ולשמירה על ביטחון המידע של הלקוחות שלכם ובכך מהווה יתרון איכותי ותחרותי על פני המתחרים.
  • עמידה בתקן מבטיחה לארגון וללקוחותיו עמידה בדרישות אבטחת המידע המקיפות והעדכניות ביותר.

ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות

רוצה להתייעץ על אתגרי אבטחת המידע בארגון שלך?