מה זה HIPAA

מסגרת רגולטורית פדרלית בארה״ב להגנה על מידע רפואי.

HIPAA (Health Insurance Portability and Accountability Act) היא מסגרת רגולטורית אמריקאית הכוללת שלושה רכיבים מרכזיים:

1. Privacy Rule – חוקיות פרטיות
   מגדיר שימוש, גילוי וזכויות נבדקים ביחס למידע רפואי
2. Security Rule – חוקיות אבטחה
   מגדיר דרישות להגנה על מידע רפואי אלקטרוני (ePHI)
3. Breach Notification Rule – חובת הדיווח
   קובע חובות הודעה ודיווח במקרה של אירוע אבטחת מידע או פרטיות.

למה HIPPA חשוב ברמה עסקית

HIPAA הוא לעיתים תנאי סף לעבודה עם ארגוני בריאות בארה״ב, ומסייע לעבור תהליכי Vendor Risk.

מעבר לציות, תהליך HIPAA משפר שליטה במידע, מפחית סיכון תפעולי ומעלה מוכנות לאירועים. אכיפה כוללת חקירות, הסדרי פשרה וקנסות, והדוגמאות מופיעות בפרסומי האכיפה של HHS OCR.

למי תקן HIPAA רלוונטי?

החוק חל גם על ספקים ונותני שירות שנוגעים במידע רפואי במסגרת השירות.

HIPAA חלה על Covered Entities, כגון:

• גורמי ביטוח בריאות
• ספקי שירותי בריאות
• Clearinghouses
• Business Associates
  כלומר ספקים שמקבלים, שומרים, מעבדים או מעבירים PHI/ePHI עבור Covered Entity כחלק מהשירות שהם מספקים.

בפועל, חברות SaaS, ספקי ענן, מוקדי שירות ותמיכה, ספקי אנליטיקה, בילינג ותפעול עשויים להיחשב Business Associate בהתאם למודל העבודה והגישה שלהם למידע.

מה נדרש בפועל במסגרת HIPAA

הדרישה היא הקמת יכולת מוכחת של ניהול סיכונים, בקרות ותיעוד, בהתאם לסוג ומודל המידע של הארגון.

בתהליכי עמידה ובבדיקות לקוח חוזרים אותם מוקדים:

• ביצוע Risk Analysis ל-ePHI כבסיס להגדרת אמצעי הגנה סבירים ומתאימים
• מיפוי מאגרי PHI/ePHI וזרימות מידע, כולל נקודות מגע עם ספקים
• ניהול זהויות ומשתמשים – הגדרת בקרות גישה, ניהול הרשאות, לוגים, הצפנה והקשחות בהתאם לסיכון
• יישום תכנית הדרכות ותיעוד פעילות
• נהלים ותיעוד– בהתאם לדרישות התיעוד, כולל שמירת תיעוד למשך 6 שנים לפי Security Rule

שלושת רכיבי HIPAA המרכזיים

1. Privacy Rule

סדרת כללים לשימוש ולגילוי PHI ומגדירה את זכויות המטופלים ואת השקיפות הנדרשת.
ה-Privacy Rule – חוק הפרטיות מגדיר מהו PHI, אילו שימושים וגילויים מותרים, ומהן דרישות ההודעה והשקיפות לנבדקים רפואיים.

2. Security Rule

יישום מנגנוני הגנה –  Safeguards מנהליים, פיזיים וטכניים להגנה על ePHI על בסיס Risk Analysis.
ה-Security Rule מחייב Administrative, Physical ו-Technical Safeguards להגנה על ePHI.
חוקיות האבטחה מדגישה את מרכזיות Risk Analysis ותוכנית צמצום סיכונים והמשכיות עסקית.

PHI – Protected Health Information

מידע רפואי מזוהה שמוגן לפי HIPAA לאורך כל מחזור החיים שלו.
PHI (Protected Health Information) הוא מידע רפואי הקשור למצב בריאותי, טיפול רפואי או תשלום עבור טיפול, כאשר הוא מזוהה או ניתן לזיהוי של אדם, ונמצא אצל גורמים המכוסים ב-HIPAA או מי שפועל מטעמם. המידע יכול להופיע במגוון פורמטים, כגון מסמכים, טפסים, הקלטות, מיילים או מערכות תפעוליות, וכל עוד ניתן לקשור אותו לאדם ולרכיב רפואי או תפעולי, הוא נחשב PHI. לכן נדרש להגדיר בצורה מדויקת אילו נתונים בארגון נכללים ב-PHI, מי נוגע בהם, לאילו מטרות ובאילו תנאים מותר להשתמש או לחשוף אותם.

ePHI – Electronic Protected Health Information

 PHI בפורמט אלקטרוני שמחייב בקרות אבטחה ייעודיות לפי Security Rule.
ePHI (Electronic Protected Health Information) הוא PHI שנוצר, נשמר, נשלח או מתקבל בצורה אלקטרונית, ולכן נדרש עבורו סט Safeguards מנהליים, פיזיים וטכניים לפי HIPAA Security Rule. בפועל זה כולל מידע רפואי במערכות ענן ו-SaaS, במאגרי נתונים, ב-CRM/מערכות מוקד, בקבצים משותפים, בדוא״ל ובגיבויים, וכן תעבורה בין מערכות וספקים. במסגרת ליווי HIPAA, אנו באינפוגארד ממפים היכן ePHI עובר ומאוחסן, מגדירים סיכונים ותלויות, ומתרגמים את הממצאים לדרישות בקרות כמו הרשאות, לוגים, הצפנה, הקשחות ותהליכי תגובה לאירועים, בהתאם לרמת הסיכון ולמבנה הארגון.

3. Breach Notification Rule

הקמת תהליך תגובה, תיעוד והודעות בהתאם לחובות הדיווח והמסגרות הרלוונטיות.
במקרה של אירוע המוגדר Breach של PHI לא מאובטח, נדרשות הודעות לנפגעים ולרגולטור בהתאם לכללים וללוחות זמנים, ובמקרים מסוימים גם פרסום נוסף.

איך נראה ליווי HIPPA ב8 שלבים

תהליך מקצה לקצה שמחבר בין פרטיות, אבטחה ותפעול ומייצר תכנית עבודה ברורה בשמונה סעיפים מרכזיים.

1. Scoping ותחולה: הגדרת גבולות המערכת ומחדדים את הסטטוס הארגוני כ-Covered Entity או Business Associate.
2. מיפוי PHI/ePHI: מיפוי יסודי של מערכות, מאגרים, תהליכים, משתמשים וספקים.
3. Risk Analysis ותכנית Remediation: ניתוח סיכונים ל-ePHI ומגדירים תכנית סגירת פערים עם תעדוף, אחריות ולוחות זמנים.
4. מדיניות ונהלים: ניסוח ועדכון נהלים רלוונטיים, כולל הרשאות, עבודה מרחוק, מובייל, ניהול שינויים, שמירה ומחיקה.
5. ספקים ו-BAA: בדיקת סטטוס ספקים, מסדירים Business Associate Agreements ומקימים מנגנוני בקרה.
6. הדרכות: בניית תוכנית הדרכה לפי תפקיד ומסדירים תיעוד.
7. Incident Response: הקמת תהליך תגובה ודיווח לאירועים, כולל תבניות החלטה והודעות.
8. Compliance Pack: ריכוז תיעוד, ראיות והוכחות יישום לצורך שאלונים וביקורות.

תוצרים

התהליך בונה תיק תוצרים שמאפשר יישום ובקרה לאורך זמן.

• Data Inventory ו-Data Flow ל-PHI/ePHI
• דו״ח Gap Analysis ותכנית עבודה
• דו״ח Risk Analysis ל-ePHI ותכנית Remediation
• סט מדיניות ונהלים
• הסדרת BAA וניהול ספקים
• תוכנית הדרכה ותיעוד
• Incident/Breach Playbook בהתאם למסגרות הדיווח
• מנגנון ניהול תיעוד ושימור מסמכים לפי דרישות Security Rule, כולל 6 שנים

למי השירות שלנו מתאים

ארגונים שמחזיקים או נוגעים במידע רפואי במסגרת פעילות בארה״ב.

• חברות טכנולוגיה ובריאות דיגיטלית
• ספקי SaaS וענן עם לקוחות בתחום הבריאות
• מוקדים ותפעול עם גישה למידע רפואי
• ספקים שמוגדרים Business Associate בפועל או במסגרת ההתקשרות

האם HIPAA רלוונטי גם אם אנחנו יושבים בישראל?

אם אתם מספקים שירות לארגון בארה״ב והטיפול במידע רפואי הוא חלק מהשירות, ייתכן שתוגדרו Business Associate ותידרשו להסדרה חוזית ותפעולית בהתאם.

רוצים לוודא שההתאמה ל-HIPAA רלוונטית עבורכם?

השאירו פרטים ונחזור אליכם לתיאום שיחת אבחון.