מה זה HIPAA

מסגרת רגולטורית פדרלית בארה״ב להגנה על מידע רפואי.

HIPAA (Health Insurance Portability and Accountability Act) היא מסגרת רגולטורית אמריקאית הכוללת שלושה רכיבים מרכזיים:

1. Privacy Rule – חוקיות פרטיות
   מגדיר שימוש, גילוי וזכויות נבדקים ביחס למידע רפואי
2. Security Rule – חוקיות אבטחה
   מגדיר דרישות להגנה על מידע רפואי אלקטרוני (ePHI)
3. Breach Notification Rule – חובת הדיווח
   קובע חובות הודעה ודיווח במקרה של אירוע אבטחת מידע או פרטיות.

למי תקן HIPAA רלוונטי?

החוק חל גם על ספקים ונותני שירות שנוגעים במידע רפואי במסגרת השירות.

HIPAA חלה על Covered Entities, כגון:

• גורמי ביטוח בריאות
• ספקי שירותי בריאות
• Clearinghouses
• Business Associates
  כלומר ספקים שמקבלים, שומרים, מעבדים או מעבירים PHI/ePHI עבור Covered Entity כחלק מהשירות שהם מספקים.

בפועל, חברות SaaS, ספקי ענן, מוקדי שירות ותמיכה, ספקי אנליטיקה, בילינג ותפעול עשויים להיחשב Business Associate בהתאם למודל העבודה והגישה שלהם למידע.

מה נדרש בפועל במסגרת HIPAA

באינפוגארד אנו מקימים יכולת מוכחת של ניהול סיכונים, בקרות ותיעוד, בהתאם למודל המידע של הארגון.

בתהליכי עמידה ובבדיקות לקוח חוזרים אותם מוקדים:

• ביצוע Risk Analysis ל-ePHI כבסיס להגדרת אמצעי הגנה סבירים ומתאימים
• מיפוי מאגרי PHI/ePHI וזרימות מידע, כולל נקודות מגע עם ספקים
• הגדרת בקרות גישה, ניהול הרשאות, לוגים, הצפנה והקשחות בהתאם לסיכון
• יישום תכנית הדרכות ותיעוד פעילות
• שמירת תיעוד ונהלים בהתאם לדרישות התיעוד, כולל שמירת תיעוד למשך 6 שנים לפי Security Rule

שלושת רכיבי HIPAA המרכזיים

1. Privacy Rule

הסדרת כללים לשימוש ולגילוי PHI ומגדירה את זכויות המטופלים ואת השקיפות הנדרשת.
ה-Privacy Rule מגדיר מהו PHI, אילו שימושים וגילויים מותרים, ומהן דרישות ההודעה והשקיפות לנבדקים.

2. Security Rule

אינפוגארד מיישמת Safeguards מנהליים, פיזיים וטכניים להגנה על ePHI על בסיס Risk Analysis.
ה-Security Rule מחייב Administrative, Physical ו-Technical Safeguards להגנה על ePHI, ומדגיש את מרכזיות Risk Analysis ותוכנית צמצום סיכונים.

PHI – Protected Health Information

מידע רפואי מזוהה שמוגן לפי HIPAA לאורך כל מחזור החיים שלו.
PHI (Protected Health Information) הוא מידע רפואי הקשור למצב בריאותי, טיפול רפואי או תשלום עבור טיפול, כאשר הוא מזוהה או ניתן לזיהוי של אדם, ונמצא אצל גורמים המכוסים ב-HIPAA או מי שפועל מטעמם. המידע יכול להופיע במגוון פורמטים, כגון מסמכים, טפסים, הקלטות, מיילים או מערכות תפעוליות, וכל עוד ניתן לקשור אותו לאדם ולרכיב רפואי או תפעולי, הוא נחשב PHI. לכן נדרש להגדיר בצורה מדויקת אילו נתונים בארגון נכללים ב-PHI, מי נוגע בהם, לאילו מטרות ובאילו תנאים מותר להשתמש או לחשוף אותם.

ePHI – Electronic Protected Health Information

 PHI בפורמט אלקטרוני שמחייב בקרות אבטחה ייעודיות לפי Security Rule.
ePHI (Electronic Protected Health Information) הוא PHI שנוצר, נשמר, נשלח או מתקבל בצורה אלקטרונית, ולכן נדרש עבורו סט Safeguards מנהליים, פיזיים וטכניים לפי HIPAA Security Rule. בפועל זה כולל מידע רפואי במערכות ענן ו-SaaS, במאגרי נתונים, ב-CRM/מערכות מוקד, בקבצים משותפים, בדוא״ל ובגיבויים, וכן תעבורה בין מערכות וספקים. במסגרת ליווי HIPAA, אנו באינפוגארד ממפים היכן ePHI עובר ומאוחסן, מגדירים סיכונים ותלויות, ומתרגמים את הממצאים לדרישות בקרות כמו הרשאות, לוגים, הצפנה, הקשחות ותהליכי תגובה לאירועים, בהתאם לרמת הסיכון ולמבנה הארגון.

3. Breach Notification Rule

הקמת תהליך תגובה, תיעוד והודעות בהתאם לחובות הדיווח והמסגרות הרלוונטיות.
במקרה של אירוע המוגדר Breach של PHI לא מאובטח, נדרשות הודעות לנפגעים ולרגולטור בהתאם לכללים וללוחות זמנים, ובמקרים מסוימים גם פרסום נוסף.

איך נראה ליווי HIPPA שלנו ב8 שלבים

תהליך מקצה לקצה שמחבר בין פרטיות, אבטחה ותפעול ומייצר תכנית עבודה ברורה בשמונה סעיפים מרכזיים.

1. Scoping ותחולה: באינפוגארד אנו מגדירים את גבולות המערכת ומחדדים את הסטטוס הארגוני כ-Covered Entity או Business Associate.
2. מיפוי PHI/ePHI: אנו ממפים מערכות, מאגרים, תהליכים, משתמשים וספקים.
3. Risk Analysis ותכנית Remediation: אנו מבצעים ניתוח סיכונים ל-ePHI ומגדירים תכנית סגירת פערים עם תעדוף, אחריות ולוחות זמנים.
4. מדיניות ונהלים: אנו מנסחים ומעדכנים נהלים רלוונטיים, כולל הרשאות, עבודה מרחוק, מובייל, ניהול שינויים, שמירה ומחיקה.
5. ספקים ו-BAA: אנו בודקים סטטוס ספקים, מסדירים Business Associate Agreements ומקימים מנגנוני בקרה.
6. הדרכות: אנו בונים תוכנית הדרכה לפי תפקיד ומסדירים תיעוד.
7. Incident Response: אנו מקימים תהליך תגובה ודיווח לאירועים, כולל תבניות החלטה והודעות.
8. Compliance Pack: אנו מרכזים תיעוד, ראיות והוכחות יישום לצורך שאלונים וביקורות.

תוצרים

בסיום התהליך תקבלו תיק תוצרים שמאפשר יישום ובקרה לאורך זמן.

• Data Inventory ו-Data Flow ל-PHI/ePHI
• דו״ח Gap Analysis ותכנית עבודה
• דו״ח Risk Analysis ל-ePHI ותכנית Remediation
• סט מדיניות ונהלים
• הסדרת BAA וניהול ספקים
• תוכנית הדרכה ותיעוד
• Incident/Breach Playbook בהתאם למסגרות הדיווח
• מנגנון ניהול תיעוד ושימור מסמכים לפי דרישות Security Rule, כולל 6 שנים

למה HIPPA חשוב ברמה עסקית

HIPAA הוא לעיתים תנאי סף לעבודה עם ארגוני בריאות בארה״ב, ומסייע לעבור תהליכי Vendor Risk.

מעבר לציות, תהליך HIPAA משפר שליטה במידע, מפחית סיכון תפעולי ומעלה מוכנות לאירועים. אכיפה כוללת חקירות, הסדרי פשרה וקנסות, והדוגמאות מופיעות בפרסומי האכיפה של HHS OCR.

למי השירות שלנו מתאים

ארגונים שמחזיקים או נוגעים במידע רפואי במסגרת פעילות בארה״ב.

• חברות טכנולוגיה ובריאות דיגיטלית
• ספקי SaaS וענן עם לקוחות בתחום הבריאות
• מוקדים ותפעול עם גישה למידע רפואי
• ספקים שמוגדרים Business Associate בפועל או במסגרת ההתקשרות

האם HIPAA רלוונטי גם אם אנחנו יושבים בישראל?

אם אתם מספקים שירות לארגון בארה״ב והטיפול במידע רפואי הוא חלק מהשירות, ייתכן שתוגדרו Business Associate ותידרשו להסדרה חוזית ותפעולית בהתאם.

רוצים לוודא שההתאמה ל-HIPAA רלוונטית עבורכם?

אנחנו באינפוגארד נשמח לבצע בדיקת צרכים ממוקדת ולהבין היכן הארגון שלכם נוגע ב-PHI/ePHI, אילו ספקים מעורבים ומה רמת הסיכון בפועל.
לאחר השיחה נציע מפת דרכים קצרה לעמידה ב-HIPAA, כולל תעדוף משימות ותוצרים נדרשים לפי מודל הפעילות והדרישות החוזיות שלכם.

השאירו פרטים ונחזור אליכם לתיאום שיחת אבחון.