الإلتزام بإطار قانون HIPPA

أحد الأسئلة الأكثر شيوعًا التي نتلقاها هو "ما هو الامتثال لقانون HIPAA؟" لذلك من المهم تحديد الامتثال...

الإلتزام بإطار قانون HIPPA

أحد الأسئلة الأكثر شيوعًا التي نتلقاها هو "ما هو الامتثال لقانون HIPAA؟" لذلك من المهم تحديد الامتثال.

قانون نقل التأمين الصحي والمساءلة لعام 1996 ، المعروف باسم HIPAA ، هو سلسلة من المعايير التنظيمية التي تحدد الاستخدام القانوني والإفصاح عن المعلومات الصحية المحمية (PHI). يتم تنظيم الامتثال لقانون HIPAA من قبل وزارة الصحة والخدمات الإنسانية (HHS) ويفرضه مكتب الحقوق المدنية (OCR).

يأتي دور OCR في الحفاظ على الامتثال لقانون HIPAA الطبي في شكل إرشادات روتينية حول المشكلات الجديدة التي تؤثر على الرعاية الصحية وفي التحقيق في انتهاكات HIPAA الشائعة.

من خلال سلسلة من القواعد التنظيمية المتشابكة ، يعد الامتثال لقانون HIPAA ثقافة حية يجب على مؤسسات الرعاية الصحية تنفيذها في أعمالها من أجل حماية خصوصية وأمن وسلامة المعلومات الصحية المحمية.

ما هي المعلومات الصحية المحمية؟

المعلومات الصحية المحمية (PHI) هي أي معلومات ديموغرافية يمكن استخدامها لتحديد مريض أو عميل لكيان مدين بموجب قانون HIPAA. تشمل الأمثلة الشائعة على المعلومات الصحية المحمية الأسماء والعناوين وأرقام الهواتف وأرقام الضمان الاجتماعي والسجلات الطبية والمعلومات المالية وصور الوجه الكاملة على سبيل المثال لا الحصر.

تندرج المعلومات الصحية المحمية المنقولة أو المخزنة أو التي يتم الوصول إليها إلكترونيًا أيضًا ضمن معايير HIPAA التنظيمية وتُعرف باسم المعلومات الصحية الإلكترونية المحمية أو ePHI. تخضع ePHI لقانون HIPAA الأمني ، والذي كان ملحقًا لقانون HIPAA الذي تم سنه لمراعاة التغييرات في التكنولوجيا الطبية.

من الذي يجب أن يكون متوافقًا مع HIPAA؟

تحدد لائحة HIPAA نوعين من المنظمات التي يجب أن تكون متوافقة مع HIPAA.

 الكيانات المشمولة: يتم تعريف الكيان المغطى بواسطة لائحة HIPAA على أنه أي منظمة تجمع المعلومات الصحية المحمية أو تنشئها أو تنقلها إلكترونيًا. تشمل مؤسسات الرعاية الصحية التي تعتبر كيانات مغطاة مقدمي الرعاية الصحية ومراكز مقاصة الرعاية الصحية ومقدمي التأمين الصحي.
 شركاء الأعمال: يتم تعريف شريك العمل من خلال لائحة HIPAA على أنه أي منظمة تواجه المعلومات الصحية المحمية بأي شكل من الأشكال على مدار العمل الذي تم التعاقد معها لأدائها نيابة عن كيان مشمول. هناك العديد والعديد من الأمثلة لشركاء الأعمال بسبب النطاق الواسع لمقدمي الخدمة الذين قد يتعاملون مع المعلومات الصحية المحمية أو ينقلونها أو يعالجونها. تشمل الأمثلة الشائعة لشركاء الأعمال المتأثرين بقواعد HIPAA: شركات الفوترة ، وشركات إدارة الممارسة ، ومستشارو الطرف الثالث ، ومنصات EHR ، و MSPs ، وموفرو تكنولوجيا المعلومات ، وشركات الفاكس ، وشركات التمزيق ، وموفرو التخزين المادي ، وموفرو التخزين السحابي ، وخدمات استضافة البريد الإلكتروني ، والمحامين والمحاسبين وغيرهم الكثير.

ما هي قواعد HIPAA؟

يتكون تنظيم HIPAA من عدد من قواعد HIPAA المختلفة. تم تمرير جميع قواعد HIPAA في أكثر من 20 عامًا مرت وذهبت منذ أن تم سن HIPAA لأول مرة في عام 1996.

تتضمن قواعد HIPAA التي يجب أن تكون على دراية بها ما يلي:

 قاعدة خصوصية HIPAA: تحدد قاعدة خصوصية HIPAA المعايير الوطنية لحقوق المرضى في المعلومات الصحية المحمية. تنطبق قاعدة خصوصية HIPAA فقط على الكيانات المشمولة ، وليس شركاء الأعمال. تتضمن بعض المعايير الموضحة في قاعدة خصوصية HIPAA ما يلي: حقوق المرضى في الوصول إلى المعلومات الصحية المحمية وحقوق مقدمي الرعاية الصحية في رفض الوصول إلى المعلومات الصحية المحمية ومحتويات نماذج إطلاق HIPAA والاستخدام والإفصاح وإشعارات ممارسات الخصوصية والمزيد. يجب توثيق المعايير التنظيمية في سياسات وإجراءات HIPAA الخاصة بالمنظمة. يجب تدريب جميع الموظفين على هذه السياسات والإجراءات سنويًا ، مع تصديق موثق.
 HIPAA Security Rule: تحدد HIPAA Security Rule معايير وطنية للصيانة الآمنة ونقل ومعالجة ePHI. تنطبق قاعدة أمان HIPAA على كل من الكيانات المشمولة وشركاء الأعمال بسبب المشاركة المحتملة لـ ePHI. تحدد قاعدة الأمان معايير سلامة وسلامة ePHI ، بما في ذلك الضمانات المادية والإدارية والفنية التي يجب أن تكون سارية في أي مؤسسة رعاية صحية. يجب توثيق تفاصيل اللوائح في سياسات وإجراءات HIPAA الخاصة بالمؤسسة. يجب تدريب الموظفين على هذه السياسات والإجراءات سنويًا ، مع تصديق موثق.
 قاعدة إخطار خرق HIPAA: قاعدة إخطار خرق HIPAA هي مجموعة من المعايير التي يجب على الكيانات وشركاء الأعمال اتباعها في حالة حدوث خرق للبيانات يحتوي على معلومات PHI أو ePHI. تحدد القاعدة المتطلبات المختلفة للإبلاغ عن الخرق اعتمادًا على النطاق والحجم. يتعين على المنظمات الإبلاغ عن جميع الانتهاكات ، بغض النظر عن الحجم إلى HHS OCR ، لكن البروتوكولات المحددة للإبلاغ تتغير اعتمادًا على نوع الانتهاك. تم توضيح تفاصيل قاعدة الإخطار بخرق HIPAA في الأقسام أدناه.
 قاعدة HIPAA الشاملة: القاعدة الشاملة HIPAA هي إضافة إلى لائحة HIPAA التي تم سنها من أجل تطبيق HIPAA على شركاء الأعمال ، بالإضافة إلى الكيانات المشمولة. تنص القاعدة الشاملة لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) على أن شركاء العمل يجب أن يكونوا متوافقين مع HIPAA ، كما تحدد القواعد المحيطة باتفاقيات شركاء الأعمال (BAAs). اتفاقيات شركاء الأعمال هي عقود يجب تنفيذها بين كيان مشمول وشريك أعمال - أو بين شريكين في العمل - قبل أن يمكن نقل أو مشاركة أي معلومات صحية عامة أو ePHI. تم توضيح التفاصيل المتعلقة بـ BAAs بمزيد من العمق في الأقسام أدناه.

ما هو المطلوب للامتثال HIPAA؟

تحدد لائحة HIPAA مجموعة من المعايير الوطنية التي يجب على جميع الكيانات وشركاء الأعمال المشمولين معالجتها.

 عمليات التدقيق الذاتي - تتطلب HIPAA من الكيانات المشمولة وشركاء الأعمال إجراء عمليات تدقيق سنوية لمنظمتهم لتقييم الثغرات الإدارية والفنية والمادية وفقًا لمعايير HIPAA للخصوصية والأمان. بموجب قانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) ، لا يكفي تقييم المخاطر الأمنية ليكون متوافقًا - إنه تدقيق أساسي واحد فقط يتعين على الكيانات المملوكة لقانون HIPAA القيام به من أجل الحفاظ على امتثالها عامًا بعد عام.
 خطط الإصلاح - بمجرد أن تحدد الكيانات المشمولة وشركاء الأعمال ثغراتهم في الامتثال من خلال عمليات التدقيق الذاتي هذه ، يجب عليهم تنفيذ خطط العلاج لعكس انتهاكات الامتثال. يجب أن تكون خطط الإصلاح موثقة بالكامل وأن تتضمن تواريخ تقويمية يتم من خلالها معالجة الفجوات.
 السياسات والإجراءات وتدريب الموظفين - يجب على الكيانات المشمولة وشركاء الأعمال تطوير سياسات وإجراءات تتوافق مع المعايير التنظيمية HIPAA كما هو موضح في قواعد HIPAA. يجب تحديث هذه السياسات والإجراءات بانتظام لمراعاة التغييرات التي تطرأ على المنظمة. مطلوب تدريب الموظفين السنوي على هذه السياسات والإجراءات ، إلى جانب شهادة الموظف الموثقة التي تفيد بأن الموظفين قد قرأوا وفهموا كل من سياسات وإجراءات المنظمة. تعرف على المزيد حول تدريب HIPAA المجاني.
 التوثيق - يجب على المنظمات المملوكة لقانون HIPAA توثيق جميع الجهود التي تبذلها لتصبح متوافقة مع HIPAA. يعد هذا التوثيق بالغ الأهمية أثناء تحقيق HIPAA مع HHS OCR لاجتياز عمليات تدقيق HIPAA الصارمة.
 إدارة شركاء الأعمال - يجب على الكيانات المغطاة وشركاء الأعمال على حد سواء توثيق جميع البائعين الذين يشاركونهم المعلومات الصحية المحمية بأي شكل من الأشكال ، وتنفيذ اتفاقيات شركاء الأعمال لضمان التعامل مع المعلومات الصحية المحمية بشكل آمن وتخفيف المسؤولية. يجب مراجعة اتفاقيات BAA سنويًا لمراعاة التغييرات في طبيعة العلاقات التنظيمية مع البائعين. يجب تنفيذ BAAs قبل مشاركة أية معلومات صحية محمية.
 إدارة الحوادث - إذا كان لدى كيان مغطى أو شريك تجاري خرق للبيانات ، فيجب أن يكون لديهم عملية لتوثيق الخرق وإخطار المرضى بأن بياناتهم قد تم اختراقها وفقًا لقاعدة إخطار خرق HIPAA. تفاصيل محددة حول قاعدة إخطار خرق HIPAA واستكشافها أدناه.

ما هي العناصر السبعة لبرنامج الامتثال الفعال؟

أنشأ مكتب HHS للمفتش العام (OIG) العناصر السبعة لبرنامج الامتثال الفعال من أجل تقديم إرشادات للمؤسسات لفحص حلول الامتثال أو إنشاء برامج الامتثال الخاصة بها.

هذه هي المتطلبات الدنيا المطلقة التي يجب أن يتصدى لها برنامج الامتثال الفعال. بالإضافة إلى معالجة النطاق الكامل لمعايير HIPAA للخصوصية والأمان ، يجب أن يتمتع برنامج الامتثال الفعال بالقدرة على التعامل مع كل عنصر من العناصر السبعة.

العناصر السبعة لبرنامج الامتثال الفعال هي كما يلي:

 تنفيذ سياسات وإجراءات ومعايير سلوك مكتوبة.
 تعيين مسؤول الامتثال ولجنة الامتثال.
 إجراء التدريب والتعليم الفعال.
 تطوير خطوط اتصال فعالة.
 إجراء الرقابة والمراجعة الداخلية.
 إنفاذ المعايير من خلال إرشادات تأديبية معلنة جيدًا.
 الاستجابة الفورية للجرائم المكتشفة واتخاذ الإجراءات التصحيحية.

على مدار تحقيق HIPAA الذي أجراه OCR ردًا على انتهاك HIPAA ، سيقارن مدققو HIPAA الفيدراليون برنامج امتثال مؤسستك مقابل العناصر السبعة من أجل الحكم على فعاليته.

ما هو انتهاك HIPAA؟

انتهاك قانون نقل التأمين الصحي والمسؤولية (HIPAA) هو أي خرق في برنامج الامتثال الخاص بالمؤسسة والذي يضر بسلامة PHI أو ePHI.

يختلف انتهاك HIPAA عن خرق البيانات. ليست كل خروقات البيانات هي انتهاكات HIPAA. يصبح خرق البيانات انتهاكًا لقانون HIPAA عندما يكون الخرق ناتجًا عن برنامج امتثال غير فعال أو غير كامل أو قديم أو انتهاك مباشر لسياسات HIPAA الخاصة بالمؤسسة.

فيما يلي مثال على التمييز:

يحدث خرق البيانات عندما يكون لدى أحد موظفيك جهاز كمبيوتر محمول غير مشفر للشركة مع إمكانية الوصول إلى السجلات الطبية المسروقة.

يحدث انتهاك HIPAA عندما لا يكون لدى الشركة التي تمت سرقة جهاز الكمبيوتر المحمول الخاص بها سياسة معمول بها تمنع نقل أجهزة الكمبيوتر المحمولة إلى خارج الموقع أو تطلب تشفيرها.

بموجب لائحة HIPAA ، هناك بروتوكولات محددة يجب اتباعها في حالة حدوث خرق للبيانات. تحدد قاعدة الإخطار بخرق قانون نقل التأمين الصحي والمسؤولية (HIPAA) كيفية استجابة الكيانات وشركاء الأعمال المغطاة في حالة حدوث خرق.

الانتهاكات التي تؤثر على أقل من 500 فرد في ولاية قضائية واحدة. تتطلب قاعدة الإخطار بخرق قانون نقل التأمين الصحي والمسؤولية (HIPAA) من الكيانات جمع البيانات عن جميع الانتهاكات الصغيرة التي تحدث على مدار العام وإبلاغ HHS OCR بها في غضون 60 يومًا من نهاية السنة التقويمية التي حدثت فيها. يجب إخطار الأفراد المتأثرين بأن بياناتهم متورطة في خرق في غضون 60 يومًا من اكتشاف الخرق.

الانتهاكات التي تطال أكثر من 500 فرد في ولاية قضائية واحدة. تتطلب قاعدة إخطار خرق HIPAA إبلاغ HHS OCR بالانتهاكات الأكبر في غضون 60 يومًا من اكتشاف الخرق. بالإضافة إلى ذلك ، يجب إخطار أي أفراد متأثرين عند اكتشاف الخرق. يجب أيضًا الاتصال بوكالات إنفاذ القانون المحلية على الفور ، بالإضافة إلى وكالات الإعلام المحلية من أجل تنبيه الأفراد المحتمل تأثرهم داخل الولاية القضائية اللازمة.

يتم نشر جميع الخروقات التي تؤثر على 500 فرد أو أكثر على بوابة إخطار خرق HHS ، أو "جدار العار". HHS Wall of Shame هو أرشيف دائم لجميع انتهاكات HIPAA الناتجة عن الانتهاكات واسعة النطاق التي حدثت في الولايات المتحدة منذ عام 2009. تعد قاعدة البيانات القابلة للبحث هذه نتيجة ملموسة لانتهاك HIPAA الذي يمكن أن يضر بشكل دائم بسمعة مؤسسات الرعاية الصحية التي تعاني انتهاك HIPAA أو خرق واسع النطاق.

في عام 2017 ، فرض OCR أول تسوية لها بموجب قانون HIPAA لانتهاك قاعدة إخطار الخرق. كانت الغرامة البالغة 475000 دولار ضد Presence Health هي الأولى في تاريخ تطبيق HIPAA الذي يتم فرضه بسبب الإخفاق في اتباع قاعدة إخطار خرق HIPAA بشكل صحيح.

يفرض مدققو HIPAA الفيدراليون غرامات HIPAA على مقياس متدرج. تتراوح الغرامات بين 100 دولار و 50000 دولار لكل حادثة اعتمادًا على مستوى الإهمال المتصور. إذا اكتشف المدققون أن المؤسسة قيد التحقيق قد أهملت أداء "جهد حسن النية" نحو الامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) ، يمكن أن تصبح الغرامات فلكية. مع فرض غرامات تزيد عن 40 مليون دولار منذ عام 2016 ، أصبح الامتثال لقانون HIPAA أكثر أهمية الآن من أي وقت مضى.

ما هي انتهاكات HIPAA الشائعة؟

بعض الأسباب الشائعة لانتهاكات وغرامات HIPAA مذكورة هنا:

 كمبيوتر محمول مسروق
 هاتف مسروق
 جهاز USB مسروق
 حادثة البرامج الضارة
 هجوم رانسوم وير
 القرصنة
 خرق شركاء العمل
 خرق السجلات الصحية الإلكترونية
 اقتحام المكتب
 إرسال المعلومات الصحية المحمية إلى المريض / جهة الاتصال الخطأ
 مناقشة المعلومات الصحية المحمية خارج المكتب
 منشورات مواقع التواصل الاجتماعي

تندرج انتهاكات HIPAA هذه عادةً في عدة فئات:

 الاستخدام والإفصاح
 ضمانات أمنية غير مناسبة
 القاعدة الضرورية الدنيا
 ضوابط الوصول
 إشعار ممارسات الخصوصية

يحدث انتهاك الاستخدام والإفشاء عندما يوزع كيان مغطى أو شريك أعمال بشكل غير صحيح معلومات صحية محمية أو ePHI إلى طرف غير صحيح. أحد الأمثلة على ذلك هو إذا أرسل مكتب الطبيب معلومات صحية صحية بالبريد إلى صاحب عمل المريض دون الحصول على الإذن المناسب من المريض. هذا هو بالضبط الموقف الذي حدث في مايو 2017 عندما جبل سيناء. تم تغريم مستشفى Luke’s في مدينة نيويورك بمبلغ 387000 دولار. أرسلت عيادة فيروس نقص المناعة البشرية داخل نظام المستشفى حالة فيروس نقص المناعة البشرية الخاصة بالمرضى والسجلات الطبية إلى صاحب العمل دون الحصول على تصريح HIPAA المناسب. حقق OCR في الحادث ووجد أن الاستخدام غير السليم والإفصاح عن المعلومات الصحية المحمية يشكل تسوية HIPAA والغرامة ذات الصلة.

يمكن أن تؤدي إجراءات حماية HIPAA غير الصحيحة إلى انتهاك HIPAA عندما لا يتم اتباع معايير HIPAA Security Rule بشكل صحيح. من أجل الحفاظ على الامتثال لقاعدة أمان HIPAA ، يجب أن يكون لدى الكيانات الخاضعة لقانون HIPAA ضمانات مادية وإدارية وتقنية مناسبة للحفاظ على PHI و ePHI آمنين. في السنوات الأخيرة ، تصاعدت هجمات برامج الفدية ضد مؤسسات الرعاية الصحية المستهدفة. تبلغ قيمة البيانات الطبية ثلاثة أضعاف قيمة البيانات المالية في السوق السوداء ، مما يعني أن مؤسسات الرعاية الصحية معرضة بشكل متزايد لهجمات الأمن السيبراني. يمكن لضمانات الأمان HIPAA الدفاع عن مؤسسات الرعاية الصحية ضد برامج الفدية ومنع انتهاكات HIPAA.

القاعدة الضرورية الدنيا هي أحد مكونات قاعدة خصوصية HIPAA التي تعد سببًا شائعًا لانتهاكات HIPAA. تنص القاعدة الضرورية الدنيا على أنه لا يجوز لموظفي الكيانات المشمولة سوى الوصول إلى الحد الأدنى من المعلومات الصحية المحمية اللازمة لإكمال مهمة معينة أو استخدامها أو نقلها أو التعامل معها بأي شكل آخر. إذا تعرض جزء كبير من السجل الطبي للمريض لخرق البيانات بسبب عدم اتباع الحد الأدنى من القاعدة الضرورية ، فقد يؤدي ذلك إلى انتهاك قاعدة خصوصية HIPAA وغرامات HIPAA الناتجة.

تعد ضوابط الوصول جانبًا من جوانب تنظيم HIPAA الذي يحد من عدد الموظفين في المؤسسة الذين لديهم حق الوصول إلى المعلومات الصحية المحمية. يجب تقييد الوصول إلى المعلومات الصحية المحمية بناءً على أدوار ومسؤوليات الموظف المعني. إذا كانت ضوابط الوصول واسعة للغاية ، فإن المعلومات الصحية المحمية تكون معرضة لمخاطر غير ضرورية. إذا واجهت إحدى مؤسسات الرعاية الصحية خرقًا للبيانات بسبب ضوابط وصول HIPAA غير المناسبة ، فقد يؤدي ذلك إلى بعض الغرامات الكبيرة بسبب الإهمال.

يعد الحصول على إشعار بممارسات الخصوصية معيارًا إلزاميًا لقاعدة خصوصية HIPAA. يجب أن تسمح الكيانات المشمولة للمرضى بمراجعة الإشعار التنظيمي لممارسات الخصوصية والموافقة عليه قبل بدء العلاج. تفرض لائحة HIPAA على الكيانات المشمولة أن يتم نشر إشعار ممارسات الخصوصية الخاص بها على مرأى من المرضى لمراجعته ، بالإضافة إلى النسخ الورقية. يمكن أن تنتج انتهاكات قانون نقل التأمين الصحي والمسؤولية (HIPAA) الشائعة عن فشل الكيان المشمول في الكشف بشكل صحيح عن ممارسات الخصوصية الخاصة به أو خرقها. بموجب قانون الخصوصية لقانون نقل التأمين الصحي والمسؤولية (HIPAA) ، يتمتع المرضى بحقوق معينة في الوصول إلى بيانات الرعاية الصحية والمعلومات الصحية المحمية الخاصة بهم وخصوصيتها وتكاملها.