ملخص قاعدة أمان HIPAA

ملخص قاعدة أمان HIPAA

هذا ملخص للعناصر الرئيسية لقاعدة الأمان بما في ذلك من هو المشمول ، وما هي المعلومات المحمية ، وما هي الضمانات التي يجب وضعها لضمان الحماية المناسبة للمعلومات الصحية الإلكترونية المحمية. نظرا لأنه نظرة عامة على قاعدة الأمان ، فإنه لا يتناول كل تفاصيل كل حكم.

مقدمة
يتطلب قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة لعام 1996 (HIPAA) من وزير الصحة والخدمات الإنسانية الأمريكية (HHS) وضع لوائح تحمي خصوصية وأمن بعض المعلومات الصحية.1 للوفاء بهذا المطلب ، نشرت HHS ما يعرف باسم قاعدة خصوصية HIPAA وقاعدة أمان HIPAA. تضع قاعدة الخصوصية ، أو معايير خصوصية المعلومات الصحية التي يمكن تحديدها بشكل فردي ، معايير وطنية لحماية بعض المعلومات الصحية. تضع المعايير الأمنية لحماية المعلومات الصحية المحمية الإلكترونية (قاعدة الأمان) مجموعة وطنية من معايير الأمان لحماية بعض المعلومات الصحية التي يتم الاحتفاظ بها أو نقلها في شكل إلكتروني. تعمل قاعدة الأمان على تفعيل الحماية الواردة في قاعدة الخصوصية من خلال معالجة الضمانات التقنية وغير التقنية التي يجب على المنظمات المسماة "الكيانات المشمولة" وضعها لتأمين "المعلومات الصحية الإلكترونية المحمية" للأفراد (e-PHI). داخل HHS ، يتحمل مكتب الحقوق المدنية (OCR) مسؤولية إنفاذ قواعد الخصوصية والأمن من خلال أنشطة الامتثال الطوعي وعقوبات الأموال المدنية.

قبل HIPAA ، لم تكن هناك مجموعة مقبولة عموما من معايير الأمان أو المتطلبات العامة لحماية المعلومات الصحية في صناعة الرعاية الصحية. وفي الوقت نفسه، كانت التكنولوجيات الجديدة تتطور، وبدأت صناعة الرعاية الصحية في الابتعاد عن العمليات الورقية والاعتماد بشكل أكبر على استخدام نظم المعلومات الإلكترونية لدفع المطالبات، والإجابة على أسئلة الأهلية، وتوفير المعلومات الصحية، وإجراء مجموعة من الوظائف الإدارية والسريرية الأخرى.

اليوم ، يستخدم مقدمو الخدمات التطبيقات السريرية مثل أنظمة إدخال أوامر الطبيب المحوسبة (CPOE) ، والسجلات الصحية الإلكترونية (EHR) ، وأنظمة الأشعة والصيدلة والمختبرات. توفر الخطط الصحية الوصول إلى المطالبات وإدارة الرعاية ، بالإضافة إلى تطبيقات الخدمة الذاتية للأعضاء. في حين أن هذا يعني أن القوى العاملة الطبية يمكن أن تكون أكثر قدرة على الحركة وكفاءة (أي أنه يمكن للأطباء التحقق من سجلات المرضى ونتائج الاختبارات أينما كانوا) ، فإن الارتفاع في معدل اعتماد هذه التقنيات يزيد من المخاطر الأمنية المحتملة.

يتمثل أحد الأهداف الرئيسية لقاعدة الأمان في حماية خصوصية المعلومات الصحية للأفراد مع السماح للكيانات المشمولة باعتماد تقنيات جديدة لتحسين جودة وكفاءة رعاية المرضى. نظرا لأن سوق الرعاية الصحية متنوع ، فقد تم تصميم قاعدة الأمان لتكون مرنة وقابلة للتطوير حتى يتمكن الكيان المغطى من تنفيذ السياسات والإجراءات والتقنيات المناسبة لحجم الكيان الخاص والهيكل التنظيمي والمخاطر التي يتعرض لها المستهلكون e-PHI.

هذا ملخص للعناصر الرئيسية لقاعدة الأمان وليس دليلا كاملا أو شاملا للامتثال. تلتزم الكيانات التي تنظمها قواعد الخصوصية والأمان بالامتثال لجميع متطلباتها المعمول بها ويجب ألا تعتمد على هذا الملخص كمصدر للمعلومات أو المشورة القانونية. ولتيسير استعراض المتطلبات الكاملة لقاعدة الضمان، ترد في الملاحظات الختامية أحكام القاعدة المشار إليها في هذا الموجز. تفضل بزيارة قسم قاعدة الأمان لعرض القاعدة بالكامل، وللحصول على معلومات إضافية مفيدة حول كيفية تطبيق القاعدة. في حالة وجود تعارض بين هذا الملخص والقاعدة ، تسود القاعدة.

الخلفية القانونية والتنظيمية
تتطلب أحكام التبسيط الإداري لقانون قابلية التأمين الصحي والمساءلة لعام 1996 (HIPAA ، الباب الثاني) من سكرتير HHS نشر المعايير الوطنية لأمن المعلومات الصحية المحمية الإلكترونية (e-PHI) ، والتبادل الإلكتروني ، وخصوصية وأمن المعلومات الصحية.

دعت HIPAA السكرتير إلى إصدار لوائح أمنية فيما يتعلق بتدابير حماية سلامة وسرية وتوافر المعلومات الصحية المحمية الإلكترونية التي تحتفظ بها أو تنقلها الكيانات المشمولة. وضعت HHS قاعدة مقترحة وأصدرتها للتعليق العام في 12 أغسطس 1998. تلقت الإدارة ما يقرب من 2 تعليقا عاما. تم نشر اللائحة النهائية ، قاعدة الأمان ، في 350 فبراير 20.2 تحدد القاعدة سلسلة من إجراءات الأمان الإدارية والفنية والمادية للكيانات المشمولة لاستخدامها لضمان سرية وسلامة وتوافر المعلومات الصحية المحمية الإلكترونية.

يمكن العثور على نص اللائحة النهائية في 45 CFR الجزء 160 والجزء 164 ، الأجزاء الفرعية A و C.

من الذي تشمله قاعدة الأمن
تنطبق قاعدة الأمان على الخطط الصحية ، وغرف مقاصة الرعاية الصحية ، وعلى أي مقدم رعاية صحية ينقل المعلومات الصحية في شكل إلكتروني فيما يتعلق بمعاملة اعتمد فيها سكرتير HHS معايير بموجب HIPAA ("الكيانات المشمولة") وعلى شركائهم التجاريين. للمساعدة في تحديد ما إذا كنت مشمولا بالتغطية ، استخدم أداة قرار CMS.

اقرأ المزيد عن الكيانات المشمولة في ملخص قاعدة خصوصية HIPAA - PDF.

شركاء الأعمال
وسع قانون HITECH لعام 2009 مسؤوليات شركاء الأعمال بموجب قاعدة أمان HIPAA. وضعت HHS لوائح لتنفيذ وتوضيح هذه التغييرات.

اطلع على إرشادات إضافية حول شركاء الأعمال.

ما هي المعلومات المحمية
المعلومات الصحية المحمية الإلكترونية. تحمي قاعدة خصوصية HIPAA خصوصية المعلومات الصحية التي يمكن التعرف عليها بشكل فردي ، والتي تسمى المعلومات الصحية المحمية (PHI) ، كما هو موضح في قاعدة الخصوصية وهنا - PDF. تحمي قاعدة الأمان مجموعة فرعية من المعلومات التي تغطيها قاعدة الخصوصية ، وهي جميع المعلومات الصحية التي يمكن تحديدها بشكل فردي والتي ينشئها الكيان المشمول أو يستقبلها أو يحتفظ بها أو ينقلها في شكل إلكتروني. تسمي قاعدة الأمان هذه المعلومات "المعلومات الصحية المحمية الإلكترونية" (e-PHI).3 لا تنطبق قاعدة الأمان على المعلومات الصحية المحمية المرسلة شفهيا أو كتابيا.
قواعد عامة
تتطلب قاعدة الأمان من الكيانات المشمولة الحفاظ على ضمانات إدارية وفنية ومادية معقولة ومناسبة لحماية المعلومات الصحية المحمية الإلكترونية.

على وجه التحديد ، يجب على الكيانات المشمولة:

ضمان سرية وسلامة وتوافر جميع المعلومات الصحية المحمية الإلكترونية التي يقومون بإنشائها أو تلقيها أو صيانتها أو نقلها ؛
تحديد التهديدات المتوقعة بشكل معقول لأمن أو سلامة المعلومات والحماية منها ؛
الحماية من الاستخدامات أو الإفصاحات المتوقعة وغير المسموح بها بشكل معقول ؛ و
ضمان الامتثال من قبل القوى العاملة لديهم.4

تعرف قاعدة الأمان "السرية" على أنها تعني أن المعلومات الصحية المحمية الإلكترونية غير متاحة أو مكشوف عنها لأشخاص غير مصرح لهم. تدعم متطلبات السرية لقاعدة الأمان محظورات قاعدة الخصوصية ضد الاستخدامات غير السليمة والكشف عن المعلومات الصحية المحمية. تعزز قاعدة الأمان أيضا الهدفين الإضافيين المتمثلين في الحفاظ على سلامة وتوافر المعلومات الصحية المحمية الإلكترونية. بموجب قاعدة الأمان ، تعني "النزاهة" أن المعلومات الصحية المحمية الإلكترونية لا يتم تغييرها أو إتلافها بطريقة غير مصرح بها. "التوفر" يعني أن المعلومات الصحية المحمية الإلكترونية يمكن الوصول إليها واستخدامها عند الطلب من قبل شخص مخول.5

تدرك HHS أن الكيانات المشمولة تتراوح من أصغر مزود إلى أكبر خطة صحية متعددة الولايات. لذلك فإن قاعدة الأمان مرنة وقابلة للتطوير للسماح للكيانات المشمولة بتحليل احتياجاتها الخاصة وتنفيذ الحلول المناسبة لبيئاتها المحددة. يعتمد ما هو مناسب لكيان مغطى معين على طبيعة أعمال الكيان المشمول ، بالإضافة إلى حجم الكيان المغطى وموارده.

ولذلك، عندما يقرر كيان مشمول التدابير الأمنية التي ينبغي استخدامها، لا تملي القاعدة تلك التدابير بل تشترط على الكيان المشمول أن ينظر فيما يلي:

حجمها وتعقيدها وقدراتها ،
البنية التحتية التقنية والأجهزة والبرمجيات ،
تكاليف التدابير الأمنية، و
احتمالية المخاطر المحتملة على المعلومات الصحية المحمية الإلكترونية وتأثيرها المحتمل.6

يجب على الكيانات المشمولة مراجعة وتعديل إجراءاتها الأمنية لمواصلة حماية المعلومات الصحية المحمية الإلكترونية في بيئة متغيرة.7

تحليل المخاطر وإدارتها
وتقتضي أحكام الضمانات الإدارية الواردة في قاعدة الأمن من الكيانات المشمولة إجراء تحليل للمخاطر كجزء من عمليات إدارة الأمن لديها. وتعالج هنا أحكام قاعدة الأمن المتعلقة بتحليل المخاطر وإدارتها بصورة منفصلة لأن تحليل المخاطر يؤثر على تنفيذ جميع الضمانات الواردة في القاعدة الأمنية بالمساعدة على تحديد التدابير الأمنية المعقولة والمناسبة لكيان مشمول معين.
تشمل عملية تحليل المخاطر ، على سبيل المثال لا الحصر ، الأنشطة التالية:
تقييم احتمالية وتأثير المخاطر المحتملة على المعلومات الصحية المحمية الإلكترونية ؛8
تنفيذ التدابير الأمنية المناسبة لمعالجة المخاطر المحددة في تحليل المخاطر ؛9
توثيق التدابير الأمنية المختارة، وعند الاقتضاء، الأساس المنطقي لاعتماد تلك التدابير؛10 و
الحفاظ على الحماية الأمنية المستمرة والمعقولة والمناسبة.11

يجب أن يكون تحليل المخاطر عملية مستمرة ، حيث يقوم الكيان المشمول بمراجعة سجلاته بانتظام لتتبع الوصول إلى المعلومات الصحية المحمية الإلكترونية واكتشاف الحوادث الأمنية ،12 يقيم بشكل دوري فعالية التدابير الأمنية الموضوعة ،13 ويعيد تقييم المخاطر المحتملة على المعلومات الصحية المحمية الإلكترونية بانتظام.14

الضمانات الإدارية
عملية إدارة الأمن. كما هو موضح في القسم السابق ، يجب على الكيان المشمول تحديد وتحليل المخاطر المحتملة على المعلومات الصحية المحمية الإلكترونية ، ويجب عليه تنفيذ تدابير أمنية تقلل من المخاطر ونقاط الضعف إلى مستوى معقول ومناسب.
أفراد الأمن. يجب على الكيان المشمول تعيين مسؤول أمني مسؤول عن تطوير وتنفيذ سياساته وإجراءاته الأمنية.15
إدارة الوصول إلى المعلومات. تماشيا مع معيار قاعدة الخصوصية الذي يحد من استخدامات المعلومات الصحية المحمية والإفصاح عنها إلى "الحد الأدنى الضروري" ، تتطلب قاعدة الأمان من الكيان المشمول تنفيذ سياسات وإجراءات للسماح بالوصول إلى المعلومات الصحية المحمية الإلكترونية فقط عندما يكون هذا الوصول مناسبا بناء على دور المستخدم أو المستلم (الوصول المستند إلى الدور).16
تدريب وإدارة القوى العاملة. يجب أن يوفر الكيان المشمول التفويض والإشراف المناسبين لأعضاء القوى العاملة الذين يعملون مع المعلومات الصحية المحمية الإلكترونية.17 يجب على الكيان المشمول تدريب جميع أعضاء القوى العاملة فيما يتعلق بسياساته وإجراءاته الأمنية ،18 ويجب أن يكون لديها وتطبق العقوبات المناسبة ضد أفراد القوى العاملة الذين ينتهكون سياساتها وإجراءاتها.19
التقييم. يجب على الكيان المشمول إجراء تقييم دوري لمدى تلبية سياساته وإجراءاته الأمنية لمتطلبات قاعدة الأمان.20
الضمانات المادية
الوصول إلى المنشأة والتحكم فيها. يجب على الكيان المشمول تقييد الوصول المادي إلى منشآته مع ضمان السماح بالوصول المصرح به.21
محطة العمل وأمن الجهاز. يجب على الكيان المشمول تنفيذ سياسات وإجراءات لتحديد الاستخدام السليم لمحطات العمل والوسائط الإلكترونية والوصول إليها.22 يجب أن يكون لدى الكيان المشمول أيضا سياسات وإجراءات تتعلق بنقل الوسائط الإلكترونية وإزالتها والتخلص منها وإعادة استخدامها ، لضمان الحماية المناسبة للمعلومات الصحية الإلكترونية المحمية (e-PHI).23
الضمانات الفنية
التحكم في الوصول. يجب على الكيان المشمول تنفيذ السياسات والإجراءات الفنية التي تسمح فقط للأشخاص المصرح لهم بالوصول إلى المعلومات الصحية المحمية الإلكترونية (e-PHI).24
ضوابط التدقيق. يجب على الكيان المشمول تنفيذ الأجهزة والبرامج و / أو الآليات الإجرائية لتسجيل وفحص الوصول والأنشطة الأخرى في أنظمة المعلومات التي تحتوي على أو تستخدم المعلومات الصحية المحمية الإلكترونية.25
ضوابط النزاهة. يجب على الكيان المشمول تنفيذ سياسات وإجراءات لضمان عدم تغيير المعلومات الصحية المحمية الإلكترونية أو إتلافها بشكل غير صحيح. يجب وضع تدابير إلكترونية للتأكد من أن المعلومات الصحية المحمية الإلكترونية لم يتم تغييرها أو إتلافها بشكل غير صحيح.26
أمن الإرسال. يجب على الكيان المشمول تنفيذ تدابير أمنية تقنية تحمي من الوصول غير المصرح به إلى المعلومات الصحية المحمية الإلكترونية التي يتم إرسالها عبر شبكة إلكترونية.27
مواصفات التنفيذ المطلوبة والقابلة للعنونة
يتعين على الكيانات المشمولة الامتثال لكل قاعدة أمان "قياسية". ومع ذلك ، تصنف قاعدة الأمان مواصفات تنفيذ معينة ضمن تلك المعايير على أنها "قابلة للعنونة" ، في حين أن البعض الآخر "مطلوب". يجب تنفيذ مواصفات التنفيذ "المطلوبة". لا يعني التعيين "القابل للعنونة" أن مواصفات التنفيذ اختيارية. ومع ذلك ، فإنه يسمح للكيانات المشمولة بتحديد ما إذا كانت مواصفات التنفيذ القابلة للعنونة معقولة ومناسبة لذلك الكيان المشمول. وإذا لم يكن الأمر كذلك، فإن قاعدة الضمان تسمح للكيان المشمول باعتماد تدبير بديل يحقق الغرض من المعيار، إذا كان التدبير البديل معقولا ومناسبا.28
المتطلبات التنظيمية
مسؤوليات الكيان المغطاة. إذا كان الكيان المشمول على علم بنشاط أو ممارسة شريك الأعمال الذي يشكل خرقا ماديا أو انتهاكا لالتزام شريك الأعمال ، فيجب على الكيان المشمول اتخاذ خطوات معقولة لعلاج الخرق أو إنهاء الانتهاك.29 تشمل الانتهاكات الفشل في تنفيذ الضمانات التي تحمي المعلومات الصحية المحمية الإلكترونية بشكل معقول ومناسب.
عقود شركاء الأعمال. وضعت HHS اللوائح المتعلقة بالتزامات شركاء الأعمال وعقود شركاء الأعمال بموجب قانون HITECH لعام 2009.
السياسات والإجراءات ومتطلبات التوثيق
يجب على الكيان المشمول اعتماد سياسات وإجراءات معقولة ومناسبة للامتثال لأحكام القاعدة الأمنية. يجب أن يحتفظ الكيان المشمول ، حتى ست سنوات بعد تاريخ إنشائه أو تاريخ آخر تاريخ نفاذ ، بسياسات وإجراءات أمنية مكتوبة وسجلات مكتوبة للإجراءات أو الأنشطة أو التقييمات المطلوبة.30
مستجدات. يجب على الكيان المشمول مراجعة وتحديث وثائقه بشكل دوري استجابة للتغييرات البيئية أو التنظيمية التي تؤثر على أمان المعلومات الصحية المحمية الإلكترونية (e-PHI).31
قانون الولاية
الشفعة. بشكل عام ، يتم استباق قوانين الولاية التي تتعارض مع لوائح HIPAA من خلال المتطلبات الفيدرالية ، مما يعني أنه سيتم تطبيق المتطلبات الفيدرالية.32 تعني كلمة "مخالف" أنه سيكون من المستحيل على الكيان المشمول الامتثال لكل من متطلبات الولاية والمتطلبات الفيدرالية ، أو أن حكم قانون الولاية يمثل عقبة أمام تحقيق الأغراض والأهداف الكاملة لأحكام التبسيط الإداري لقانون HIPAA.33
الإنفاذ والعقوبات على عدم الامتثال
امتثال. تحدد قاعدة الأمان مجموعة من المعايير الوطنية لسرية وسلامة وتوافر المعلومات الصحية المحمية الإلكترونية. وزارة الصحة والخدمات الإنسانية (HHS) ، مكتب الحقوق المدنية (OCR) مسؤول عن إدارة وإنفاذ هذه المعايير ، بالتنسيق مع إنفاذها لقاعدة الخصوصية ، وقد تجري تحقيقات في الشكاوى ومراجعات الامتثال.
تواريخ الامتثال
جدول الامتثال. يجب أن تكون جميع الكيانات المشمولة ، باستثناء "الخطط الصحية الصغيرة" ، متوافقة مع قاعدة الأمان بحلول 20 أبريل 2005. كان أمام الخطط الصحية الصغيرة حتى 20 أبريل 2006 للامتثال.