מהו תקן HIPAA? מהי חשיבותו ולמי הוא מיועד? על כך ועוד בכתבה שלפניכם.
HIPAA הינו תקן אבטחת איכות המיועד לצרכי הגנה על מידע רפואי. תקן זה מעוגן בחקיקה האמריקאית והוא מחייב את כלל הגופים העוסקים בתחום הבריאות, לרבות, ספקי שירות בריאות וספקי שירות בתחום מערכות המידע הרפואיות. יחד עם זאת, חשוב לציין שאופן השימוש בתקן זה נעשה בהתאם לגודלו ומבנהו של הארגון המחויב לעשות בו שימוש.
מטרת התקן HIPAA
תקן HIPAA (HEALTH INSURANCE PROBABILIY ACCOUNTABILITY ACT) נחקק לצורך קביעת תצורה אחידה של ניהול המידע הרפואי באמצעים ממוחשבים כאלו ואחרים. לפיכך, מטרת התקן היא להסדיר את ההיבטים הנדרשים להליכי ניהול, אחסון והעברת מידע רפואי תוך שימוש בטכנולוגיות כאלו ואחרות. קביעת התקן מבוססת על זכותו של כל אדם לפרטיות מוחלטת בכל הנושאים הקשורים למצבו הרפואי ולכן תקן זה מחייב את כלל העוסקים בתחומי הרפואה.
הטמעת התקן HIPAA במערכות המחשוב כיצד?
עמידה בתקנים של HIPAA מתבצעת בהתאם ליישום רגולציית HIPAA והטמעתה במערכת המחשוב בה אתם עוסקים שימוש כמוסד רפואי ו/או כנותני שירותים בתחום מערכות המידע הרפואיות. הטמעת התקן מתבצעת במספר שלבים שונים הכוללים:
- בדיקה ובחינה של כל המערכות הקיימות בהם נאגר המידע הרפואי – בדיקה זו נועדה לצרכי הגדרת שמות המשתמשים במערכות, הגדרת הרשאות כניסה למערכת, אופן הפקת דו"חות מתוך המערכות ועוד.
- בדיקה מקצועית של כל התשתיות בהן נעשה שימוש, לרבות, תשתיות תקשורת, תשתיות אחסון וגיבויים, תשתיות אבטחת מידע וכדומה.
- הגדרת נהלי עבודה בתחום אבטחת המידע – שלב זה כולל גם הדרכות שונות בתחום אבטחת המידע וחשיבותו לכלל משתמשי המערכת. בשלב זה, קיימת חשיבות רבה לאופן בו מוגדרות רמות הסיכון אליהן חשוף הארגון בכל הנוגע לזליגת מידע רפואי והמענה הניתן לאיומים אלו.
חשוב לציין שהטמעת התקן הינה בגדר חובה לכלל המוסדות, הגופים והחברות העוסקים במתן שירותים רפואיים, כאשר החוק מאפשר לכל ארגון להגדיר בעצמו את אופן הליך הטמעת רגולציית HIPAA בהתאם לגודלו, יכולותיו, התשתיות הטכנולוגיות בהן הוא עושה שימוש ופרמטרים נוספים הנקבעים על ידי הארגון ואנשי המקצוע המספקים לו שירותי מחשוב כאלו ואחרים.
