מאת איתמר קשטלנסקי
המושג HIPAA אינו אומר הרבה לאנשי מחשבים רבים, אבל לאלו העוסקים במחשוב מערכות רפואיות ואנשי אבטחת מידע המושג אומר הרבה מאוד. HIPAA מתייחס לחוק שהתקבל בקונגרס האמריקאי בשנת 1996 שנושאו רפורמה במערכת הבריאות האמריקאית. החוק מכיל גם תקנות להעברת נתונים אלקטרונית, שמירה על פרטיות וחסיון רפואי ואבטחת מידע.
ההתעניינות בחוק מצד עולם המחשבים החלה בעיקר בשנה האחרונה, וזאת מכיוון שמשרד הבריאות האמריקאי פרסם את התקנות הסופיות העוסקות בהעברת נתונים אלקטרונית ופרטיות, ועתיד לפרסם את התקנות הסופיות בנושא אבטחת מידע.
מטרת החוק
המטרה העיקרית של החוק היא לחסוך למערכת הבריאות האמריקאית סכום בסדר גודל של כ-100 מיליארד דולר בשנה, על ידי ייעול המערכת בעזרת העברת נתונים אלקטרונית בפורמט EDI ושימוש בטבלאות קודים אחידות.
החוק מכיל מספר מקבצי תקנות כהעברת נתונים אלקטרונית וקידוד אחיד, פרטיות וחסיון רפואי, אבטחת מידע וקודי זיהוי ארציים עבור מעבידים, חברות ביטוח,ספקי שרות רפואי וכד'.
תקנות להעברת מידע וקידוד אחיד
לצורך העברת נתונים נבחר תקן ה-Electronic Document Interchange - EDI - הקיים כ-30 שנה ומשמש להעברת נתונים בין מערכות פיננסיות ומסחריות. תקן זה נבחר הן בגלל היותו תקן ותיק ומוכר והן בגלל שהתקנים המודרניים יותר להעברת נתונים כגון XML עדיין לא היו מוכרים בזמן הכנת התקנות (1996-1998).
במסגרת התקן פותחו כ-10 פורמטים שונים להעברת נתונים, הקשורים בעיקר לצד המנהלי של ביטוח הבריאות.
במקביל לקביעת תקן העברת הנתונים נקבעו גם טבלאות אחידות לקידוד הנתונים. הטבלאות שנבחרו הנן טבלאות הקיימות כיום במערכות רפואיות ומהוות סטנדרט "דה-פקטו" בתעשייה. בין הטבלאות שנבחרו: ICD9 ,CPT4 ,CDT ואחרות.
החוק והתקנות הכלולות בו אינם מחייבים לעבור להעברת נתונים אלקטרונית, אבל היתרונות הברורים והחסכון הכספי המשוער יגרמו לגופים רבים לעבור לשיטה זו. החוק כן מחייב את הגופים המשתמשים בהעברת נתונים אלקטרונית להשתמש ב-EDI וטבלאות הקידוד המוגדרות בו.
התקנות התקבלו באוגוסט 2000 ונכנסו לתוקף באוקטובר 2000, כרוב הארגונים חייבים לעמוד בדרישות החוק עד אוקטובר 2002.
המעבר להעברת נתונים אלקטרונית ורגישות המידע המועבר, חייבו גם להגדיר תקנות העוסקות בשמירה על פרטיות ואבטחת מידע. זאת, בעיקר כיוון שהמדיום הטבעי, הזמין והזול ביותר להעברת נתונים הנו האינטרנט.
תקנות לשמירת פרטיות וחיסיון רפואי
שמירה על פרטיות הינה נושא קשה ובעייתי ביותר בארה"ב. משרד הבריאות האמריקאי פרסם את תקנות הפרטיות לאחר שהקונגרס האמריקאי לא הצליח להגדיר תקנות אלו בעצמו, עד למועד שנקבע בחוק המקורי (אוגוסט 1999).
כפורסמה טיוטת התקנות התקבלו כ-52 אלף הסתייגויות לתקנות המוצעות מהציבור הרחב ומארגונים שונים. גם כיום, לאחר פרסום התקנות הסופיות, עלו הסתייגויות רבות וממשל בוש נתן אפשרות לקבלת הסתייגויות נוספות.
במידה ולא יהיו עיכובים נוספים, התקנות יכנסו לתוקף באפריל 2001 וכל הארגונים יחויבו לעמוד בהן עד אפריל 2003.
התקנות מגדירות מהו מידע רפואי מוגן, מהן זכויות החולה לגבי המידע ולמי, מתי ובאילו נסיבות ניתן להעביר מידע מוגן. כיצד ניתן להשתמש במידע לצורכי מחקר (הרשאות ועיקור מידע). שימוש במידע לצרכי גיוס תרומות ושיווק. ניהול רישום העברת מידע (AUDIT).
התקנות מחייבות הגדרה, יישום והטמעת מדיניות שמירה על פרטיות העומדת בדרישות החוק והמתאימה לאופי מבנה הארגון וצורת עבודתו.
מהו מידע רפואי מוגן?
כל מידע רפואי, בכתב בעל פה ואלקטרוני, המכיל פרטים שיאפשרו במישרין או בעקיפין לזהות את נשוא המידע.
החולה/מבוטח/לקוח רשאי: לקרוא ולהעתיק את המידע הרפואי, להכניס שינויים במידע הנ"ל (תוך הגבלות וביקורת), לאסור הפצת מידע עליו, לדעת למי הועבר המידע (AUDIT) וכן מה מדיניות שמירה על פרטיות הנהוגה בארגון.
העברת מידע בין גופים מאושרים מחויבת לעמוד בכלל ה"מינימום הדרוש", כלומר יש להעביר לצד המקבל רק את מינימום המידע הדרוש לצרכי עבודתו.
כל ארגון שיש לו מגע ישיר עם המטופל חייב להחתים אותו טופס ויתור סודיות לצרכי מנהלה וטיפול. אי עמידה בתקנות אלו כרוכה בעונשים כבדים בצורה של קנסות גבוהים ועונשי מאסר של עד 5 שנים.
אבטחת מידע וחתימה אלקטרונית
מטרת התקנות לאבטחת מידע היא לקבוע סטנדרטים, שיאפשרו זרימה חופשית של מידע רפואי בין הגופים השונים תוך עמידה בתקנות הפרטיות, שמירה על שלמות המידע וזמינותו.
התקנות אינן מגדירות טכנולוגיה מסוימת, כיון שטכנולוגיות כאלו משתנות חדשות לבקרים. התקנות מגדירות את חובות הארגון להגדרת מדיניות אבטחת מידע, יישומה, הטמעתה ועדכונה.
התקנות מתייחסות לאבטחת מידע באספקטים שונים של מנהלה - מדיניות, נהלים, חלוקת סמכויות, אחריות, בקרת גישה, ניהול תצורת אבטחה, תוכניות התאוששות וסקר סיכונים.
אבטחה פיזית - בקרת גישה, נהלים, טיפול באורחים, נעילה והדרכה למודעות. טכנולוגיה - אפשריות גישה בעת חירום, בקרה (LOG), זיהוי משתמשים וזיהוי מידע. בקרת שידור - שליטה ובקרה, הצפנה, בקרת גישה ודיווח אירועים.
תקנות אבטחת המידע של HIPAA מחייבות את הארגון לקבוע וליישם אבטחת מידע ברמה מסוימת, וגם נותנות אמצעי לבחינת רמת אבטחת המידע בארגון.
השפעת חוק HIPAA על מערכת הבריאות בישראל
חוק ה-HIPAA הוא חוק אמריקאי ואינו מחייב ישירות אף גורם במדינת ישראל, למעט את אותם בתי התוכנה וחברות ההיי-טק המפתחות מערכות המיועדות למערכת הבריאות האמריקאית. עם זאת, בהחלט תהיה לו השפעה על מערכות המחשוב ברפואה בכלל ועל אבטחת המידע בפרט.
עיקר ההשפעה של HIPAA תהיה בשני תחומים:
העברת נתונים אלקטרונית וקידוד אחיד - השימוש בסטנדרטים אחידים יאפשר את הגברת שיתוף פעולה בין ארגוני הבריאות השונים בארץ, שיפור השירות למבוטחים וחיסכון בעלויות.
אבטחת מידע - בתחום זה תהיה ל-HIPAA משמעות רבה, כיוון שזאת הדוגמה הראשונה לח
HIPAA היי!
קוראים כותבים
27.6.2001 / 13:28