ما هو الامتثال HIPAA ولماذا هو مهم؟

نشرت: 2021-06-22

ماذا يعني HIPAA؟

ما هو قانون HIPAA بالضبط وما الذي يتعين عليك القيام به كشركة للبقاء على الجانب الصحيح من اللوائح المرتبطة بها؟

ترمز HIPAA إلى قانون التأمين الصحي وقابلية النقل والمساءلة ، والذي أقره الكونجرس في عام 1996.

ومنذ ذلك الحين تم تحديث HIPAA والبناء عليه ، وعلى الأخص مع قانون HITECH لعام 2009 (تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية) و 2013 القاعدة الشاملة.

وسعت هذه معًا المسؤولية تجاه Business Associates ومقاوليهم من الباطن ، بالإضافة إلى حماية أكثر صرامة حول كيفية استخدام المعلومات الصحية المحمية فيما يتعلق بالتسويق والمبيعات.

بينما يتعلق قانون نقل التأمين الصحي والمسؤولية (HIPAA) بعدد من المجالات ، بما في ذلك تغطية الرعاية الصحية للأشخاص الذين يفقدون أو يغيرون وظائفهم والأحكام المتعلقة بالضرائب ، فإن تركيزنا الرئيسي سيكون على الباب الثاني من القانون ، والذي يتعلق بتبادل وأمن وخصوصية البيانات الصحية و ما يهم الغالبية العظمى من الشركات عندما يتعلق الأمر بالامتثال.

دعنا نقفز مباشرة وننتقل إلى كل ما تحتاج لمعرفته حول HIPAA وما هي مفاتيح النجاح للامتثال HIPAA.

تأثير الاشتراك في بلوق راية

ما هو الغرض من HIPAA؟

كما أشرنا للتو ، فإن HIPAA لها عدة أغراض خارج حماية البيانات - تتعلق على وجه التحديد بإصلاح قانون التأمين الصحي.

ومع ذلك ، بالنسبة لمعظم المنظمات التي تبحث عن قانون HIPAA ، فإن هدفها الأساسي هو معرفة ما يتعين عليهم القيام به من أجل البقاء ملتزمًا بلوائحها وتجنب الغرامات التي تأتي من عدم الامتثال.

يتعلق هذا المجال من HIPAA بحماية البيانات والخصوصية فيما يتعلق بالكشف عن المعلومات الصحية المحمية واستخدامها ، أو PHI.

يعد الامتثال لقانون HIPAA وأمن المعلومات الصحية المحمية أمرًا بالغ الأهمية للمنظمات الصحية اليوم.

صورة لرجل بيده وكلمة HIPAA فوقه | ما هو HIPAA؟

من عليه الالتزام بقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)؟

تُعرف الكيانات التي يتعين عليها الالتزام بقانون HIPAA بالكيانات المشمولة.

الكيانات المشمولة هي أشخاص أو شركات تخزن المعلومات الصحية المحمية وتعالجها وتعالجها.

الكيانات المشمولة ، بالإضافة إلى الالتزام بقانون HIPAA ، مسؤولة أيضًا عن الإبلاغ عن الانتهاكات المتعلقة بها.

يشكل الأفراد والمنظمات التالية كيانات مشمولة:

مقدمي الرعاية الصحية

  • الأطباء
  • عيادات
  • علماء النفس
  • أطباء الأسنان
  • مقومو العمود الفقري
  • دور رعاية المسنين
  • صيدليات
  • الخطط الصحية

شركات التأمين الصحي

  • صناديق المرضى
  • الخطط الصحية للشركة
  • خطط الرعاية الصحية المقدمة من الحكومة

مقاصة الرعاية الصحية

  • هذه هي الكيانات التي تسهل معالجة المعلومات الصحية غير القياسية في عناصر البيانات القياسية. هؤلاء هم وسطاء فعليين بين مقدمي الرعاية الصحية ودافعي التأمين.

شركاء الأعمال

  • يقوم "شريك العمل" بإنشاء المعلومات الصحية المحمية (PHI) أو استلامها أو صيانتها أو نقلها نيابة عن كيان مشمول أو شريك أعمال آخر يعمل كمقاول من الباطن.

الباطن

  • يتحمل المتعاقد من الباطن الذي ينشئ معلومات صحية محمية (PHI) أو يحافظ عليها أو ينقلها نيابةً عن شريك أعمال نفس المسؤوليات القانونية كشريك أعمال بموجب قانون HIPAA. بعبارة أخرى ، تتدفق المسؤوليات القانونية المتعلقة بالخصوصية والأمان "النهائية" إلى المقاولين من الباطن الذين يؤدون العمل لشريك الأعمال.

الكيانات الهجينة

  • يؤدي الكيان المختلط الوظائف المغطاة وغير المغطاة بموجب قانون HIPAA كجزء من أعماله. قد تختار شركة كبيرة لديها خطة صحية مؤمنة ذاتيًا لموظفيها أن يتم معاملتها ككيان هجين. ومن الأمثلة الأخرى جامعة بها مركز طبي أو متجر بقالة به صيدلية.

ماذا تشمل PHI؟

تشير المعلومات الصحية الشخصية (PHI) إلى أي معلومات ديموغرافية يمكن استخدامها لتحديد هوية المريض أو العميل أو أي كيان آخر.

هناك 18 معرّفًا تجعل المعلومات المتعلقة بالصحة تعتبر معلومات صحية محمية. هؤلاء هم:

  1. الأسماء
  2. التواريخ ماعدا السنة
  3. البيانات الجغرافية
  4. أرقام الفاكس
  5. أرقام الضمان الاجتماعي
  6. عناوين البريد الإلكتروني
  7. أرقام السجلات الطبية
  8. أرقام الحساب
  9. أرقام المستفيدين من خطة الرعاية الصحية
  10. رقم الشهادة / الترخيص
  11. معرّفات المركبات والأرقام التسلسلية ، بما في ذلك أرقام لوحات الترخيص
  12. أرقام الهواتف
  13. عناوين المواقع على شبكة الإنترنت
  14. معرفات الجهاز والأرقام التسلسلية
  15. عناوين بروتوكول الإنترنت (IP)
  16. صور كاملة الوجه وصور قابلة للمقارنة
  17. معرّفات القياسات الحيوية (بصمات الأصابع ، على سبيل المثال)
  18. أي أرقام أو أكواد تحدد هوية شخص ما بشكل فريد

هذه هي أنواع البيانات والمعلومات التي يجب حمايتها حتى تظل متوافقة مع HIPAA.

ما الذي يعتبر انتهاكًا لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA)؟

يحدث انتهاك قانون نقل التأمين الصحي والمسؤولية (HIPAA) عندما لا يلتزم أحد الكيانات بالامتثال ، وهناك مئات الطرق التي يمكن للأفراد والمؤسسات من خلالها أن يقعوا تحت طائلة الامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA).

ستشمل الانتهاكات الشائعة لقانون إخضاع التأمين الصحي لقابلية النقل والمحاسبة (HIPAA) عادةً أحد الإجراءات التالية:

  • الكشف غير المصرح به أو غير المسموح به أو غير الضروري عن المعلومات الصحية المحمية
  • الوصول غير المصرح به إلى المعلومات الصحية المحمية
  • التخلص غير الصحيح من المعلومات الصحية المحمية
  • عدم إجراء تقييم للمخاطر من قبل الجهة
  • عدم وجود إدارة للمخاطر فيما يتعلق بالمعلومات الصحية المحمية
  • عدم إنشاء اتفاقية امتثال HIPAA مع أطراف ثالثة عند توفير الوصول إلى المعلومات الصحية المحمية
  • عدم توفير الوعي الأمني ​​للموظفين بتدريب HIPAA
  • سرقة المعلومات الصحية المحمية
  • مشاركة المعلومات الصحية المحمية بدون إذن مسبق
  • سوء التعامل / إرسال غير مبرر للمعلومات الصحية المحمية
  • عدم إبلاغ الفرد بحادث أمني يتضمن معلومات صحية محمية في غضون 60 يومًا من اكتشاف الخرق
  • لا يوجد توثيق لبروتوكولات الامتثال والإجراءات والإدارة

ماذا يحدث إذا تم انتهاك HIPAA؟

يحدث انتهاك HIPAA عندما يتم انتهاك أي جانب من جوانب معايير وأحكام HIPAA.

يمكنك العثور على ملخص كامل لجميع لوائح HIPAA ، التي نشرها مكتب وزارة الصحة والخدمات الإنسانية للحقوق المدنية ، هنا.

إذا تم الإبلاغ عن انتهاك ، فإن الكيان المشمول يخضع لعقوبات ، سواء كانت مدنية أو جنائية - يمكن أن تختلف العقوبات بشكل كبير ، اعتمادًا على الانتهاك.

عادةً ما يقوم مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية الأمريكية (OCR) بالتحقيق في الانتهاكات - وسيحقق في جميع الكيانات المشمولة التي أبلغت عن انتهاكات لأكثر من 500 سجل.

إذا قرر مكتب الحقوق المدنية أن قضية معينة جنائية وليست مدنية ، فسيحيلها إلى وزارة العدل.

في معظم الحالات ، يمكن للأفراد توقع دفع 100 دولار لكل انتهاك ؛ تكرار الانتهاكات يمكن أن يتسبب في غرامات تصل إلى 25000 دولار.

في الحالات التي يكون فيها الأفراد قد أظهروا إهمالًا متعمدًا للوائح HIPAA ولم يبذلوا أي محاولة لتصحيح سياساتهم وإجراءاتهم ، يمكن فرض غرامة لا تقل عن 50000 دولار ، بحد أقصى 1.5 مليون دولار.

في القضايا الجنائية ، من الممكن إصدار أحكام أقل تصل إلى 50000 دولار وسجن لمدة تصل إلى عام واحد - بحد أقصى غرامة تصل إلى 250 ألف دولار والسجن لمدة تصل إلى 10 سنوات.

بالنسبة للإجراءات المدنية ، يتم تصنيف الانتهاكات إلى مستويات ، حيث تكون الدرجة 4 هي الأشد.

وهم على النحو التالي:

  • المستوى 1: انتهاك لم يكن الكيان المغطى على علم به ولا يمكن تجنبه.
  • المستوى 2: انتهاك يجب أن يكون الكيان المشمول على علم به ولكن لا يمكنه تجنبه.
  • المستوى 3: المخالفة التي حدثت كنتيجة مباشرة للإهمال المتعمد ، ولكن حيث جرت محاولة لتصحيح المخالفة.
  • المستوى الرابع: المخالفة التي تشكل إهمالاً متعمداً حيث لم يتم القيام بأي محاولة لتصحيح المخالفة.

العقوبات على عدم الامتثال HIPAA لكل مستوى هي كما يلي:

  • المستوى 1: غرامة لا تقل عن 100 دولار لكل مخالفة تصل إلى 50000 دولار
  • المستوى 2: غرامة لا تقل عن 1000 دولار لكل مخالفة تصل إلى 50000 دولار
  • المستوى 3: غرامة لا تقل عن 10000 دولار لكل انتهاك تصل إلى 50000 دولار
  • المستوى 4: غرامة لا تقل عن 50،000 دولار

تختلف الإجراءات الجنائية قليلاً ، حيث تشتمل على ثلاث مستويات وعقوبات أشد بكثير من الإجراءات المدنية.

وهم على النحو التالي:

  • المستوى 1: سبب معقول أو عدم وجود علم بالانتهاك
  • المستوى 2: الحصول على المعلومات الصحية المحمية بحجج كاذبة
  • المستوى 3: الحصول على المعلومات الصحية المحمية لتحقيق مكاسب شخصية أو بقصد ضار

عقوبات جنائية:

  • المستوى 1: ما يصل إلى عام واحد (1) في السجن
  • المستوى 2: ما يصل إلى خمس (5) سنوات في السجن
  • المستوى 3: ما يصل إلى 10 سنوات في السجن

صورة لرجل بيده وكلمة HIPAA فوقه | ما هو HIPAA؟

هل يمكنني الحصول على شهادة HIPAA؟

في وقت كتابة هذا التقرير ، لا يوجد شيء مثل شهادة الامتثال HIPAA أو التحقق.

قد تقدم الأطراف الخارجية شكلاً من أشكال "شهادة HIPAA" ، ولكن لا توجد شهادة معتمدة أو إلزامية رسميًا تقدمها HHS.

لا توجد مواصفات معيارية أو تنفيذية تتطلب من كيان مغطى "التصديق" على الامتثال. يتطلب معيار التقييم § 164.308 (أ) (8) من الكيانات المشمولة إجراء تقييم تقني وغير تقني دوري يحدد إلى أي مدى تفي السياسات والإجراءات الأمنية للكيان بمتطلبات الأمن. - مكتب الحقوق المدنية (OCR)

لذلك ، على الرغم من عدم وجود شهادة HIPAA ، يمكن للعديد من الجهات الخارجية MSSPs إجراء تقييمات دورية عند الضرورة والتأكد من امتثالك لقانون HIPAA.

ما هو ضابط HIPAA؟

ضابط HIPAA هو ضابط الامتثال.

سواء كانوا في المنزل أو تم تعيينهم كطرف ثالث ، فإن وظيفتهم الأساسية ستكون ضمان امتثالك لقانون HIPAA من خلال التأكد من تطبيق بروتوكولات الأمان والخصوصية الخاصة بك لبيانات PHI بشكل صحيح.

في الحالات التي لا توجد فيها مثل هذه السياسة ، سيكون موظف HIPAA مسؤولاً عن تطوير وتنفيذ خطة الامتثال للفرد أو المنظمة.

سيكونون بعد ذلك مسؤولين عن الحفاظ على البرنامج ومراقبته ، والتحقيق والإبلاغ عند الضرورة القانونية والتأكد من حماية بيانات المريض أو العميل على النحو المطلوب بموجب قانون الولاية والقانون الفيدرالي.

ما هو مفتاح النجاح للامتثال HIPAA؟

إذا كنت تقرأ هذه المقالة (أو تقشطها) وشعرت أن نبضك يرتفع قليلاً بالنظر إلى عقوبات عدم الامتثال ، فلا داعي للقلق.

لا يتطلب الأمر الكثير لضمان امتثالك لقانون HIPAA ، ولكن هناك بالتأكيد بعض مفاتيح النجاح في الامتثال لقانون HIPAA التي من الأفضل أن تتبعها المنظمات.

أولاً ، يجب عليك البحث عن موفر خدمة أمان مُدار يقوم بإجراء تقييمات HIPAA للحضور ومراجعة أنظمتك من أجل الامتثال HIPAA.

بمجرد قيامهم بإجراء تقييم المخاطر ، سيكونون قادرين على التوصية وتنفيذ عمليات التنفيذ التي تحتاجها للتأكد من أنك تفعل كل ما هو ممكن للحفاظ على الامتثال.

ما هو تقييم مخاطر HIPAA؟

منشورات ذات صلة: ماذا يحدث أثناء تدقيق مخاطر الأمن السيبراني؟

تدقيق الامتثال لقانون نقل التأمين الصحي والمسؤولية (HIPAA) هو التقييم الذي يتم إجراؤه بواسطة مسؤول الامتثال والذي سيتعمق في الأنظمة وبروتوكولات الأمان الخاصة بك.

أولاً ، سيحتاجون إلى التعاون معك في تحديد نطاق التدقيق - المرتبط بشكل رئيسي بالتزاماتك (في هذه الحالة ، HIPAA هي الأولوية الرئيسية ، على الرغم من أنك قد تحتاج إلى الامتثال للوائح الأخرى أيضًا).

سيقومون بعد ذلك بوضع جدول زمني للتدقيق والانتقال إلى المرحلة التالية ؛ إعدام. يتضمن هذا الجزء فحص الثغرات الأمنية واختبار الاختراق وتحليل الثغرات.

في حالة تقييم المخاطر للامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) ، سيكون من الضروري إجراء تحليل الفجوة ، حيث أن هذا هو المكان الذي سيقوم فيه مسؤول الامتثال لقانون HIPAA بالتفصيل بما يجب القيام به لجعلك أنت أو شركتك في حالة امتثال.

بمجرد الانتهاء من تدقيق الامتثال HIPAA ، سيقدم مسؤول الامتثال توصياته ويمكنك الحصول على فهم واضح لما يجب القيام به.

يمكنك أيضًا اغتنام هذه الفرصة لتفويض تنفيذ هذه التوصيات إلى MSSP ، وفي هذه الحالة يمكنك توقيع عقد طويل الأجل معهم - مما يسمح لك بمباشرة أعمالك وإدارتها بينما يعتني مزود خدمة الأمان المُدار بالامتثال .

إذا كنت ترغب في معرفة المزيد حول الامتثال لقانون HIPAA وما يمكن لمزود خدمة الأمان المُدارة القيام به من أجلك ، فقم بإلقاء نظرة على صفحة خدمات الامتثال الخاصة بنا.