HIPAA | רגולציה אמריקאית להגנה על מידע רפואי
יישום והטמעת רגולציית HIPAA
HIPAA – Health Insurance Probability and Accountability Act
השאירו פרטים כאן לקבלת מידע טלפוני אודות רגולציית HIPAA או התקשרו ל- 03-9550222
רגולציית (HIPAA (Health Insurance Probability and Accountability Act הינה חקיקה אמריקאית הקובעת צורה אחידה לניהול, אחסון, העברה ומניעת דליפה של מידע רפואי דיגיטלי אל גורמים לא מורשים.
המטרה המרכזית של HIPAA הינה שמירה על פרטיות המידע הבריאותי של המטופלים תוך מתן אפשרות לשימוש בטכנולוגיות חדישות לשיפור האיכות והיעילות של הטיפול במטופלים.
HIPAA מהווה מודל להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדירה כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים.
רגולציה זו היא חלוצה בתחום הפרטיות, לאור כניסתן של רגולציות העוסקות במידע אישי לדוגמת תקנות הגנת הפרטיות האירופאיות (GDPR) ותקנות הגנת הפרטיות לאבטחת המידע הישראליות.
החקיקה עצמה הועברה בקונגרס האמריקאי על מנת שהגופים האמריקאים בלבד יעמדו בו, אך עם השנים ולאור פריסתה של התעשייה האמריקאית בכל העולם – הפכה החקיקה לשם דבר בקרב רגולטורים, בעלי עניין ומשמשת "תקינה" לניהול אבטחת המידע עבור חברות הפועלות בשוק הרפואי.
לכל המאמרים אודות תקנות הגנת הפרטיות
לכל המאמרים אודות רגולצית הגנת הפרטיות האירופאית
חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2011 ומאז אנו מספקים ללקוחותינו שירותים מתחום אבטחת המידע בשלושה אספקטים:
- משפטי – בדיקת חשיפת הארגון לרגולציות מתחום הגנת הפרטיות: GDPR, HIPAA, CCPA, תקנות הגנת הפרטיות ועוד.
- ארגון ושיטות עבודה – סקירת נהלי הארגון בתחום אבטחת המידע ושיטות העבודה הנהוגות בחברה, כגון: מדיניות החלפת סיסמאות, נהלי IT, כניסה וגריעת עובדים מהמערכות.
- טכנולוגי – סקירת מערכות הארגון, מוצרי התוכנה בארגון, החולשות הקיימות במוצרי ומערכות החברה, מיפוי זרימת המידע בכל תחנה ותחנה ונכסי המידע הקיימים במערכות.
אנו ב-Nextep יצרנו מתודולוגיה המשלבת את כלל ההיבטים: משפטי, טכנולוגי וארגון ושיטות, לצורך מתן מענה מקיף 360° לעמידה בדרישות החוק וחיזוק מודעות העובדים בנושא אבטחת המידה והגנת הפרטיות.
בין לקוחותינו נמנים חברות טכנולוגיות מהבכירות במשק מתחום הפינטק, אדטק, מדיקל, SMB, תאגידים, רשויות, לקוחות מוסדיים ועוד.
על מי חלה הרגולציה?
רגולציית HIPAA חלה על גופים בתחום הבריאות, כגון: ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.
למעשה, כל חברה ישראלית המספקת שירותים לשוק האמריקאי הרפואי מחוייבת לעמוד בדרישה הרגולציה.
הרגולציה גמישה וניתנת להרחבה, כך שכלל הארגונים והמוסדות הרפואיים יכולים ליישם מדיניות, נהלים וטכנולוגיות המתאימים לגודל ולמבנה הארגוני.
עיקרי רגולציית HIPAA:
עיקרי הרגולציה דומים יחסית לתקינה בינלאומית אחרת מוכרת – ISO 27001 – תקן לאבטחת מידע בארגון.
הרגולציה עוסקת בעיקר בקביעת מדיניות ונהלי אבטחת מידע, זיהוי וניהול סיכוני אבטחת מידע, הגברת המודעות לדליפת המידע והטמעת מנגנוני אבטחה מתאימים.
ארצות רבות בעולם, ובכללן ישראל, אימצו את החוק, או לפחות את רוחו. חברות ישראליות המספקות שירותים לחברות אמריקאיות העוסקות בעולם הבריאות ומערכות שפותחו עבור פעילות זאת, מחויבות בעמידה בדרישות חוק HIPAA.
כל מה שצריך לדעת על אבטחת המידע בארגון
בחינת פרויקט HIPAA בארגון:
במהלך הפרויקט אנו נבצע עבורכם בחינה של שלושה נושאים עיקריים באמצעות ליווי שוטף להגדרת תכנית עבודה עד להשלמת הפערים בארגון:
בחינה אפליקטיבית של המערכות המכילות מידע רפואי: אבטחת Session, ניהול משתמשים, הרשאות והזדהות, הפקת דו"חות, הפרדת סביבות, נתיב בקרה, בדיקות קלט וכו'.
בחינת תשתיות הארגון: אבטחת בסיסי נתונים, גיבויים, בקרת גישה וניהול, בחינת ההגנה ברמת התקשורת (HTTPS), בדיקות הקשחה ועוד.
בחינת אבטחת מידע ארגונית: עדכון נהלי עבודה, הדרכות למודעות וחשיבות אבטחת המידע בארגון, הפרדה בין נתוני זיהוי לקוח לרשומות רפואיות של לקוח (EPHI), תיעוד אירועים, בקרת משתמשים והרשאות, בחינת תקינות גיבויים, בקרת תהליכי זיהוי, ניהול שינויים, תכנית המשכיות עסקית.
מכיוון ועמידה בתקינת HIPAA היא בהצהרה עצמית – עם סיום התהליך תוענק לחברה חוות דעת משפטית על עמידת הארגון או המוצר בדרישות החוק.
מבנה הפרויקט:
ניתוח וניהול סיכונים:
כחלק מרגולציית HIPAA, על הארגונים לבצע ניהול סיכונים בארגון. כחלק מביצוע הסקר, יש לזהות את הסיכונים הקיימים והפוטנציאליים בארגון (איתור נקודות תורפה), להעריך את רמת הסיכון (ניתוח והערכת השלכות של כל סיכון עפ"י סולמות דירוג מוגדרים) ולטפלם בהקדם (על ידי מניעת הסיכון, צמצום חומרת הסיכון ואף קבלת הסיכון כחלק בלתי נפרד מהתהליך – במידה ואין אפשרות לנטר את הסיכון).
כל מה שצריך לדעת אודות ניהול סיכונים בארגון
יתרונות הסמכת תקן HIPAA:
ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) ב:
- התמודדות במכרזים.
- כניסה לשווקים חדשים ובינלאומיים.
- התמודדות עם דרישות רגולטוריות שונות ומחמירות.
חשוב לציין כי החוק משאיר לחברות מרחב תמרון ואת האחריות להגדיר עבורן כיצד להטמיע וליישם את הדרישות על בסיס המאפיינים הייחודיים שלהן, כגון:
- גודל.
- מורכבות.
- יכולות.
- תשתיות טכנולוגיות.
- עלויות.
- סיכונים והזדמנויות ועוד.
תקן HIPAA בענן:
ניתן להשיג עמידה בתקני HIPAA בענן באמצעות הקמת נהלים ותהליכים פנימיים ותכנון סביבות IT בצורה נכונה ולא מתפשרת. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.
הטיפ שלנו אליכם:
- שלבו את רגולציית HIPAA בתהליך ההסמכה לתקן ISO 27799.
- בצעו הדרכת מודעות לאבטחת מידע אחת לשנה.
- שאלו את הספקים שלכם וגורמי צד ג' בנוגע להשקפת עולמם באבטחת מידע.
היתרונות שלנו
הטמעת תקן קלה ופשוטה
ליווי מקצועי עם יועץ מנוסה
100% הצלחה במבדק ההתעדה
מעל 15 שנות נסיון בתקני אבטחת מידע
צרו איתנו קשר עכשיו ונקבע מבדק חשיפה לרגולציה ללא התחייבות!
נושאים נוספים שיעניינו אותך
אבטחת מידע והגנת הפרטיות
האם ניתן לקבל הסמכת GDPR?
החובות שנקבעו במסגרת ה - GDPR
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
המתודולוגיה של ISO 27001
CCPA חוק הגנת פרטיות הצרכן בקליפורניה
ההבדל בין Data Processor ו-Data Controller
הרשות להגנת הפרטיות | מחלקת אכיפה
החובות החלות על בעל מאגר מידע
אבטחת מידע בארגון - כל מה שצריך לדעת
סקר תהליך
סקר ספק
CISO as a service - ממונה אבטחת מידע
DPR – Data Protection Representative - נציג אירופאי
DPO – Data Protection Officer - קצין אבטחת מידע
SOC 2
ניהול אבטחת שרשרת האספקה
הרשות לניירות ערך: גילוי בנושא סייבר
