HIPAA | רגולציה אמריקאית להגנה על מידע רפואי

יישום והטמעת רגולציית HIPAA

HIPAA – Health Insurance Probability and Accountability Act

השאירו פרטים כאן לקבלת מידע טלפוני אודות רגולציית HIPAA או התקשרו ל- 03-9550222

 

רגולציית (HIPAA (Health Insurance Probability and Accountability Act הינה חקיקה אמריקאית הקובעת צורה אחידה לניהול, אחסון, העברה ומניעת דליפה של מידע רפואי דיגיטלי אל גורמים לא מורשים.

המטרה המרכזית של HIPAA הינה שמירה על פרטיות המידע הבריאותי של המטופלים תוך מתן אפשרות לשימוש בטכנולוגיות חדישות לשיפור האיכות והיעילות של הטיפול במטופלים.

HIPAA מהווה מודל להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדירה כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים.

רגולציה זו היא חלוצה בתחום הפרטיות, לאור כניסתן של רגולציות העוסקות במידע אישי לדוגמת תקנות הגנת הפרטיות האירופאיות (GDPR) ותקנות הגנת הפרטיות לאבטחת המידע הישראליות.

החקיקה עצמה הועברה בקונגרס האמריקאי על מנת שהגופים האמריקאים בלבד יעמדו בו, אך עם השנים ולאור פריסתה של התעשייה האמריקאית בכל העולם – הפכה החקיקה לשם דבר בקרב רגולטורים, בעלי עניין ומשמשת "תקינה" לניהול אבטחת המידע עבור חברות הפועלות בשוק הרפואי.

לכל המאמרים אודות תקנות הגנת הפרטיות

לכל המאמרים אודות רגולצית הגנת הפרטיות האירופאית

חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2011 ומאז אנו מספקים ללקוחותינו שירותים מתחום אבטחת המידע בשלושה אספקטים:

  1. משפטי – בדיקת חשיפת הארגון לרגולציות מתחום הגנת הפרטיות: GDPR, HIPAA, CCPA, תקנות הגנת הפרטיות ועוד.
  2. ארגון ושיטות עבודה – סקירת נהלי הארגון בתחום אבטחת המידע ושיטות העבודה הנהוגות בחברה, כגון: מדיניות החלפת סיסמאות, נהלי IT, כניסה וגריעת עובדים מהמערכות.
  3. טכנולוגי – סקירת מערכות הארגון, מוצרי התוכנה בארגון, החולשות הקיימות במוצרי ומערכות החברה, מיפוי זרימת המידע בכל תחנה ותחנה ונכסי המידע הקיימים במערכות.

אנו ב-Nextep יצרנו מתודולוגיה המשלבת את כלל ההיבטים: משפטי, טכנולוגי וארגון ושיטות, לצורך מתן מענה מקיף 360° לעמידה בדרישות החוק וחיזוק מודעות העובדים בנושא אבטחת המידה והגנת הפרטיות.

בין לקוחותינו נמנים חברות טכנולוגיות מהבכירות במשק מתחום הפינטק, אדטק, מדיקל, SMB, תאגידים, רשויות, לקוחות מוסדיים ועוד.

 

על מי חלה הרגולציה?

רגולציית HIPAA חלה על גופים בתחום הבריאות, כגון: ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

למעשה, כל חברה ישראלית המספקת שירותים לשוק האמריקאי הרפואי מחוייבת לעמוד בדרישה הרגולציה.

הרגולציה גמישה וניתנת להרחבה, כך שכלל הארגונים והמוסדות הרפואיים יכולים ליישם מדיניות, נהלים וטכנולוגיות המתאימים לגודל ולמבנה הארגוני.

 

עיקרי רגולציית HIPAA:

עיקרי הרגולציה דומים יחסית לתקינה בינלאומית אחרת מוכרת – ISO 27001 – תקן לאבטחת מידע בארגון.

הרגולציה עוסקת בעיקר בקביעת מדיניות ונהלי אבטחת מידע, זיהוי וניהול סיכוני אבטחת מידע, הגברת המודעות לדליפת המידע והטמעת מנגנוני אבטחה מתאימים.

ארצות רבות בעולם, ובכללן ישראל, אימצו את החוק, או לפחות את רוחו. חברות ישראליות המספקות שירותים לחברות אמריקאיות העוסקות בעולם הבריאות ומערכות שפותחו עבור פעילות זאת, מחויבות בעמידה בדרישות חוק HIPAA.

כל מה שצריך לדעת על אבטחת המידע בארגון

לכל המאמרים על ISO 27001

 

השארת פרטים - ISO 27001
יש לכם שאלה אודות רגולציית HIPAA?

 

בחינת פרויקט HIPAA בארגון:

במהלך הפרויקט אנו נבצע עבורכם בחינה של שלושה נושאים עיקריים באמצעות ליווי שוטף להגדרת תכנית עבודה עד להשלמת הפערים בארגון:

בחינה אפליקטיבית של המערכות המכילות מידע רפואי: אבטחת Session, ניהול משתמשים, הרשאות והזדהות, הפקת דו"חות, הפרדת סביבות, נתיב בקרה, בדיקות קלט וכו'.

בחינת תשתיות הארגון: אבטחת בסיסי נתונים, גיבויים, בקרת גישה וניהול, בחינת ההגנה ברמת התקשורת (HTTPS), בדיקות הקשחה ועוד.

בחינת אבטחת מידע ארגונית: עדכון נהלי עבודה, הדרכות למודעות וחשיבות אבטחת המידע בארגון, הפרדה בין נתוני זיהוי לקוח לרשומות רפואיות של לקוח (EPHI), תיעוד אירועים, בקרת משתמשים והרשאות, בחינת תקינות גיבויים, בקרת תהליכי זיהוי, ניהול שינויים, תכנית המשכיות עסקית.

מכיוון ועמידה בתקינת HIPAA היא בהצהרה עצמית – עם סיום התהליך תוענק לחברה חוות דעת משפטית על עמידת הארגון או המוצר בדרישות החוק.

 

מבנה הפרויקט:

תהליך לעמידה ברגולציה עם חברת Nextep

ניתוח וניהול סיכונים:

כחלק מרגולציית HIPAA, על הארגונים לבצע ניהול סיכונים בארגון. כחלק מביצוע הסקר, יש לזהות את הסיכונים הקיימים והפוטנציאליים בארגון (איתור נקודות תורפה), להעריך את רמת הסיכון (ניתוח והערכת השלכות של כל סיכון עפ"י סולמות דירוג מוגדרים) ולטפלם בהקדם (על ידי מניעת הסיכון, צמצום חומרת הסיכון ואף קבלת הסיכון כחלק בלתי נפרד מהתהליך – במידה ואין אפשרות לנטר את הסיכון).

כל מה שצריך לדעת אודות ניהול סיכונים בארגון

 

יתרונות הסמכת תקן HIPAA:

ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) ב:

  • התמודדות במכרזים.
  • כניסה לשווקים חדשים ובינלאומיים.
  • התמודדות עם דרישות רגולטוריות שונות ומחמירות.

חשוב לציין כי החוק משאיר לחברות מרחב תמרון ואת האחריות להגדיר עבורן כיצד להטמיע וליישם את הדרישות על בסיס המאפיינים הייחודיים שלהן, כגון:

  • גודל.
  • מורכבות.
  • יכולות.
  • תשתיות טכנולוגיות.
  • עלויות.
  • סיכונים והזדמנויות ועוד.

 

תקן HIPAA בענן:

ניתן להשיג עמידה בתקני HIPAA בענן באמצעות הקמת נהלים ותהליכים פנימיים ותכנון סביבות IT בצורה נכונה ולא מתפשרת. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.

הטיפ שלנו אליכם:

  • שלבו את רגולציית HIPAA בתהליך ההסמכה לתקן ISO 27799.
  • בצעו הדרכת מודעות לאבטחת מידע אחת לשנה.
  • שאלו את הספקים שלכם וגורמי צד ג' בנוגע להשקפת עולמם באבטחת מידע.

היתרונות שלנו

ליווי מקצועי

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.
קליעה למטרה

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.
אייקון משימות

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.
דף עם מגן וכדור גלובלי

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.
טופס תחתון

צרו איתנו קשר עכשיו ונקבע מבדק חשיפה לרגולציה ללא התחייבות!

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-7176020

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27799

תקן לניהול אבטחת מידע רפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

ISO 27001

ניהול אבטחת מידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

ISO 27018

תקן לניהול אבטחת מידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.