HIPAA | רגולציה אירופאית להגנה על מידע רפואי

יישום והטמעת רגולציית HIPAA

HIPAA – Health Insurance Probability and Accountability Act

לקבלת מידע טלפוני אודות רגולציית HIPAA – לחצו כאן או התקשרו ל- 03-9550222

 

רגולציית HIPAA הינה חקיקה אמריקאית הקובעת צורה אחידה לניהול, שמירה והעברה של מידע רפואי.

הרגולציה מהווה מודל להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדיר כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים.

רגולציה זו היא חלוצה בתחום הפרטיות, לאור כניסתן של רגולציות העוסקות במידע אישי (לא דווקא רפואי) לדוגמת תקנות הגנת הפרטיות האירופאיות (GDPR) ותקנות הגנת הפרטיות לאבטחת המידע הישראליות.

 

למאמרים על תקנות הגנת הפרטיות לחצו כאן

 

למאמרים על ISO 27001 לחצו כאן

 

למאמרים על רגולצית הגנת הפרטיות האירופאית לחצו כאן

 

על מי חלה הרגולציה?

רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

החקיקה עצמה הועברה בקונגרס האמריקאי על מנת שהגופים האמריקאים בלבד יעמדו בו, אך עם השנים ולאור פריסתה של התעשייה האמריקאית בכל העולם – הפכה החקיקה לשם דבר בקרב רגולטורים, בעלי עניין ומשמשת "תקינה" לניהול אבטחת המידע עבור חברות הפועלות בשוק הרפואי.

 

עיקרי רגולציית HIPAA

עיקרי הרגולציה דומים יחסית לתקינה בינלאומית אחרת מוכרת – תקינת ISO 27001.

הרגולציה עוסקת בעיקר בקביעת מדיניות ונהלי אבטחת מידע, סיכוני אבטחת מידע, הטמעת אמצעי אבטחת מידע והגברת המודעות לדליפת המידע.

למעשה, כל חברה ישראלית המספקת שירותים לשוק האמריקאי הרפואי, מחויבת לעמוד בדרישה הרגולציה.

ארצות רבות בעולם, ובכללן ישראל, אימצו את החוק, או לפחות את רוחו. חברות ישראליות המספקות שירותים לחברות אמריקאיות העוסקות בעולם הבריאות ומערכות שפותחו עבור פעילות זאת, מחויבות בעמידה בדרישות חוק HIPAA.

 

בחינת פרויקט HIPAA בארגון

במהלך הפרויקט אנו נבצע עבורכם בחינה של שלושה נושאים עיקריים הגדרת תכנית עבודה להשלמת הפערים וליווי עד להשלמתם.

בחינה אפליקטיבית של מערכות המכילות מידע רפואי: אבטחת Session, ניהול משתמשים, הרשאות והזדהות, הפקת דו"חות, הפרדת סביבות, נתיב בקרה, בדיקות קלט וכו'.

בחינת תשתיות הארגון: אבטחת בסיסי נתונים, גיבויים, בקרת גישה וניהול, בחינת ההגנה ברמת התקשורת (HTTPS), בדיקות הקשחה.

בחינת אבטחת מידע ארגונית: קיום נהלי עבודה, הדרכות מודעות, הפרדה בין נתוני זיהוי לקוח לרשימות רפואיות של לקוח (EPHI), תיעוד אירועים, בקרת משתמשים והרשאות, בחינת תקינות גיבויים, בקרת תהליכי זיהוי, ניהול שינויים, תכנית המשכיות עסקית.

מכיוון ועמידה בתקינת HIPAA היא בהצהרה עצמית – עם סיום התהליך תוענק לחברה חוות דעת משפטית על עמידת הארגון או המוצר בדרישות החוק.

 

יש לכם שאלה? – לחצו כאן או התקשרו ל- 03-9550222

 

יתרונות הסמכת תקן HIPAA

ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות.

חשוב לציין כי החוק משאיר לחברות מרחב תמרון ואת האחריות להגדיר עבור עצמן כיצד להטמיע וליישם את הדרישות על בסיס המאפיינים הייחודיים שלהן, גודלן, מורכבותן, היכולות, התשתיות הטכנולוגית, העלויות, ההסתברות ופוטנציאל הסיכון הקריטי.

 

תקן HIPAA בענן

ניתן להשיג עמידה בתקני HIPAA בענן באמצעות יצירה והפעלה של נהלים ותהליכים פנימיים, תכנון סביבות IT בצורה נכונה ולא מתפשרת, לצד שמירה על עדכונים ברגולציה. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.

לקבלת מידע טלפוני אודות רגולציית HIPAA – לחצו כאן או התקשרו ל- 03-9550222

הטיפ שלנו אליכם

  • שלבו את רגולציית HIPAA בתהליך ההסמכה לתקן ISO27799
  • בצעו הדרכת מודעות לאבטחת מידע אחת לשנה
  • שאלו את הספקים שלכם וגורמי צד ג' בנוגע להשקפת עולמם באבטחת מידע

היתרונות שלנו

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.

צרו איתנו קשר עכשיו ונקבע מבדק חשיפה לרגולציה ללא התחייבות!

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27799

תקן לניהול אבטחת המידע הרפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

ISO 27001

תקן לניהול אבטחת המידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

ISO 27018

תקן לניהול אבטחת המידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.