HIPAA | רגולציה אירופאית להגנה על מידע רפואי

יישום והטמעת רגולציית HIPAA

HIPAA – Health Insurance Probability and Accountability Act

לקבלת מידע טלפוני אודות רגולציית HIPAA – לחצו כאן או התקשרו ל- 03-9550222

 

רגולציית (HIPAA (Health Insurance Probability and Accountability Act הינה חקיקה אמריקאית הקובעת צורה אחידה לניהול, אחסון, העברה ומניעת דליפה של מידע רפואי דיגיטלי אל גורמים לא מורשים.

המטרה המרכזית של HIPAA הינה שמירה על פרטיות המידע הבריאותי של המטופלים תוך מתן אפשרות לשימוש בטכנולוגיות חדישות לשיפור האיכות והיעילות של הטיפול במטופלים.

HIPAA מהווה מודל להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדירה כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים.

רגולציה זו היא חלוצה בתחום הפרטיות, לאור כניסתן של רגולציות העוסקות במידע אישי לדוגמת תקנות הגנת הפרטיות האירופאיות (GDPR) ותקנות הגנת הפרטיות לאבטחת המידע הישראליות.

החקיקה עצמה הועברה בקונגרס האמריקאי על מנת שהגופים האמריקאים בלבד יעמדו בו, אך עם השנים ולאור פריסתה של התעשייה האמריקאית בכל העולם – הפכה החקיקה לשם דבר בקרב רגולטורים, בעלי עניין ומשמשת "תקינה" לניהול אבטחת המידע עבור חברות הפועלות בשוק הרפואי.

למאמרים אודות תקנות הגנת הפרטיות לחצו כאן

 

למאמרים אודות רגולצית הגנת הפרטיות האירופאית לחצו כאן

 

על מי חלה הרגולציה?

רגולציית HIPAA חלה על גופים בתחום הבריאות, כגון: ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

למעשה, כל חברה ישראלית המספקת שירותים לשוק האמריקאי הרפואי מחוייבת לעמוד בדרישה הרגולציה.

הרגולציה גמישה וניתנת להרחבה, כך שכלל הארגונים והמוסדות הרפואיים יכולים ליישם מדיניות, נהלים וטכנולוגיות המתאימים לגודל ולמבנה הארגוני.

 

עיקרי רגולציית HIPAA:

עיקרי הרגולציה דומים יחסית לתקינה בינלאומית אחרת מוכרת – תקינת ISO 27001 – תקן לאבטחת מידע בארגון.

הרגולציה עוסקת בעיקר בקביעת מדיניות ונהלי אבטחת מידע, זיהוי וניהול סיכוני אבטחת מידע, הגברת המודעות לדליפת המידע והטמעת מנגנוני אבטחה מתאימים.

ארצות רבות בעולם, ובכללן ישראל, אימצו את החוק, או לפחות את רוחו. חברות ישראליות המספקות שירותים לחברות אמריקאיות העוסקות בעולם הבריאות ומערכות שפותחו עבור פעילות זאת, מחויבות בעמידה בדרישות חוק HIPAA.

כל מה שצריך לדעת על אבטחת המידע בארגון – לחצו כאן

למאמרים על ISO 27001 לחצו כאן

 

בחינת פרויקט HIPAA בארגון:

במהלך הפרויקט אנו נבצע עבורכם בחינה של שלושה נושאים עיקריים באמצעות ליווי שוטף להגדרת תכנית עבודה עד להשלמת הפערים בארגון:

בחינה אפליקטיבית של המערכות המכילות מידע רפואי: אבטחת Session, ניהול משתמשים, הרשאות והזדהות, הפקת דו"חות, הפרדת סביבות, נתיב בקרה, בדיקות קלט וכו'.

בחינת תשתיות הארגון: אבטחת בסיסי נתונים, גיבויים, בקרת גישה וניהול, בחינת ההגנה ברמת התקשורת (HTTPS), בדיקות הקשחה ועוד.

בחינת אבטחת מידע ארגונית: עדכון נהלי עבודה, הדרכות למודעות וחשיבות אבטחת המידע בארגון, הפרדה בין נתוני זיהוי לקוח לרשומות רפואיות של לקוח (EPHI), תיעוד אירועים, בקרת משתמשים והרשאות, בחינת תקינות גיבויים, בקרת תהליכי זיהוי, ניהול שינויים, תכנית המשכיות עסקית.

מכיוון ועמידה בתקינת HIPAA היא בהצהרה עצמית – עם סיום התהליך תוענק לחברה חוות דעת משפטית על עמידת הארגון או המוצר בדרישות החוק.

 

יש לכם שאלה? – לחצו כאן או התקשרו ל- 03-9550222

 

ניתוח וניהול סיכונים:

כחלק מרגולציית HIPAA, על הארגונים לבצע ניהול סיכונים בארגון. כחלק מביצוע הסקר, יש לזהות את הסיכונים הקיימים והפוטנציאליים בארגון (איתור נקודות תורפה), להעריך את רמת הסיכון (ניתוח והערכת השלכות של כל סיכון עפ"י סולמות דירוג מוגדרים) ולטפלם בהקדם (על ידי מניעת הסיכון, צמצום חומרת הסיכון ואף קבלת הסיכון כחלק בלתי נפרד מהתהליך – במידה ואין אפשרות לנטר את הסיכון).

למאמר אודות ניהול סיכונים בארגון – כל מה שצריך לדעת – לחצו כאן 

 

יתרונות הסמכת תקן HIPAA:

ההסמכה לתקן עשויה לסייע (ובמקרים מסוימים אף הכרחית) בהתמודדות על מכרזים, בכניסה לשווקים חדשים ובינלאומיים ובהתמודדות עם דרישות רגולטוריות שונות.

חשוב לציין כי החוק משאיר לחברות מרחב תמרון ואת האחריות להגדיר עבורן כיצד להטמיע וליישם את הדרישות על בסיס המאפיינים הייחודיים שלהן, כגון: גודל, מורכבות, יכולות, תשתיות טכנולוגית, עלויות, סיכונים והזדמנויות ועוד.

 

תקן HIPAA בענן:

ניתן להשיג עמידה בתקני HIPAA בענן באמצעות הקמת נהלים ותהליכים פנימיים ותכנון סביבות IT בצורה נכונה ולא מתפשרת. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.

לקבלת מידע טלפוני אודות רגולציית HIPAA – לחצו כאן או התקשרו ל- 03-9550222

הטיפ שלנו אליכם

  • שלבו את רגולציית HIPAA בתהליך ההסמכה לתקן ISO27799
  • בצעו הדרכת מודעות לאבטחת מידע אחת לשנה
  • שאלו את הספקים שלכם וגורמי צד ג' בנוגע להשקפת עולמם באבטחת מידע

היתרונות שלנו

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום רגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.

צרו איתנו קשר עכשיו ונקבע מבדק חשיפה לרגולציה ללא התחייבות!

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27799

תקן לניהול אבטחת המידע הרפואי
תקן ISO 27799, שפורסם בסוף שנת 2010 ומבוסס על תקן אבטחת מידע הכללי ISO 27001, הינו תקן בינלאומי לאבטחת מערכות מידע רפואי המחייב את ארגוני הבריאות בישראל.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

ISO 27001

תקן לניהול אבטחת המידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

ISO 27018

תקן לניהול אבטחת המידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.