понедельник, 4 февраля 2013 г.

США: Правила HIPAA-HITECH, облака и прочее, часть II


Окончание заметки Даниэля Солоува (Daniel Solove) о подзаконном нормативном правовом акте, выпущенном в соответствии с законами HIPAA и HITECH. Начало см. http://rusrim.blogspot.ru/2013/02/hipaa-hitech-i.html

Последствия для применения облачных вычислений

Будут ли поставщики облачных услуг рассматриваться как ассоциированные деловые партнеры? Думаю, что такое возможно. В комментариях к правилам сказано, что «согласно закону, должны рассматриваться в качестве ассоциированных деловых партнеров те передающие данные организации, которым на регулярной основе требуется доступ к защищаемым медицинским данным. И наоборот, передающие данные организации, которым не нужен регулярный доступ к защищаемым медицинским данным, не будут рассматриваться в качестве ассоциированных деловых партнеров».

В комментариях далее отмечается, что «организации, управляющие обменом защищаемыми медицинскими данными по сети, включая предоставление услуг по поиску документов и выполнение различных функций контроля и управления обменом электронными медицинскими данными, осуществляют совсем не «случайный» доступ к защищаемым медицинским данным и, таким образом, подпадают под определение «ассоциированного делового партнера»». Однако простые «передаточные звенья», такие как службы доставки почты или курьерские службы, ассоциированными деловыми партнерами не являются (см.  http://www.hhs.gov/ocr/privacy/hipaa/faq/business_associates/245.html ), поскольку «передаточное звено хотя и передаёт информацию, но не имеет к ней доступа, за исключением нерегулярного и/или нечастого доступа, необходимого для оказания транспортных услуг или в соответствии с требованиями законодательства».

Согласно сказанному на веб-сайте Министерства здравоохранения в ответах на часто задаваемые вопросы (см. http://www.hhs.gov/ocr/privacy/hipaa/faq/business_associates/256.html ), «простая продажа или предоставление программного обеспечения как услуги подпадающей под HIPAA организации не приводит к отношениям ассоциированного делового партнерства, если поставщик не имеет доступа к защищаемой медицинской информации, имеющейся в распоряжении данной организации. Если же поставщику в целях оказания своих услуг действительно нужен доступе к защищаемой медицинской информации, имеющейся у подпадающей под HIPAA организации, то поставщик будет рассматриваться как ассоциированный деловой партнер этой организации».

В рекомендациях приводится следующий пример: «Компания-поставщик программного обеспечения, которая осуществляет хостинг на собственном сервере программного обеспечения, содержащего информацию о пациентах, или получающая доступ к информации о пациентах при отладке и устранении сбоев программного обеспечения, является ассоциированным деловым партнером подпадающей под HIPAA организации-клиента».

Неоднозначность возникает только в одном случае: если защищаемая медицинская информация  зашифрована, и поставщик облачных услуг не имеет доступа к незашифрованным данным, то будет ли считаться, что он имеет доступ к этим данным в смысле HIPAA?

В целом, поставщики услуг должны осознавать, что независимо от того, будут ли они оказывать услуги подпадающим под HIPAA организациям или их ассоциированным деловым партнерам, они сами будут считаться ассоциированными деловыми партнерами, если будут создавать, получать, хранить или передавать защищаемые медицинские данные, используемые при выполнении регулируемых законом HIPAA функций или деятельности, «включая такие виды деятельности, как управление/обработку претензий; управление, обработку и анализ данных; анализ применения, обеспечение качества, меры по обеспечению безопасности пациента, перечисленные в разделе 3.20 главы 42 Свода федеральных нормативных актов (42 CFR 3.20), выставление счетов, управление льготами, управление практикой и переоценка». Помимо необходимости исполнения ключевых требования правил HIPAA по обеспечению неприкосновенности личной жизни и правил обеспечения безопасности в полном объёме, и попадания под предусмотренный законом HIPAA контроль и наказания, ассоциированные деловые партнеры также являются «законной добычей» для проведения аудитов Министерством здравоохранения.

Помимо облаков

Помимо поставщиков облачных услуг, многие другие компании могут попасть в расширившуюся сферу регулирования и контроля HIPAA. Министерство здравоохранения в своих комментариях признало, что для малых организаций, признанных ассоциированными деловыми партнерами, необходимость исполнять требования HIPAA может оказаться особенно тяжёлым бременем, поскольку ранее они «возможно, не внедряли официальных административные меры защиты, такие, как проведение анализа рисков, разработка и внедрение программы управления рисками или назначение отвечающего за безопасность сотрудника. У них могут отсутствовать документированные политики и процедуры, система обучения сотрудников, документирование исполнения требований законодательства, которые будут теперь требоваться согласно новым правилам». Тем не менее, несмотря на все эти проблемы, все ассоциированные деловые партнеры должны будут исполнять установленные требования.

Мы теперь перешли в новый режим обеспечения исполнения требований HIPAA, когда и Министерство здравоохранения будет энергично осуществлять свои контрольные функции, и генеральные прокуратуры штатов США смогут теперь требовать соблюдения HIPAA. Наказания также стали намного жёстче. Для многих компаний новые правила станут хорошей встряской.

Я приветствую эти изменения в HIPAA. Они помогут удерживать защищаемые медицинские данные в «защитной капсуле» HIPAA, ведь раньше слишком часто эти данные уходили за её пределы и использовались и обрабатывались компаниями, не обеспечивавшими адекватной защиты. Новые правила HIPAA-HITECH идут достаточно далеко и широко с целью обеспечить защиту медицинских данных. Несомненно, появятся и новые проблемы, но данные правила являются ключевым шагом на пути к зрелости законодательства HIPAA. Конечно, в HIPAA есть и ряд недостатков, однако в целом  правила HIPAA являются одним из наиболее полномасштабных и влиятельных инструментов защиты неприкосновенности личной жизни, и новый нормативный документ вывел их на новый уровень. Это большой шаг вперед в деле защиты персональных данных в здравоохранении.

Даниэль Солоув (Daniel Solove)

Даниэль Солоув является профессором факультета права Университета им. Джорджа Вашингтона и основателем компании TeachPrivacy, занимающейся обучением по вопросам информационной безопасности и защиты персональных данных. 

Источник: LinkedIn / Википедия
http://www.linkedin.com/today/post/article/20130123151715-2259773-the-hipaa-hitech-regulation-the-cloud-and-beyond
http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act
http://en.wikipedia.org/wiki/Health_Information_Technology_for_Economic_and_Clinical_Health_Act

Комментариев нет:

Отправить комментарий