США: Федеральное правительство обновило руководство по выполнению требований закона HIPAA в отношении безопасности и защиты неприкосновенности частной жизни

Данная заметка Джозефа Гёдерта (Joseph Goedert – на фото) была опубликована 13 апреля 2015 года на сайте «Управление данными о здоровье» ( HealthDataManagement.com ).
   
Федеральное правительство США выпустило обновленные рекомендации по выполнению требований закона HIPAA в отношении обеспечения безопасности и неприкосновенности частной жизни, учитывающие ускоренный переход к интероперабельному обмену информацией о здоровье.

Мой комментарий: Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. В ряде положений части II закона HIPAA рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. См. также подборку http://rusrim.blogspot.ru/search/label/HIPAA 

Документ, подготовленный Управлением Национального координатора по использованию информационных технологий в медицине (Office of the National Coordinator for Health Information Technology, ONC) и Управлением Министерства здравоохранения по гражданским правам (HHS Office for Civil Rights, OCR), заменяет руководство, опубликованное в 2011 году.

Как отметила в своём посте на блоге директор ONC по защите персональных данных Лиси Сэведж (Lucia Savage), в руководство более детально, чем раньше, рассматриваются вопросы кибербезопасности. В соответствии с принятыми в 2014 году правилами сертификации ЭМК-систем обновлен и ряд других разделов, например, по вопросам доступа пациентов к их электронным документам. В документ также включены практические примеры правил обеспечения конфиденциальности и безопасности.

В руководство описан ряд сценариев, помогающих понять, когда лицо является (или не является) ассоциированным деловым партнером (business associate, BA - согласно закону, ассоциированные деловые партнеры также подпадают под требования HIPAA по обеспечению безопасности (Security Rule) и частично под требования об обеспечении неприкосновенности личной жизни (Privacy Rule), и под соответствующий контроль. Об этом см. подробнее здесь: http://rusrim.blogspot.ru/2013/02/hipaa-hitech-i.html - Н.Х.). Вот несколько примеров, предложенных ONC:

• Вы нанимаете субподрядчика, оказывающего услуги по выявлению тех Ваших страдающих диабетом пациентов, у которых высок риск несоблюдения предписанного им режима, и рекомендующего Вам оптимальные действия в отношении этих пациентов. Такой сервис является ассоциированным деловым партнером, действующим от Вашего имени, путем оказания Вам соответствующих услуг.


• Вы нанимаете веб-дизайнера для поддержки веб-сайта вашей врачебной практики и улучшения онлайн-доступа для пациентов, желающих просматривать / скачать или передавать свою медицинскую информацию. В интересах поддержания работоспособности сайта веб-дизайнеру требуется постоянный доступ к документам пациентов. Веб-дизайнер в таком случае также является ассоциированным деловым партнером.


• Вы нанимаете веб-дизайнера для поддержки веб-сайта вашей врачебной практики.  Дизайнер устанавливает новую электронную версию Уведомления о практике соблюдении конфиденциальности (Notice of Privacy Practices, NPP) и улучшает внешний вид и эргономику сайта. Дизайнер, однако, не имеет доступа к защищаемой медицинской информации. В этом случае веб-дизайнер не является ассоциированным деловым партнером.

Помимо этого, руководство содержит сценарии, поясняющие, как применяется шифрование, потребность в нем и те вопросы, которые следует задать поставщикам с тем, чтобы обеспечить достаточную защищённость информационных систем организации. Вот несколько примеров:

• Когда мои сотрудники пытаются общаться с сотрудниками разработчика медицинской информационной системы, как каждая из сторон будет себя аутентифицировать? Как, например, мои сотрудники, установят, что связавшийся с ними человек действительно является представителем разработчика, а не замаскировавшимся под него хакером?


• В каком объёме разработчик медицинской информационной системы будет иметь удаленный доступ к моей системе для обеспечения её поддержки и оказания других услуг? Как будет обеспечиваться безопасность такого удаленного доступа?


• Если я хочу вести защищённую электронную переписку со своими пациентами, позволит ли мне моя система сделать это в соответствии с требованиями правилом безопасности HIPAA?

Дополнительные рекомендации затрагивают вопросы такого рода, как:

• Когда подпадающее под положения закона HIPAA юридическое лицо может использовать сведения об оплате, оказанных медицинских услугах и т.п. без подписания заранее соответствующего документа;


• Как пациенты могут разрешить раскрытие своей защищаемой медицинской информации третьей стороне (например, другу или родственнику) без официального письменного оформления; и


• Как использовать сертифицированную на соответствие требования 2014 года ЭМК-систему для электронного информационного взаимодействия с пациентами, соответствуя при этом правилу безопасности закона HIPAA.

Целая глава, которую можно скачать отдельно, описывает «Примерный 7-этапный подход к реализации процесса управления безопасностью» (Sample Seven-Step Approach for Implementing a Security Management Process).

«Руководство по обеспечению конфиденциальности и безопасности электронной медицинской информации» (Guide to Privacy and Security of Electronic Health Information) 2-й редакции 2015 года доступно по адресу: http://www.healthit.gov/sites/default/files/pdf/privacy/privacy-and-security-guide.pdf 

Джозеф Гёдерт (Joseph Goedert)

Источник: сайт HealthDataManagement.com
http://www.healthdatamanagement.com/news/Feds-Update-HIPAA-Privacy-Security-Guidance-50257-1.html