قوانین حریم خصوصی و امنیت HIPAA

Definition

قانون حریم خصوصی HIPAA استانداردهای ملی را برای حفاظت از اطلاعات بهداشتی قابل شناسایی فردی که توسط نهادهای تحت پوشش و شرکای تجاری آن‌ها نگهداری یا منتقل می‌شود، تعیین می‌کند و استفاده‌ها و افشاهای مجاز و حقوق فردی را تعریف می‌کند؛ قانون امنیت HIPAA استانداردهایی را برای حفاظت‌های اداری، فیزیکی و فنی که از اطلاعات بهداشتی محافظت‌شده الکترونیکی محافظت می‌کنند، تعیین می‌کند.

Scope

این مدخل ساختار و مفاهیم اصلی دو قانون را توضیح می‌دهد: تعریف اطلاعات بهداشتی محافظت‌شده، دسته‌بندی نهادهای تحت پوشش و شرکای تجاری که این قوانین آن‌ها را ملزم می‌کند، استفاده‌ها و افشاهای مجاز و اصل حداقل لازم، حقوق فردی دسترسی و اصلاح، و حفاظت‌های اداری، فیزیکی و فنی مورد نیاز برای اطلاعات الکترونیکی. این قوانین به عنوان یک چارچوب نظارتی برای مرجع و آموزش در نظر گرفته شده‌اند و تعیین انطباق برای هیچ سازمان یا موقعیت خاصی را ارائه نمی‌دهند.

Core questions

• این قوانین برای کدام سازمان‌ها و اطلاعات اعمال می‌شوند؟
• چه استفاده‌ها و افشاهایی از اطلاعات بهداشتی محافظت‌شده بدون مجوز فردی مجاز است؟
• افراد چه حقوقی بر اطلاعات بهداشتی خود دارند؟
• چه حفاظت‌هایی باید از اطلاعات بهداشتی محافظت‌شده الکترونیکی محافظت کنند؟
• چگونه تعهدات مربوط به اجرا و نقض، قوانین را تقویت می‌کنند؟

Key concepts

• اطلاعات بهداشتی محافظت‌شده (PHI)
• نهادهای تحت پوشش و شرکای تجاری
• استفاده‌ها و افشاهای مجاز
• استاندارد حداقل لازم
• حقوق فردی دسترسی و اصلاح
• حفاظت‌های اداری، فیزیکی و فنی
• مشخصات الزامی در مقابل قابل آدرس‌دهی قانون امنیت
• اعلامیه رویه‌های حریم خصوصی

Mechanisms

قانون حریم خصوصی با تعریف اطلاعات بهداشتی محافظت‌شده و سپس تعیین زمان مجاز استفاده یا افشای آن عمل می‌کند: برخی استفاده‌ها (مانند درمان، پرداخت، و عملیات مراقبت‌های بهداشتی) بدون مجوز مجاز هستند، در حالی که بسیاری دیگر نیاز به مجوز کتبی فرد دارند، و افشاها توسط اصل حداقل لازم محدود می‌شوند. همچنین حقوق فردی، از جمله دسترسی به سوابق خود و توانایی درخواست اصلاحات را اعطا می‌کند. قانون امنیت این را با الزام نهادهای تحت پوشش و شرکای تجاری که اطلاعات بهداشتی محافظت‌شده الکترونیکی را مدیریت می‌کنند، به انجام تحلیل ریسک و اجرای حفاظت‌ها در سه حوزه تکمیل می‌کند: اداری (سیاست‌ها، آموزش نیروی کار، مدیریت دسترسی)، فیزیکی (کنترل‌های تسهیلات و دستگاه‌ها)، و فنی (کنترل دسترسی، کنترل‌های حسابرسی، یکپارچگی، و امنیت انتقال). برخی از مشخصات پیاده‌سازی الزامی هستند و برخی دیگر قابل آدرس‌دهی هستند که انعطاف‌پذیری متناسب با اندازه و ریسک سازمان را فراهم می‌کند. دفتر حقوق مدنی هر دو قانون را اجرا می‌کند (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

این قوانین نحوه مدیریت اطلاعات روزمره در محیط‌های مراقبت را شکل می‌دهند: نحوه به اشتراک‌گذاری سوابق برای درمان، آنچه بیماران می‌توانند به آن دسترسی داشته باشند، و آموزش و کنترل‌هایی که کارکنان بالینی تحت آن عمل می‌کنند. مفسران استدلال کرده‌اند که قانون حریم خصوصی در صورت اعمال صحیح، تبادل اطلاعات بهداشتی مناسب را پشتیبانی می‌کند نه اینکه مانع آن شود (مک‌دونالد، ۲۰۰۹). این مدخل یک توصیف مرجع از چارچوب نظارتی است و مشاوره حقوقی یا تعیین انطباق برای هیچ نهاد خاصی نیست.

Evidence & guidelines

منبع معتبر، متن خود مقررات (۴۵ CFR بخش‌های ۱۶۰ و ۱۶۴) و راهنمایی دفتر حقوق مدنی است که آن را تفسیر می‌کند (HHS OCR, 2013). موسسه پزشکی بررسی کرد که چگونه قانون حریم خصوصی بر تحقیقات بهداشتی تأثیر می‌گذارد و اصلاحاتی را برای تعادل بهتر حریم خصوصی با کاربرد تحقیقاتی توصیه کرد (Nass et al., 2009). از آنجا که قوانین و راهنمایی‌های آن‌ها به صورت دوره‌ای اصلاح می‌شوند، برای الزامات خاص باید به منابع رسمی فعلی HHS مراجعه شود.

History

HIPAA در سال ۱۹۹۶ عمدتاً برای رسیدگی به قابلیت حمل بیمه و ساده‌سازی اداری تصویب شد؛ مقررات حریم خصوصی و امنیتی آن در اوایل دهه ۲۰۰۰ به عنوان قوانین صادر شد، با قانون حریم خصوصی و قانون امنیت که به ترتیب در سال‌های ۲۰۰۳ و ۲۰۰۵ به اجرا درآمدند. قانون HITECH سال ۲۰۰۹ تعهدات را مستقیماً به شرکای تجاری گسترش داد، اجرای قانون را تقویت کرد و الزامات اطلاع‌رسانی نقض را اضافه کرد، و قانون جامع ۲۰۱۳ این تغییرات را یکپارچه کرد. این چارچوب همچنان مبنایی است که بسیاری از اقدامات اطلاعات بهداشتی ایالات متحده بر اساس آن سنجیده می‌شود (Nass et al., 2009).

Debates

آیا قانون حریم خصوصی به طور مناسب بین حفاظت و استفاده از داده‌های بهداشتی تعادل برقرار می‌کند؟

برخی استدلال می‌کنند که این قانون به طور غیرضروری هماهنگی مراقبت و تحقیقات را مختل می‌کند، در حالی که برخی دیگر از آن به عنوان سازگار با تبادل اطلاعات بهداشتی مناسب دفاع می‌کنند؛ موسسه پزشکی اصلاحات هدفمندی را به طور خاص برای زمینه تحقیقات توصیه کرد.

Related topics

• حریم خصوصی، امنیت و انطباق فناوری اطلاعات سلامت
• نقض داده‌های سلامت و واکنش به حوادث
• ناشناس‌سازی و تحلیل داده‌ها با حفظ حریم خصوصی
• مقررات و حاکمیت بین‌المللی داده‌های سلامت
• محرمانگی، حریم خصوصی، و HIPAA در مراقبت‌های پیش‌بیمارستانی

Seminal works

• nass-2009
• mcdonald-2009

Frequently asked questions

چه کسانی باید از قوانین حریم خصوصی و امنیت HIPAA پیروی کنند؟

این قوانین نهادهای تحت پوشش (اکثر ارائه‌دهندگان مراقبت‌های بهداشتی، طرح‌های بهداشتی، و مراکز تسویه حساب بهداشتی) و شرکای تجاری آن‌ها را که اطلاعات بهداشتی محافظت‌شده را از طرف آن‌ها ایجاد، دریافت، نگهداری یا منتقل می‌کنند، ملزم می‌کند. آن‌ها مستقیماً هر سازمانی را که داده‌های مرتبط با سلامت را مدیریت می‌کند، پوشش نمی‌دهند.

استاندارد حداقل لازم چیست؟

این اصل قانون حریم خصوصی است که برای اکثر استفاده‌ها و افشاها، نهادهای تحت پوشش باید تلاش‌های معقولی برای محدود کردن اطلاعات بهداشتی محافظت‌شده به حداقل مورد نیاز برای دستیابی به هدف مورد نظر انجام دهند، به جای اینکه به طور پیش‌فرض کل سوابق را به اشتراک بگذارند.

Methods for this concept

• Data Protection and Privacy in Research
• Institutional Review Board
• Informed Consent in Research
• Declaration of Helsinki
• Belmont Report
• Waiver of Informed Consent in Research
• k-Anonymity
• Ethics Committee Application Process

Related concepts

• حریم خصوصی، امنیت و انطباق فناوری اطلاعات سلامت
• حریم خصوصی داده، امنیت، و انطباق نظارتی
• مقررات و حاکمیت بین‌المللی داده‌های سلامت
• نقض داده‌های سلامت و واکنش به حوادث
• محرمانگی، حریم خصوصی، و HIPAA در مراقبت‌های پیش‌بیمارستانی
• ناشناس‌سازی و تحلیل داده‌ها با حفظ حریم خصوصی