HIPAA (Health Insurance Portability and Accountability Act) —
Акт (закон) про мобільність та підзвітність медичного страхування був прийнятий у 1996 році.
Даний документ є посібником із застосування вимог Закону про охорону та відповідальність за інформацію, отриману в результаті медичного страхування (HIPAA) та встановлює, яким чином така закрита медична інформація (PHI) має зберігатися, використовуватись, передаватись та розкриватись.
Правила конфіденційності даного керівництва HIPAA передбачають забезпечення всеосяжного захисту конфіденційності інформації про фізичний та психічний стан хворих, без впливу на план лікування, роботу закладів охорони здоров’я або якість лікування.
Правила конфіденційності поширюються на організації, які в основному складаються з закладів охорони здоров’я та медичних працівників, які передають інформацію про стан пацієнта в електронному форматі, розпоряджаються закритою медичною інформацією (PHI) та/або персональною ідентифікаційною інформацією (PII) про пацієнтів у процесі надання медичних послуг або оплати таких послуг. Приклади організацій, охоплених законом HIPAA:
- Постачальники медичних послуг, у тому числі лікарі, клініки, психологи, стоматологи, мануальні терапевти, будинки для людей похилого віку, аптеки, що передають будь-яку інформацію в електронному вигляді у зв’язку з транзакціями, щодо яких Міністерство охорони здоров’я та соціальних служб США (HHS) прийняло стандарт.
- Програма медичного страхування, у тому числі страхові медичні організації, організації медичного забезпечення, корпоративні програми медичного страхування, державні програми з оплати медичного обслуговування.
- Медичні інформаційні служби, у тому числі, організації, які обробляють нестандартну медичну інформацію, отриману ними від інших організацій, переводячи її у стандартний вигляд (тобто стандартний електронний формат чи контент) чи навпаки.
З метою дотримання Правила безпеки, встановленого законом HIPAA, охоплювані організації повинні виконувати шість основних адміністративних гарантій, кожна з яких включає кілька стандартів і умов реалізації:
- Стандарти безпеки – загальні вимоги щодо забезпечення належного захисту закритої медичної інформації в електронному вигляді.
- Адміністративні гарантії – дії та політики, а також процедури управління, спрямовані на захист закритої медичної інформації в електронному вигляді, а також на управління поведінкою співробітників організацій, що охоплюються, щодо захисту такої інформації.
- Фізичні гарантії – «фізичні заходи, політики та процедури, спрямовані на захист електронних інформаційних систем організацій, що охоплюються, відповідних будівель та обладнання від природних та екологічних небезпек та несанкціонованого проникнення».
- Технічні гарантії визначаються як технології, а також політики та процедури їх використання.
- Організаційні вимоги включають стандарти, спрямовані на забезпечення того, щоб належні гарантії діяли у бізнес-партнерів та всіх інших осіб, яким надається закрита медична інформація в електронному вигляді.
- Політики, процедури та вимоги до документації забезпечують наявність у охоплюваних організацій офіційних планів (тобто політик, процедур та документів) щодо раціонального та належного впровадження заходів безпеки щодо закритої медичної інформації в електронному вигляді.