HIPAA (Health Insurance Portability and Accountability Act) — Акт (закон) о мобильности и подотчётности медицинского страхования был принят в 1996.
Данный документ является руководством по применению требований Закона об охране и ответственности за информацию, полученную в результате медицинского страхования (HIPAA) и устанавливает, каким образом такая закрытая медицинская информация (PHI) должна храниться, использоваться, передаваться и раскрываться.
Правила конфиденциальности данного руководства HIPAA предполагают обеспечение всеобъемлющей защиты конфиденциальности информации о физическом и психическом состоянии больных, без влияния на план лечения, работу здравоохранительных учреждений или качество лечения.
Правила конфиденциальности распространяются на организации, которые в основном состоят из здравоохранительных учреждений и медицинских работников, передающих информацию о состоянии пациента в электронном формате, распоряжающихся закрытой медицинской информацией (PHI) и/или персональной идентифицирующей информацией (PII) о пациентах в процессе предоставления медицинских услуг или оплаты таких услуг. Примеры организаций, охватываемых законом HIPAA:
- Поставщики медицинских услуг, в том числе, врачи, клиники, психологи, стоматологи, мануальные терапевты, дома престарелых, аптеки, передающие любую информацию в электронном виде в связи с транзакциями, в отношении которых Министерство здравоохранения и социальных служб США (HHS) приняло стандарт.
- Программа медицинского страхования, в том числе, страховые медицинские организации, организации медицинского обеспечения, корпоративные программы медицинского страхования, государственные программы по оплате медицинского обслуживания.
- Медицинские информационные службы, в том числе, организации, которые обрабатывают нестандартную медицинскую информацию, полученную ими от других организаций, переводя ее в стандартный вид (т. е. в стандартный электронный формат или контент) или наоборот.
В целях соблюдения Правила безопасности, установленного законом HIPAA, охватываемые организации должны выполнять шесть основных административных гарантий, каждая из которых включает в себя несколько стандартов и условий реализации:
- Стандарты безопасности – общие требования для обеспечения надлежащей защиты закрытой медицинской информации в электронном виде.
- Административные гарантии – действия и политики, а также процедуры управления, направленных на защиту закрытой медицинской информации в электронном виде, а также на управление поведением сотрудников охватываемых организаций в отношении защиты такой информации.
- Физические гарантии – «физические меры, политики и процедуры, направленные на защиту электронных информационных систем охватываемых организаций, соответствующих зданий и оборудования от природных и экологических опасностей и несанкционированного проникновения».
- Технические гарантии определяются как «технологии, а также политики и процедуры их использования.
- Организационные требования включают в себя стандарты, направленные на обеспечение того, чтобы надлежащие гарантии действовали у бизнес-партнеров и всех прочих лиц, которым предоставляется закрытая медицинская информация в электронном виде.
- Политики, процедуры и требования к документации обеспечивают наличие у охватываемых организаций официальных планов (т.е. политик, процедур и документов) по рациональному и надлежащему внедрению мер безопасности в отношении закрытой медицинской информации в электронном виде.