1. المقدمة
تحرص العيادة الأمريكية للاستشارات الطبية (AMCC، المشار إليه بـ “نحن” أو “لنا”) على حماية خصوصية وأمن المعلومات الصحية الإلكترونية المحمية للمرضى في الولايات المتحدة (e-PHI). يوضح بيان الامتثال لـ HIPAA هذا التدابير الإدارية والفيزيائية والتقنية التي قمنا بتطبيقها للوفاء بجميع متطلبات قانون قابلية نقل التأمين الصحي والمساءلة لعام 1996 (HIPAA)، بما في ذلك قواعد الخصوصية والأمان وإخطار الاختراق.
2. نطاق التطبيق
ينطبق هذا المستند على جميع أعضاء فريق العمل في AMCC، والمقاولين، والشركاء الذين يقومون بإنشاء أو استقبال أو الاحتفاظ أو نقل المعلومات الصحية الإلكترونية المحمية نيابة عن AMCC.
3. الامتثال لقواعد الخصوصية
إشعار ممارسات الخصوصية
نقدّم للمرضى إشعارًا مكتوبًا وواضحًا يشرح كيفية استخدام وكشف معلوماتهم الصحية (PHI) وحقوقهم وفق HIPAA.
معيار الحد الأدنى الضروري
نحدد جميع الاستخدامات والكشف عن المعلومات الصحية لتكون الحد الأدنى الضروري لتحقيق الغرض المطلوب (العلاج، الدفع، تشغيل الرعاية الصحية).
حقوق المرضى
الحق في الوصول والحصول على نسخة من معلوماتهم الصحية.
الحق في طلب تعديل أو تصحيح البيانات غير الدقيقة.
الحق في طلب حساب للكشف عن المعلومات.
الحق في طلب تقييد بعض الاستخدامات والكشف عن المعلومات.
الحق في استلام الاتصالات السرية بوسائل أو مواقع بديلة.
4. الامتثال لقواعد الأمان
4.1 التدابير الإدارية
تحليل وإدارة المخاطر: تقييم سنوي لتحديد ومعالجة الثغرات في المعلومات الصحية الإلكترونية.
السياسات والإجراءات: سياسات HIPAA موثقة تشمل إدارة الوصول، النسخ الاحتياطي للبيانات، استجابة الحوادث، وعقوبات الموظفين، ويتم مراجعتها وتحديثها سنويًا.
تدريب القوى العاملة: تدريب إلزامي لجميع الموظفين والمقاولين عند التوظيف وسنويًا، مع الاحتفاظ بسجلات التدريب.
خطة استجابة الحوادث: عملية محددة للكشف عن الحوادث، الإبلاغ عنها، احتوائها، ومعالجتها.
4.2 التدابير الفيزيائية
ضوابط الوصول للمرافق: غرف الخوادم ومساحات العمل مؤمنة باستخدام بطاقات دخول ومراقبة بالفيديو.
ضوابط الأجهزة والوسائط: إجراءات لاستلام وإزالة والتخلص وإعادة استخدام الأجهزة والوسائط الإلكترونية التي تحتوي على المعلومات الصحية.
4.3 التدابير التقنية
ضوابط الوصول: معرفات مستخدم فريدة، كلمات مرور قوية، مصادقة متعددة العوامل للوصول إلى النظام.
ضوابط التدقيق: سجلات وأنظمة تتبع تلقائية تسجل نشاط المستخدم والوصول إلى المعلومات الصحية.
ضوابط السلامة: استخدام التشفير وطرق التحقق للكشف عن أي تعديل أو تدمير غير مصرح به للمعلومات الصحية.
أمان النقل: جميع المعلومات الصحية الإلكترونية المنقولة عبر الشبكة مشفرة باستخدام TLS 1.2 أو أعلى.
5. قاعدة إخطار الاختراق
تعريف الاختراق: أي استخدام أو كشف غير مصرح به للمعلومات الصحية يعرض أمنها أو خصوصيتها للخطر.
عملية الإخطار:
إشعار الأفراد: إخطار المتأثرين خلال 60 يومًا من اكتشاف الاختراق.
إخطار وزارة الصحة الأمريكية (HHS): الإبلاغ عن الاختراقات حسب حجمها.
الإعلام الإعلامي: للاختراقات التي تؤثر على أكثر من 500 مقيم في ولاية أو جهة، يتم إعلام وسائل الإعلام البارزة.
التوثيق: الاحتفاظ بسجلات جميع التقييمات والإخطارات والإجراءات التصحيحية لمدة لا تقل عن ست سنوات.
6. اتفاقيات الشركاء التجاريين (BAAs)
نطلب من جميع البائعين ومقدمي الخدمات الخارجيين الذين يقومون بإنشاء أو استقبال أو نقل المعلومات الصحية نيابة عنا توقيع اتفاقية امتثال HIPAA.
تُلزم هذه الاتفاقيات الشركاء التجاريين بتنفيذ نفس تدابير الخصوصية والأمان والإبلاغ عن أي اختراقات أو حوادث أمنية على الفور.
7. مسؤول الخصوصية والأمان
التعيين: قمنا بتعيين مسؤول للخصوصية والأمان للإشراف على تطبيق HIPAA.
المسؤوليات:
تطوير وتحديث وتنفيذ السياسات والإجراءات
قيادة تقييمات المخاطر والتدقيق
إدارة الاستجابة للحوادث والتحقيقات في الاختراقات
تنسيق برامج تدريب القوى العاملة
التواصل مع المرضى والجهات المختصة بشأن HIPAA
8. التوثيق والاحتفاظ بالسجلات
يتم الاحتفاظ بجميع الوثائق المتعلقة بـ HIPAA – بما في ذلك السياسات والإجراءات ومواد التدريب وتقييمات المخاطر وتقارير الحوادث وإخطارات الاختراق – لمدة لا تقل عن ست سنوات وفقًا للائحة 45 C.F.R. § 164.530(j).
9. المراقبة المستمرة والتحسين
نجري تدقيقات داخلية منتظمة ومراجعات خارجية دورية للتحقق من الامتثال.
يتم دمج الدروس المستفادة من التدقيقات والحوادث والتحديثات التنظيمية في السياسات والإجراءات وبرامج تدريب القوى العاملة لضمان التحسين المستمر.