ما هي المعلومات الصحية المحمية الإلكترونية (ePHI)؟
المعلومات الصحية المحمية الإلكترونية (ePHI) هي المعلومات الصحية المحمية التي يتم إنتاجها أو حفظها أو نقلها أو استلامها بشكل إلكتروني. في الولايات المتحدة، تتم تغطية إدارة وأمن ePHI بموجب قانون قابلية نقل التأمين الصحي والمساءلة لعام 1996 (HIPAA) قاعدة الأمن.
في الولايات المتحدة، تشير PHI في سياق HIPAA إلى معلومات الرعاية الصحية الخاصة بالمريض والتي يمكنها التعرف عليه. يمكن تخزين المعلومات الصحية المحمية (PHI) بشكل ورقي أو إلكتروني. يُعرف النموذج الإلكتروني باسم ePHI.
تعتبر العديد من أنواع المعلومات الطبية المخزنة إلكترونيًا بمثابة ePHI. ال وزارة الصحة والخدمات الإنسانية الأمريكية يحدد معرفات ePHI كالبيانات التالية:
- اسم.
- عنوان.
- تفاصيل الاتصال، مثل ما يلي:
- رقم التليفون.
- رقم الفاكس.
- عنوان البريد الإلكتروني.
- رقم الضمان الاجتماعي.
- التواريخ ذات الصلة المرتبطة مباشرة بالفرد، بما في ذلك ما يلي:
- تاريخ الميلاد.
- تاريخ القبول.
- تاريخ التفريغ.
- تاريخ الوفاة.
- أرقام السجلات الطبية.
- رقم المستفيد من خطة التأمين الصحي.
- رقم حساب.
- معرفات المركبات، على سبيل المثال، أرقام لوحة الترخيص.
- رقم الشهادة أو الترخيص.
- عنوان IP.
- سمات الجهاز.
- المعرفات الرقمية، مثل ما يلي:
- عناوين URL لموقع الويب.
- حسابات وسائل التواصل الاجتماعي.
- بصمات معرفات مثل ما يلي:
- بصمات الأصابع.
- البصمات الصوتية.
- صور الوجه الكامل.
- خصائص أو أرقام مميزة أخرى.
أمثلة على سجلات ePHI
تحتوي كافة السجلات التالية على ePHI الذي يمكن أن يكون تستخدم للتعرف على المريض:
- التقارير المخبرية ونتائج الاختبارات.
- المواعيد المخزنة إلكترونيًا، على سبيل المثال، المواعيد المخزنة في تطبيق الجدولة.
- المعلومات المخزنة إلكترونيًا حول الإجراءات التي يقوم بها مقدم الرعاية الصحية.
- ملاحظات المريض المخزنة إلكترونيا.
- الوصفات الطبية الإلكترونية.
- رسائل البريد الإلكتروني وسجلات الهاتف، أي التواصل بين المريض ومقدم الرعاية الصحية.
- فواتير.
- المسح الرقمي، بما في ذلك الأشعة السينية والتصوير بالرنين المغناطيسي.
- سجلات القبول والخروج.
لماذا يتم جمع ePHI؟
يقوم المتخصصون الطبيون ومنظمات الرعاية الصحية، بما في ذلك الأطباء والمستشفيات، بجمع وتخزين المعلومات الصحية العامة (ePHI) لتحديد المرضى وتحديد نوع الرعاية التي يحتاجون إليها. ومن خلال القيام بذلك، يمكنهم تصميم خزنة و خطة الرعاية الشخصية وتقديم رعاية عالية الجودة وفعالة من حيث التكلفة بأكثر الطرق كفاءة. على سبيل المثال، قد يرغب مقدم الخدمة المُحيل في مشاركة نتائج التصوير الرقمي مع أحد المتخصصين الفرعيين للحصول على استشارة إلكترونية للحصول على تشخيص أكثر دقة.
تقوم شركات التأمين الصحي وغرف مقاصة الرعاية الصحية أيضًا بجمع المعلومات الصحية العامة (ePHI) فيما يتعلق بالفواتير والتحقق من التغطية التأمينية وتقييم المطالبات والسداد والمعاملات المماثلة.
أثناء إجراء الأبحاث على البشر، مثل التجارب السريرية، قد يقوم الباحثون أيضًا بجمع المعلومات الصحية العامة (ePHI) من المشاركين في الدراسة لفهمها بشكل أفضل تحليل نتائجها. على سبيل المثال، قد يرغب الباحثون الذين يدرسون الحالات المزمنة، مثل الربو أو مرض السكري، في معرفة ما إذا كان الأشخاص الذين يعيشون في مناطق جغرافية معينة أكثر عرضة للإصابة بهذه الأمراض. إذا تم إدخال هذه المعلومات في السجل الطبي الإلكتروني للمشارك أو تم استخدامها لتقديم الرعاية من خلال الدراسة، مثل تقييم التدخل، فإنها تصبح ePHI.
في وثائق HIPAA، يُشار إلى أي منظمة أو شركة تتعامل مباشرة مع ePHI باسم ” الكيان المغطى (م). يشير CE إلى مقدمي الرعاية الصحية والخطط الصحية ومراكز تبادل المعلومات الخاصة بالرعاية الصحية – على سبيل المثال، خدمات إعداد الفواتير وشركات إعادة التسعير وأنظمة معلومات إدارة صحة المجتمع – ويمكن أن يكون مؤسسة أو فردًا.
شريك الأعمال (BA) هو أ طرف ثالث البائع أو المقاول من الباطن الذي يقدم بعض الخدمات إلى CE، مثل تخزين البيانات أو تطوير البرامج. يمكن لكل من CEs وBAs إنشاء PHI والوصول إليها، طالما أنهم قاموا بتنفيذ الضمانات الأمنية التي تفرضها قاعدة أمان HIPAA.
ما الذي لا يعتبر ePHI؟
المعلومات التي ليست واحدة من معرفات HIPAA الـ 18 أو التي لم يتم استخدامها فيما يتعلق بتقديم الرعاية الصحية لا تعتبر بمثابة ePHI. بالإضافة إلى ذلك، فإن أي معلومات لم يتم جمعها أو الاحتفاظ بها بواسطة CE أو BA ليست ePHI.
المعلومات التالية أيضًا لا تعتبر ePHI:
- المعلومات في سجلات المدرسة أو التوظيف للفرد.
- البيانات الصحية التي تم تجريدها من أي معرفات، والمعروفة أيضًا باسم مجهول الهوية أو بيانات مجهولة المصدر.
- المعلومات المخزنة في الوسائط الإلكترونية، على سبيل المثال، التطبيقات أو الأجهزة القابلة للارتداء، والتي لا يمكن الوصول إليها أو مشاركتها إلا من قبل الشخص الذي تنتمي إليه هذه البيانات،
أين يتم تخزين ePHI؟
يمكن لمؤسسة الرعاية الصحية تخزين ePHI والوصول إليها في العديد من أنواع البنية التحتية لتكنولوجيا المعلومات أجهزة المستخدم النهائي:
- أجهزة الكمبيوتر.
- محركات الأقراص الصلبة الخارجية.
- أنظمة التخزين الرقمية.
- لاصقات مغناطيسية.
- الهواتف الذكية.
- الأجهزة المحمولة الأخرى.
يمكن أيضًا أن يكون EPHI المخزنة في السحابة، طالما أن المنظمة لديها اتفاقية البكالوريا في مكانه ويطبق نفس متطلبات الأمان المتوافقة مع قانون HIPAA على ePHI التي تنطبق على ePHI المحلية.
EPHI وHIPAA
يتعين على كافة CEs وBAs التي تقع ضمن نطاق HIPAA حماية ePHI من خلال الامتثال لقاعدة أمان HIPAA وقاعدة خصوصية HIPAA. يمكن أن يؤدي عدم الامتثال لأي من القاعدتين إلى فرض عقوبات مدنية أو جنائية ضد المنظمة أو الفرد غير الملتزم.
EPHI وHIPAA قاعدة الأمان
يجب على جميع CEs، بما في ذلك المستشفيات ومكاتب الأطباء ومقدمي التأمين الصحي، الالتزام بإرشادات القاعدة الأمنية HIPAA عند التعامل مع ePHI. وهذا يشمل ePHI البيانات في حالة راحة، وكذلك ePHI البيانات في العبور.
وفقًا لقاعدة أمان HIPAA، يجب على CEs اتخاذ خطوات معقولة لضمان السرية والنزاهة والتوافر (ثالوث وكالة المخابرات المركزية) لجميع ePHI التي يقومون بإنشائها أو استلامها أو صيانتها أو إرسالها. وهذا يشمل تحديد والحماية منها التهديدات المتوقعة بشكل معقول على أمن أو سلامة المعلومات.
ونظرًا لتنوع سوق الرعاية الصحية، فقد تم تصميم قاعدة أمان HIPAA لـ ePHI لتكون مرنة وتمكن CEs من تنفيذ السياسات والإجراءات والتقنيات المناسبة لحجم الكيان وقدراته ورغبته في المخاطرة. ولمساعدة المديرين التنفيذيين على التخطيط بشكل مناسب، تحدد القاعدة سلسلة من إداري, بدني و اِصطِلاحِيّ الإجراءات الأمنية – المعروفة باسم الضمانات — التي يجب على CEs تنفيذها لاستخدامها لضمان حصول وكالة المخابرات المركزية على ePHI.
ضمانات أمان ePHI بموجب قاعدة أمان HIPAA
تحدد القاعدة الأمنية لقانون HIPAA ثلاث فئات من الضمانات التي يجب على CEs تنفيذها لحماية ePHI: الإدارية والمادية والفنية.
إداري
- تنفيذ تدابير لمنع الانتهاكات الأمنية وكشفها واحتوائها والتخفيف من حدتها.
- تحديد وتحليل المخاطر المحتملة على ePHI، وتنفيذ التدابير الأمنية التي تقلل المخاطر ونقاط الضعف إلى مستوى معقول ومناسب.
- تعيين مسؤول أمني ليكون مسؤولاً عن تطوير وتنفيذ السياسات والإجراءات الأمنية للمنظمة.
- تنفيذ السياسات والإجراءات لضمان الوصول المناسب إلى ePHI.
- تنفيذ تدابير للإشراف على أعضاء القوى العاملة الذين يعملون مع ePHI أو يصلون إليه.
- قم بإجراء تقييمات دورية لتحديد مدى تلبية السياسات والإجراءات الأمنية المطبقة لمتطلبات قاعدة أمان HIPAA.
بدني
- الحد من الوصول المادي إلى المرافق، مع ضمان السماح بالوصول المصرح به.
- تنفيذ السياسات والإجراءات التي تحدد الاستخدام السليم ونقل وإزالة والتخلص من الوسائط الإلكترونية التي تحتوي على ePHI.
اِصطِلاحِيّ
- تنفيذ السياسات والإجراءات الفنية التي تسمح للأشخاص المصرح لهم فقط بالوصول إلى ePHI.
- تنفيذ الأجهزة و/أو البرامج و/أو الآليات الإجرائية لتسجيل وتحليل النشاط في أنظمة المعلومات التي تحتوي على ePHI أو تستخدمها.
- تنفيذ السياسات والإجراءات لمنع التغيير أو التدمير غير المناسب للـ ePHI.
- تنفيذ تدابير أمنية فنية، مثل التشفير، للاحتراز الوصول غير المصرح به إلى ePHI حيث يتم نقله عبر شبكة إلكترونية.
قاعدة خصوصية EPHI وHIPAA
تتطلب قاعدة خصوصية HIPAA من المؤسسات التي تجري معاملات الرعاية الصحية إلكترونيًا اتخاذ خطوات معقولة للحد من استخدام المعلومات الصحية المحمية والكشف عنها، بما في ذلك ePHI. وفقًا لهذه القاعدة، يجب عليهم تنفيذ التدابير المناسبة لحماية خصوصية المعلومات الصحية المحمية (PHI). وتضع القاعدة أيضًا عدة حدود وشروط فيما يتعلق باستخدام المعلومات الصحية المحمية والكشف عنها والتي قد يتم إجراؤها دون تصريح من الفرد.
بالإضافة إلى ذلك، توضح القاعدة الحقوق التي يتمتع بها الأفراد فيما يتعلق بالمعلومات الصحية المحمية الخاصة بهم، بما في ذلك الحق في القيام بما يلي:
- فحص والحصول على نسخة من سجلاتهم الصحية.
- طلب تصحيح سجلاتهم الصحية.
- قم بتوجيه CE لإرسال نسخة إلكترونية من معلوماتك الصحية إلى طرف ثالث.
يتطلب HIPAA من CEs تنفيذ الضمانات المناسبة لحماية ePHI طوال دورة حياتها. انظر كيف التخلص بشكل صحيح من ePHI تحت HIPAA.
