منذ ما يقرب من 30 عامًا ، دخل قانون قابلية التأمين الصحي والمساءلة لعام 1996 حيز التنفيذ لحماية استخدام المعلومات الصحية الشخصية والإفصاح عنها. ولكن مع وجود نظام جديد في المدينة ، تراقب الشركات عن كثب لمعرفة التغييرات التي يمكن أن تكون في الأعمال في إطار وزارة الصحة والخدمات الإنسانية الأمريكية (HSS) روبرت ف. كينيدي جونيور.
HIPAAالهدف الأساسي هو التأكد من حماية المعلومات الصحية للأفراد بشكل صحيح ، مع السماح بتدفق المعلومات الصحية اللازمة لتوفير الرعاية الصحية عالية الجودة للبقاء آمنًا ويمكن الوصول إليه بشكل آمن. يلفت القانون توازنًا يسمح بالاستخدامات المهمة لمعلومات المريض مع حماية خصوصية الأشخاص الذين يطلبون الرعاية.
أصبح كينيدي سكرتير HHS في فبراير وهو مسؤول عن إدارة جميع برامج HHS والإشراف عليها ، وأقسام التشغيل ، والأنشطة. لم يقدم كينيدي أي إعلانات رسمية حول دورة HIPAA المستقبلية ، لكن هذا لم يمنع مراقبي صناعة الرعاية الصحية من التكهن بالتحركات المستقبلية المحتملة ، خاصة وأن الوكالة تخطط لخفض ما يصل إلى 20.000 وظيفة كجزء من جهود الكفاءة في إدارة ترامب.
علامات التغييرات المبكرة القادمة؟
حتى الآن ، لم يأت أي اتصال من HHS حول HIPAA على وجه التحديد. “لقد وضع الوزير كينيدي التركيز الأولي للوكالة على فهم أسباب وتحسين علاج الأمراض المزمنة ، كجزء من حركته” Make America صحية مرة أخرى “، يلاحظ في مقابلة عبر البريد الإلكتروني.
ومع ذلك ، فإن بعض إعلانات السياسة قد تؤثر على HIPAA على وجه التحديد والخصوصية الصحية بشكل عام ، كما يقول زيمرر. الأهم من ذلك ، عكست HHS سياسة تتعلق بعملية وضع القواعد الفيدرالية التي تتطلب الحصول على مدخلات من الجمهور.
ويوضح قائلاً: “في السابق ، فإن HHS سوف تخطر الجمهور عن القواعد المقترحة والبحث عن مدخلات على المقترحات قبل الانتهاء منها”. “عن طريق إلغاء التنازل عن ريتشاردسون في نهاية فبراير ، يبدو أن هذا لم يعد هو الحال. “التنازل الذي يضمن المشاركة العامة في وضع القواعد الفيدرالية قيد الاستخدام منذ عام 1971 ، ولكن في أعقاب إعلان كينيدي في فبراير ، يمكن الفوز بإعفاءات للمدخلات العامة بسهولة أكبر.
في أواخر ديسمبر ، قبل الإدارة الجديدة وتعيين كينيدي ، أصدرت HHS أ إشعار بوضع القواعد المقترحة (NPRM) لتعديل قاعدة أمن HIPAA “لتعزيز حماية الأمن السيبراني للمعلومات الصحية المحمية الإلكترونية (EPHI).” تم تقديم التعليقات العامة بحلول 7 مارس ويجري النظر فيها حاليًا.
أرسلت مجموعات الصناعة الرئيس ترامب وكينيدي رسالة تطلب منهم إلغاء التحديثات إلى قاعدة أمان HIPAA. يقول زيمرر إنه من غير الواضح ما هي نتيجة تغييرات القاعدة المقترحة.
يعتقد ديفيد وايت ، رئيس شركة Axio ، مقدم إدارة المخاطر الإلكترونية ، أن صناعة الرعاية الصحية تواجه أزمة غير مستعدة لها. “التحديثات المقترحة لقاعدة أمن HIPAA هي استجابة مباشرة لمشكلة لم يتم فحصها دون رادع لسنوات” ، يحذر في مقابلة عبر الإنترنت.
يقول وايت: “منظمات الرعاية الصحية ليست مستعدة لتطور أو مقياس تهديدات الإنترنت اليوم”. “في حين أن أطراف الامتثال مثل HIPAA وضعت أساسًا ، إلا أنها كانت تاريخياً تفاعلية ، وتتطور فقط بعد أزمة.” يشير إلى الأخير تغيير خرق الرعاية الصحية في فبراير ، كأحدث مثال على مدى هشاشة النظام الحالي حقًا.
إجراء تغييرات
يقول زيمرر: “بالنظر إلى ميوله التحررية ، وأن عملية تحديث HIPAA بدأت بالفعل خلال إدارة ترامب الأولى ، أظن أن الوزير كينيدي سيكون لصالح تعزيز حماية الخصوصية”.
بموجب قواعد أمن HIPAA المقترحة ، سيتم الاحتفاظ بمنظمات الرعاية الصحية على مستوى أعلى من الأمن السيبراني ، ما لم يتم تغيير القواعد النهائية. يقول بيل هول ، الرئيس التنفيذي لشركة OurRecords ، وهو مزود لعروض الامتثال والتقدير الجودة للشركات في الصناعات عالية التنظيم ، إن قادة HHS الجدد على الأرجح سيعززون حماية HIPAA أكثر قوة ، خاصة فيما يتعلق بالبيانات الصحية عبر الإنترنت وخصوصية المريض. وهو يتوقع وصول الأدوات التي تعمل بمواد الذكاء الاصطناعى واللوائح العميقة حول جمع الشركات وتخزينها ومشاركة البيانات.
يقول هول في مقابلة عبر الإنترنت: “من المحتمل أن يتحكم المرضى في معلوماتهم ، وستواجه الشركات معايير امتثال أكثر صرامة”. ويضيف أن التغييرات القادمة ستؤثر على المسوقين وشركات التأمين والمستشفيات ورجال الأعمال. “سوف يكتسب المستهلكون المزيد من حماية الخصوصية ، ولكن سيتعين على الشركات التغيير” ، كما يتوقع. سيكون الجانب الأصعب هو الحفاظ على الأمان دون خنق الابتكار التقني. “إذا كانت القواعد واضحة وعملية ، فسوف تساعد في بناء الثقة في الصحة الرقمية دون إبطاء التقدم.
تفويضات الأمن السيبراني اللازمة
إن التفويضات الأقوى ضرورية ، لكن لا ينبغي اعتبارها رصاصة فضية ، تحذرها بيضاء. الأمن السيبراني لا يتعلق بفحص الصناديق – إنه يتعلق بفهم سطح الهجوم الكامل. يقول: “لا تهتم فاعلون التهديدات ما إذا كانت المنظمة هي كيان مغطى أو شريكًا تجاريًا-فهي تستغل الأضعف رابطًا. ولهذا السبب تعالج هذه اللوائح أخيرًا مخاطر الطرف الثالث ، مما يتطلب من البائعين التحقق من ضوابطهم الأمنية سنويًا”. ومع ذلك ، حتى مع وجود متطلبات جديدة ، فإن العديد من منظمات الرعاية الصحية ستظل تجد نفسها تلعب اللحاق بالركب.
سيأتي التنفيذ من خلال اللوائح المحدثة ، والمزيد من الإجراءات التنفيذية ، وربما إرشادات جديدة لمقدمي الرعاية الصحية وشركات التكنولوجيا ، كما يقول هول. “HHS يمكن [also] “تشديد القيود المفروضة على مشاركة البيانات مع أطراف ثالثة ، وزيادة عمليات التدقيق ، وتحصين اللوائح الموافقة ، ويجب على الشركات التي تتعامل مع البيانات الصحية – سواء في مجال الرعاية الصحية أو التأمين أو تكنولوجيا المعلومات – تقييم عملياتها لضمان الامتثال”.
تجاوز الامتثال
يجب أن يكون الامتثال هو الأرض – وليس السقف ، كما يقول وايت. “تحتاج المنظمات إلى تجاوز ما هو مطلوب من خلال التركيز على تحليل المخاطر المستمر ، وقدرات الاستجابة السريعة ، وثقافة أمنية تعطي الأولوية للمرونة” ، كما ينصح. “لأنه في الرعاية الصحية ، فإن الهجوم الإلكتروني ليس مجرد مشكلة في تكنولوجيا المعلومات – إنها أزمة سلامة المرضى في انتظار حدوثها.”
