انتهاكات قانون حماية المعلومات الصحية: الأنواع، الأمثلة، وأكبر الانتهاكات في التاريخ.

ما هو انتهاك قانون HIPAA؟

قانون HIPAA، وهو قانون قابلية التأمين الصحي والمساءلة في الولايات المتحدة، تم سنه في عام 1996 لحماية المعلومات الصحية الحساسة للأفراد. يحدث انتهاك HIPAA عندما يكون هناك استخدام أو إفشاء غير مصرح به لمعلومات الصحة المحمية (PHI) التي تعرض أمان أو خصوصية الـ PHI للخطر. بصفتنا مقدمي الرعاية الصحية، فإن مسؤوليتنا هي التأكد من أننا ملتزمون بهذه اللوائح في جميع الأوقات. القراءة الموصى بها: أمن السيبرانية للذكاء الاصطناعي: تأمين أنظمة الذكاء الاصطناعي ضد التهديدات السيبرانية.

يمكن أن تحدث انتهاكات قانون HIPAA بطرق متنوعة، وليست دائمًا نتيجة للإهمال المتعمد أو wrongdoing. يمكن أن تكون بسيطة مثل مناقشة أحد العاملين في الرعاية الصحية لحالة مريض مع صديق، أو معقدة مثل خرق بيانات على مستوى النظام نتيجة لهجوم إلكتروني متطور. بغض النظر عن كيفية حدوثها، فإن كل انتهاك يمكن أن يحمل عقوبات شديدة، بما في ذلك غرامات كبيرة ومدة محتملة في السجن.

أنواع انتهاكات HIPAA

4 مستويات من انتهاكات HIPAA

تنقسم انتهاكات قانون HIPAA إلى أربعة مستويات بناءً على درجة المسؤولية المعنية:

• المستوى الأول هو عندما كان الكيان غير مدرك للانتهاك ولم يكن بإمكانه تجنبه بشكل واقعي.
• المستوى الثاني يتعلق بانتهاك كان يجب على الكيان أن يكون على علم به، لكنه لم يكن قادرًا على تجنبه حتى مع قدر معقول من العناية.
• المستوى الثالث هو انتهاك أهمله الكيان عن عمد، ولكنه تم تصحيحه في الوقت المناسب.
• المستوى الرابع والأعلى يشمل الانتهاكات التي تجاهلها الكيان عمدًا ولم يقم بتصحيحها في الوقت المناسب.

كل من هذه المستويات يتوافق مع مبلغ عقوبة مختلف، والذي يمكن أن يتراوح من 100 دولار إلى 1.5 مليون دولار لكل انتهاك. وغالبًا ما تعتمد شدة العقوبة على مستوى الإهمال المعني والأذى الذي لحق بالمريض أو المرضى المتأثرين.

الانتهاكات المدنية مقابل الانتهاكات الجنائية

في بعض الحالات، يمكن أن تؤدي انتهاكات قانون HIPAA إلى اتهامات جنائية. يحدث هذا عادةً عندما تكون الانتهاك شديدًا بشكل خاص، ويتصرف الشخص المسؤول عن علم وبنية ضارة. يمكن أن تؤدي الانتهاكات الجنائية لقانون HIPAA إلى غرامات وسجن، حيث تتراوح العقوبات من 50,000 دولار وسنة واحدة في السجن إلى 250,000 دولار وما يصل إلى 10 سنوات في السجن.

الانتهاكات المدنية لقانون HIPAA أكثر شيوعًا بكثير. تتعلق هذه الانتهاكات بخروقات غير مقصودة للخصوصية، مثلما يحدث عندما يكشف مزود الرعاية الصحية عن معلومات صحية محمية عن طريق الخطأ أو يفشل في حمايتها بشكل كافٍ. على الرغم من أن هذه الانتهاكات عادةً لا تتضمن نية خبيثة، إلا أنها قد تؤدي إلى غرامات كبيرة.

إشعارات الخرق

عند حدوث خرق لمعلومات الصحة المحمية (PHI)، يفرض قانون HIPAA إجراءات محددة لإخطار الأفراد المتأثرين، ووزارة الصحة والخدمات الإنسانية (HHS)، وفي بعض الحالات، وسائل الإعلام. يُعرف الخرق بأنه استخدام أو إفشاء غير مسموح به بموجب قاعدة الخصوصية التي تؤثر على أمان أو خصوصية المعلومات الصحية المحمية.

هناك عدة أنواع من الإشعارات:

• إشعار للأفراد: يجب على الكيانات المغطاة إبلاغ الأفراد المتأثرين دون تأخير غير معقول، وفي جميع الأحوال لا يتجاوز 60 يومًا بعد اكتشاف الخرق. يجب أن يتضمن هذا الإشعار وصفًا لما حدث، وأنواع المعلومات الصحية المحمية المعنية، والخطوات التي يجب على الأفراد اتخاذها لحماية أنفسهم، وما تفعله الكيان للتحقيق والتخفيف من الأذى، ومعلومات الاتصال للاستفسارات.
• إشعار إلى وزارة الصحة والخدمات الإنسانية: بالنسبة للخروقات التي تؤثر على أقل من 500 فرد، يجب على الكيانات المغطاة الاحتفاظ بسجل وتقديمه سنويًا إلى وزارة الصحة والخدمات الإنسانية. بالنسبة للخروقات التي تؤثر على 500 فرد أو أكثر، يجب على الكيانات إبلاغ وزارة الصحة والخدمات الإنسانية في نفس الوقت الذي يتم فيه إبلاغ الأفراد، ويفضل عبر موقع وزارة الصحة والخدمات الإنسانية.
• إشعار لوسائل الإعلام: في الحالات التي يؤثر فيها الخرق على أكثر من 500 مقيم في ولاية أو اختصاص، يجب على الكيان المعني أيضًا تقديم إشعار لوسائل الإعلام البارزة التي تخدم تلك الولاية أو الاختصاص. يهدف هذا المتطلب إلى نشر المعلومات حول الخرق بشكل أوسع لضمان أن الأفراد الذين قد يكونوا تأثروا ولكنهم غير مدركين للخرق يمكنهم اتخاذ تدابير وقائية.

أمثلة على انتهاكات قانون HIPAA التي يجب عليك تجنبها

الإفصاحات غير المسموح بها لمعلومات الصحة المحمية (PHI)

PHI، أو معلومات الصحة المحمية، هي أي معلومات تتعلق بحالة الصحة، أو تقديم الرعاية الصحية، أو الدفع مقابل الرعاية الصحية التي يمكن ربطها بفرد معين. واحدة من أكثر انتهاكات قانون HIPAA شيوعًا تتعلق بالكشف غير المسموح به عن PHI. يحدث هذا عادةً عندما يقوم مقدمو الرعاية الصحية أو شركاؤهم بكشف PHI دون إذن المريض أو لأغراض غير متعلقة بالصحة.

يمكن أن تحدث هذه التسريبات غير المسموح بها عمدًا أو عن غير عمد. على سبيل المثال، يمكن أن تحدث عندما يتحدث ممارس طبي عن حالة مريض في منطقة عامة، أو عندما يفقد أحد الموظفين مستندات تحتوي على معلومات صحية شخصية. حتى الفعل البسيط مثل إرسال بريد إلكتروني يحتوي على معلومات صحية شخصية إلى المستلم الخطأ يمكن أن يؤدي إلى انتهاك.

الوصول غير المصرح به إلى المعلومات الصحية المحمية

انتهاك شائع آخر لقانون HIPAA هو الوصول غير المصرح به إلى المعلومات الصحية المحمية (PHI). وغالبًا ما يحدث هذا الانتهاك عندما يقوم المتخصصون في الرعاية الصحية بالوصول إلى معلومات المرضى دون حاجة أو لأسباب شخصية، على الرغم من علمهم بأن مثل هذه الأفعال تتعارض مع القانون.

مثال على الوصول غير المصرح به يمكن أن يكون موظف في المستشفى يقوم بمشاهدة السجلات الطبية لأحد المشاهير بدافع الفضول، أو محترف طبي يتحقق من السجل الصحي لأحد أفراد أسرته دون الحصول على موافقته. الضرر المحتمل للمريض في مثل هذه الحالات كبير، حيث يمكن أن يؤدي إلى سرقة الهوية أو التمييز أو أشكال أخرى من الأذى.

عدم وجود أدوات وعمليات لحماية المعلومات الصحية المحمية (PHI)

يتطلب قانون HIPAA من مقدمي الرعاية الصحية تنفيذ تدابير أمان كافية لحماية المعلومات الصحية الشخصية (PHI). يشمل ذلك استخدام قنوات اتصال آمنة، وتشفير المعلومات الصحية الإلكترونية، والتخلص السليم من المعلومات الصحية. يمكن أن يؤدي نقص هذه الأدوات والعمليات إلى انتهاكات لقانون HIPAA.

أحد الأمثلة الشائعة على هذا الانتهاك هو استخدام الشبكات أو التطبيقات غير الآمنة التي تنقل المعلومات الصحية الشخصية (PHI). قد يفشل مقدمو الرعاية الصحية أو شركات التأمين أيضًا في استخدام أدوات التشفير لتأمين المعلومات الصحية الشخصية في كلا طرفي المعاملة، مما يجعلها عرضة للوصول غير المصرح به. من الناحية المادية، يمكن أن يؤدي التخلص غير السليم من المعلومات الصحية الشخصية، مثل عدم تمزيق الوثائق التي تحتوي على المعلومات الصحية الشخصية قبل التخلص منها، إلى انتهاكات أيضًا. يمكن أن يحدث هذا لكل من الشركات غير الصحية ومقدمي الرعاية الصحية وشركات التأمين.

الفشل في الدخول في اتفاقية شراكة تجارية متوافقة مع قانون HIPAA.

غالبًا ما يعمل مقدمو الرعاية الصحية مع شركاء تجاريين، الذين يقدمون خدمات نيابة عنهم تتعلق بالمعلومات الصحية المحمية (PHI). يتطلب قانون HIPAA من مقدمي الرعاية الصحية إبرام اتفاقية شريك تجاري متوافقة مع HIPAA (BAA) مع هذه الكيانات. تضمن اتفاقية الشريك التجاري أن يفهم الشركاء التجاريون مسؤولياتهم بموجب HIPAA ويوافقون على الامتثال لمتطلباته.

يمكن أن يؤدي عدم وجود اتفاقية BAA مناسبة إلى انتهاك قانون HIPAA. يحدث هذا الانتهاك عادة عندما يتجاهل مقدمو الرعاية الصحية توقيع اتفاقية BAA مع الشريك التجاري، أو عندما لا تتوافق الاتفاقية بشكل كامل مع متطلبات HIPAA.

عدم توفير وصول المرضى إلى معلوماتهم الصحية.

يمنح قانون HIPAA المرضى الحق في الوصول إلى معلوماتهم الصحية. يحدث انتهاك شائع لقانون HIPAA عندما يفشل مقدمو الرعاية الصحية في منح المرضى هذا الوصول. قد يكون ذلك بسبب نقص المعرفة بمتطلبات HIPAA، أو بسبب إنكار الوصول بشكل متعمد لتثبيط المرضى عن البحث عن رعاية في أماكن أخرى.

الإفصاحات غير المناسبة لأصحاب العمل

يحمي قانون HIPAA أيضًا من الكشف غير المناسب عن المعلومات الصحية الشخصية (PHI) لأصحاب العمل. لا يمكن لمقدمي الرعاية الصحية مشاركة المعلومات الصحية الشخصية مع أصحاب العمل دون الحصول على إذن صريح من المريض. يمكن أن تحدث الانتهاكات عندما يكشف مقدمو الرعاية الصحية عن المعلومات الصحية الشخصية لأصحاب العمل لأسباب غير متعلقة بالتعويضات العمالية أو الفوائد المتعلقة بالعمل.

أكبر انتهاكات قانون HIPAA والغرامات

لتوضيح مخاطر انتهاكات قانون HIPAA والحاجة إلى تدابير شاملة للامتثال، إليكم بعض من أكبر انتهاكات HIPAA في السنوات الأخيرة.

نشيد

تعرضت شركة أنثيم، واحدة من أكبر شركات التأمين الصحي في الولايات المتحدة، لخرق بيانات ضخم في عام 2015. أثر الخرق على ما يقرب من 79 مليون شخص، مما كشف عن أسمائهم وأرقام الضمان الاجتماعي ومعلومات شخصية أخرى. وقد أدى ذلك إلى فرض غرامة قياسية قدرها 16 مليون دولار على أنثيم من قبل مكتب الحقوق المدنية (OCR) بسبب انتهاكات متعددة لقانون HIPAA.

نظام الرعاية الصحية التذكاري (MHS)

في عام 2012، تعرضت MHS لخرق بيانات أدى إلى وصول غير مصرح به إلى معلومات صحية شخصية لـ 115,143 فردًا. حدث الخرق عندما احتفظ موظفون سابقون بالوصول إلى المعلومات الصحية الشخصية بعد انتهاء عملهم. أدى غياب التحكم في الوصول والفشل في مراجعة السجلات بانتظام إلى فرض غرامة قدرها 5.5 مليون دولار.

مستشفى نيويورك-بريسبيترين ومركز كولومبيا الطبي

في عام 2010، تم تغريم الكيانين بمبلغ إجمالي قدره 4.8 مليون دولار بعد الكشف غير المقصود عن المعلومات الصحية المحمية إلكترونيًا (ePHI) لـ 6800 فرد بسبب تعطيل خادم شخصي. وقد حددت OCR أن أيًا من الكيانين لم يقم بإجراء تحليل دقيق وشامل للمخاطر كان من الممكن أن يحدد الخادم كمصدر خطر.

رعاية الصحة المدافعة (AHC)

قامت AHC بتسوية عدة انتهاكات محتملة لقانون HIPAA في عام 2016 بمبلغ 5.55 مليون دولار. شملت هذه الانتهاكات عدم إجراء تحليل للمخاطر، والفشل في تنفيذ السياسات والإجراءات، والفشل في الدخول في اتفاقية شريك تجاري.

سيجنيت هيلث

تم تغريم شركة Cignet Health بمبلغ 4.3 مليون دولار في عام 2010 بسبب رفضها السماح لـ 41 مريضًا بالوصول إلى سجلاتهم الطبية، ثم فشلت في التعاون مع تحقيقات OCR بشأن الشكاوى.

التوافق مع قانون HIPAA باستخدام Exabeam

يمكن أن يؤدي عدم الامتثال لقانون HIPAA إلى غرامات كبيرة من مكتب حقوق الإنسان وعواقب أخرى. عندما لا يتم تنفيذ إدارة التصحيحات، وضوابط الوصول، والمراقبة بشكل كامل مع مجموعة الحلول المناسبة، فإن ذلك يترك المؤسسة عرضة لهجمات الفدية وغيرها من أساليب الهجوم التي يمكن أن تؤثر على رعاية المرضى.

يجمع نظام القياس عن بُعد منصة عمليات الأمن من Exabeam بين السجلات والسياق، وخلاصات معلومات الأمن، وتحليلات الذكاء الاصطناعي لتحديد السلوكيات الشاذة التي تُشير إلى هجمات محتملة. تُسهّل لوحات المعلومات المُعدّة مسبقًا إعداد تقارير الامتثال لقانون HIPAA. سواء كنت تستخدم إطار عمل مثل NIST أو إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK) ^Ⓡ، تُقدّم Exabeam مسارًا واضحًا لتتبع احتياجاتك من طلبات الامتثال والحوكمة، مع تحديد الوضع الطبيعي في بيئتك ولكل كيان مُسجّل دخوله.

تقدم أداة "Outcomes Navigator" رؤية مستمرة ورؤية حول تغطية الكشف والتحسينات التي تم إجراؤها، مما يوفر اقتراحات لتحسين تحليل السجلات، بالإضافة إلى إظهار أي المصادر والكشفات هي الأكثر فعالية ضد أي أجزاء من إطار عمل ATT&CK، وأي حالات استخدام تشير بشكل أكبر إلى اختراق الشبكة، والاستمرارية، والحركة الجانبية.