תקנות HIPAA (Health Insurance Portability and Accountability Act) הן מסגרת רגולטורית אמריקאית מחייבת שנועדה להגן על מידע רפואי אישי (PHI – Protected Health Information). הרגולציה חלה על גופים רפואיים, ארגוני בריאות, חברות ביטוח רפואי — וגם על ספקים טכנולוגיים ועסקיים המספקים להם שירותים.

בעידן שבו מידע רפואי נשמר במערכות דיגיטליות, בענן ובמערכות שיתופיות, הסיכון לדליפת מידע רגיש גדל משמעותית. מידע רפואי נחשב לאחד מסוגי המידע הרגישים ביותר, ולכן HIPAA מציבה סטנדרטים מחמירים במיוחד לאבטחה, פרטיות וניהול הרשאות.

ארגון שאינו עומד בדרישות עלול להיחשף לקנסות של מיליוני דולרים, תביעות משפטיות, חקירות רגולטוריות ופגיעה חמורה במוניטין.

מהו מידע רפואי מוגן (PHI)?

HIPAA מגדירה PHI ככל מידע רפואי שניתן לקשר לאדם מזוהה. זה כולל מידע קליני, תפעולי ופיננסי הקשור לבריאותו של אדם.

דוגמאות ל-PHI:

• אבחנות רפואיות והיסטוריה רפואית

• תוצאות בדיקות מעבדה והדמיה

• מרשמים ותרופות

• פרטי ביטוח רפואי

• תיעוד טיפולים ואשפוזים

• מידע על תשלומים עבור שירותים רפואיים

• פרטים מזהים: שם, כתובת, ת"ז, תאריך לידה, מספר תיק רפואי

גם כתובת מייל של מטופל בצירוף מידע רפואי נחשבת PHI.

על מי חלה הרגולציה?

HIPAA חלה על שני סוגי גופים:

🏥 Covered Entities

גופים רפואיים כגון:

• בתי חולים ומרפאות

• רופאים ומטפלים

• קופות וביטוחי בריאות

• ספקי שירותי בריאות דיגיטליים

🤝 Business Associates

כל ספק חיצוני שמטפל במידע רפואי עבור גוף רפואי:

• חברות תוכנה רפואית

• ספקי ענן ואחסון

• חברות בילינג רפואי

• חברות סייבר ואבטחת מידע

• מוקדי שירות לקוחות

• ספקי IT ותשתיות

גם סטארטאפ ישראלי שמספק SaaS רפואי ללקוחות בארה״ב — חייב ב-HIPAA.

מרכיבי הליבה של HIPAA

הרגולציה בנויה ממספר כללים מרכזיים:

🔐 Privacy Rule

מגדיר כיצד ניתן להשתמש ולחשוף מידע רפואי, ומהן זכויות המטופלים.

🛡 Security Rule

מחייב יישום אמצעי אבטחה טכנולוגיים, פיזיים וארגוניים להגנה על מידע רפואי דיגיטלי (ePHI).

🚨 Breach Notification Rule

מחייב דיווח על אירועי אבטחת מידע לגורמים הרגולטוריים ולנפגעים.

⚖️ Enforcement Rule

מגדיר מנגנוני אכיפה, חקירות וקנסות.

עקרונות אבטחת המידע ב-HIPAA

בדומה לתקני אבטחת מידע מתקדמים, HIPAA מתמקדת בשלושה עקרונות יסוד:

Confidentiality – סודיות
הגבלת גישה למידע רפואי רק למורשים.

Integrity – שלמות
שמירה על דיוק ואמינות המידע.

Availability – זמינות
הבטחת גישה למידע רפואי בעת הצורך.

דרישות אבטחה מרכזיות

HIPAA אינה רק מסמך משפטי — היא מחייבת יישום ממשי של בקרות אבטחה:

🔎 ניהול סיכונים

ביצוע Risk Assessment תקופתי לזיהוי איומים ופערים.

👥 ניהול הרשאות

גישה מבוססת תפקידים (RBAC), עקרון הצורך לדעת (Least Privilege).

🔑 הצפנה והגנה על נתונים

הצפנת מידע במעבר ובמנוחה.

🧾 תיעוד ובקרה

ניהול לוגים, מעקב אחר גישה למידע וביקורת תקופתית.

🖥 אבטחת תחנות קצה ושרתים

אנטי וירוס, עדכוני אבטחה, בקרת גישה פיזית.

☁️ אבטחת ענן

בקרה על ספקי ענן וחתימה על הסכמי BAA.

Business Associate Agreement (BAA)

כל ספק שמטפל ב-PHI חייב לחתום על הסכם BAA עם הארגון הרפואי.
ההסכם מגדיר:

✔ חובות אבטחת מידע
✔ אחריות משפטית
✔ נהלי טיפול באירועי אבטחה
✔ דרישות תיעוד ודיווח

ללא BAA — העבודה אינה עומדת בדרישות HIPAA.