Güvenli İletişim HIPAA Uyumluluk

HIPAA, 1996 yılında kabul edilen Amerikan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nın kısaltılmasıdır. Yasa, bir standartlar bütünü olarak; Dünya genelinde sağlık sektöründe referans bir güvenlik standardı olarak kullanılmaktadır. HIPAA, Sağlık Sistemini oluşturan sektörde, Gizlilik ve Güvenlik gerektiren, özel gereklilikler’in uygulanması ve raporlanması için kurallar tanımlar. Bu, sorumlulukların, varlıkların, bilgi erişim izinlerinin tanımlanması ve HIPAA uyumluluk durum raporlarının oluşturularak, denetlenmesi ile gerçekleştirilir.

HIPAA Standartları;

İdari Tedbirler,
Fiziksel Tedbirler,
Teknik Tedbirler, olarak üç ayrı başlıkta incelenir.

Temel olarak;

İdari Tedbirler; Sağlık Sistemi içerisindeki, Konu ile ilgili İdari Sorumlunun tanımlanması, Organizasyonun uyması gereken prosedürlerin tanımlanması, Elektronik ortamdaki bilgileri seviyelendirerek kimlerin, nelere ulaşabileceğinin tanımlanması, organizasyon dışı yüklenici firmaların bu standartlar çerçevesinde rolünün tanımlanarak, sözleşme yapılması, acil durumların tanımlanarak, yapılacakların tanımlanması ve veri bütünlük kontrollerinin yapılandırılmasını içermektedir.

Fiziksel Tedbirler; Sağlık bilgilerini içeren ortamlara olan fiziksel erişimlerin, dikkatlice kontrol edilmesi ve izlenmesinin sağlanması.

Teknik Tedbirler; Sağlık Sistemi içerisindeki bilgi kaynaklarına yapılacak Siber Saldırılara karşı korunması, izlenmesi ve kayıt altına alınması. Veri iletimlerinde gelişmiş şifreleme metotlarının kullanılması, verinin bütünlüğünün garanti edilmesi, düzenli risk analizlerinin gerçekleştirilerek, organizasyon risk yönetmininin belgelenmesini içermektedir.

Günümüzde önlemler, Teknik bölüme yoğunlaşmaktadır. Genel olarak amaç, Hasta bilgisinin gizliliğini, bütünlüğünü koruyarak sadece yetkili/ilgili kişilerin erişmesini sağlamaktır.