Nori zuzendua dago?
HIPAA osasuneko eta aseguruen sektoreetarako garatutako Estatu Batuetako lege federal bat da. Ondorioz, aipatutako herrialdean lan egiten duen eta sektore horietako batekoa den erakundeetan bakarrik da aplikagarria.
Zer da?
HIPAA Health Insurance Portability and Accountability Act-en akronimoa da (Estatu Batuetako 1996ko lege federala). Estatu Batuetako osasun-laguntzarekin lotutako informazio-fluxua modernizatzeko, osasun-laguntzaren eta aseguru medikoen sektoreek erabiltzen dituzten datu pertsonalen lapurretaren eta iruzurraren aurrean nola babestu ezartzeko, eta AEBko aseguru medikoen estaldurak dituen mugak jorratzeko helburuarekin sortu zen legea.
Segurtasunari dagokionez, lege horrek xedatutakoaren arabera, osasun arloko datuak tratatzen dituzten enpresa guztiek bezeroen datuen pribatutasuna eta segurtasuna babesteko beharrezko berme administratibo, tekniko eta fisiko guztiak bete behar dituzte.
Legea gerora aldatu eta legeri gehigarriarekin osatu izan da, eta gaur egun oinarri teknikoa eskakizunen edo arauen 5 multzok osatzen dute (haietako 3 segurtasunari lotuta daude):
- HIPAA Privacy Rule
- HIPAA Security Rule
- Breach Notification Rule
- Omnibus Rule
- Enforcement Rule
Pribatutasunari dagokionez, arauak ezartzen ditu AEBko aseguru-etxe medikoek datu pertsonal medikoekin lotutako tratamenduak eragiten dieten eskubideak eta medikuntza arloko langileek haiekin lotuta egin dezaketen erabilera arautzen du. Arau horren planteamendua, oinarrian, Europako DBAOak xedatutakoaren antzekoak dira, baina ez berdinak (salbuespena da, kasu honetan, askoz ere maila espezifikoagoan egiten duela).
Segurtasunari dagokionez, arauak xedatzen du aseguru-etxe medikoek tratatzen duten informazioaren segurtasuna bermatzeko duten betebeharra. Hala, helburu hori lortzeko segurtasun-neurri teknikoak, fisikoak eta administratiboak ezarri behar dituzte.
Etenak jakinarazi behar izateari dagokionez, arauak xedatzen du jasandako segurtasun-jazoeren, lotutako epeen eta jakinarazpen hori egiteko erabili beharreko mekanismoen berri emateko betebeharra.
Helburuak
HIPAA legearen helburuak honela laburbil ditzakegu:
- Aseguru medikoen eramangarritasuna bermatzea, aurreko egoera medikoekin lotutako erabileraren blokeoa desagerrarazita.
- Osasun-arretako iruzurra eta gehiegikeriak gutxitzea.
- Osasun-informazioarekin lotutako arauak betearaztea.
- Osasun arloko informazioaren segurtasuna eta pribatutasuna bermatzea.
Onurak
HIPAA legeak xedatutako eskakizunak aplikatuta, edozein erakundek eskaintzen dituen onurak eskuratu ahal izango ditu:
- Osasun arloko datu pertsonalak galtzearen aurkako babesa: Osasun arloko informazio pribatua galtzea arau-hauste larria da; horrek arriskuan jartzen ditu pazienteak eta haien datu pertsonalak, eta HIPAA legea aplikatzea osasun arloko datu pertsonalen erabilerarekin lotutako demanden aurka erakunderako eta langileentzako babesa da.
- Pazientearen ongizatearen inguruko kontzientzia handiagoa: Informazioa eta datu sentsibleak babesteak pazientearen ongizatean du eragina.. HIPAA legeak xedatutakoaren arabera, langileek pazienteen informazioa behar bezala erabiltzearekin lotutako prestakuntza jaso behar dute eta, horrenbestez, zerbitzu hobea eskain diezaiekete eta pazienteekin duten elkarrekintza bakoitzaren eta horrek dituen ondorioen inguruko kontzientzia handiagoa izan dezakete.
- Pazientearen segurtasun-kultura garatzea: Osasun-erakunde pribatuak eta publikoak HIPAAren programetara atxikitzen direnean eta horiek aplikatzen dituztenean, pazientea erdigunean duen askoz ere kultura sendoagoa gara dezakete. Hala, zentroko langileek ikus dezakete pazientearen osasun arloko datu pertsonalak babesteak zer garrantzi duen, eta horrek guztiak akatsak egiteko aukera gutxitzen du eta erregistro pertsonalak eta medikoak uneoro babestuta eta pribatutasunaren pean mantentzen direla bermatzen da.
- Familien eta pazienteen asebetetze maila handiagoa: Pazienteen konfiantza galtzeko edo erakundearekiko ezinikusia sustatzeko (eta, horrenbestez, asebetetzea gutxitzeko) modu bizkorrenetako bat da osasun arloko datu pertsonalekin lotutako segurtasun-etena jasatea. Gainera, paziente edo senide batek aurkeztutako kexak agintariek HIPAA legea betetzearekin lotutako auditoria egitea eragingo du eta horrek asebetetzea gutxitzea ekarriko du berekin. Aldiz, HIPAA legearen eskakizunak behar bezala betetzea lagungarria izango da egoera horiek gerta ez daitezen.
- Erakundearen eta bertako zuzendarien erantzukizuna gutxitzea: HIPAAk ez ditu soilik pazienteak babesten; izan ere HIPAA legeak xedatutako eskakizun guztiak betetzean, erakundeak eta erakundeko zuzendariek ere babes maila handiagoa lortzen dute eta, gainera, segurtasun-etenen bat gertatuz gero, haien erantzukizuna txikiagoa izaten da haien erakundea HIPAA legeak ezarritako eskakizunei atxikita dagoela frogatuz gero.
HIPAA legea betetzeko kontuan izan beharreko faktoreak
- Erakundearen jarduera-herrialdea eta sektorea
- Erakundearen neurria
- Segurtasun-neurriak
- Pribatutasun-neurriak
- Antolaketako alderdiak
HIPAA legera egokitzeko prozesuaren faseak
1. fasea Proiektua abian jartzea
HIPAA legera egokitu ahal izateko, beharrezkoa da erakundearen goi mailako zuzendaritzaren inplikazioa izatea araudi transnazionala aplikatzen duelako eta aipatutako eskakizuna bete ahal izateko beharrezko aldaketa operatiboak bultza ditzaketen inplikazioak direla eta.
2. fasea Irismena mugatzea
Erakundeak tratatutako osasun arloko datu pertsonalak, tratamendu horietarako erabilitako informazio-sistemak eta tratamendu bakoitzari lotutako pertsonak identifikatu eta erregistratu behar ditu HIPAAren aplikazioaren esparrua mugatu ahal izateko.
3. fasea Arriskuen azterketa
Ondoren, datu pertsonalen tratamendu horietako bakoitzari lotutako pribatutasuneko eta segurtasuneko arriskuen azterketa egingo da. Tratatutako datu pertsonalei lotutako arriskuak zehaztuko dira, honako hauei lotutako inpaktua kontuan hartuta: datu pertsonalak ustekabean edo legez kontra aldatzea, suntsitzea edo galtzea.
4. fasea Segurtasun-neurriak jartzea
Azterketa horren arabera, tratamenduaren neurriak zehazteko unean zein tratamendua egiteko garaian, arriskuaren arabera egokia den segurtasun eta babes maila bermatzeko beharrezko neurri teknikoak, fisikoak eta administratiboak jarriko dira.
5. fasea Pribatutasun-neurriak jartzea
Era berean, tratamenduaren bitartekoak zehazteko unean zein tratamendua egiteko garaian, interesdunen eskubideak bermatzearekin eta osasuneko datu pertsonalak babestearekin lotuta erakundearen betebeharrak behar bezala gauzatzen direla bermatzeko egokiak diren neurri operatiboak finkatuko dira.
6. fasea Prestakuntza eta kontzientziazioa
Era berean, prestakuntza- eta kontzientziazio-plana garatuko da HIPAA planaren eragina jasango duten langile guztiek inplikazioen berri izan dezaten eta legea betetzen dela bermatzeko abian jarritako segurtasuneko eta pribatutasuneko neurri guztiak eta pazienteen osasuneko datu pertsonalen pribatutasuna errespetatzeak eta informazioaren segurtasuna bermatzeak duen garrantzia ezagut ditzaten.
7. fasea Erabilera eta mantentzea
Erakundeak osasun arloko datu pertsonalen tratamenduak ezarritako pribatutasun- eta segurtasun-neurrien arabera egin beharko du, datu pertsonalak beti aurrez ikusitako parametroen baitan mantentzeko eta izaera pertsonaleko datuen segurtasunean urraketarik ez gertatzeko moduan gordeta eta erabilita. Halakorik gertatuz gero, HIPAAk ezarritako moduan kudeatu beharko dira.
Non jaso dezaket aholkularitza edo non kontrata ditzaket HIPAA legera egokitzeko zerbitzuak?
BCSCk erakunde publikoen eta enpresa pribatuen esku “Euskadiko Zibersegurtasunaren Liburu Zuria”, jartzen du. Dokumentu horrek gure tokiko ekosistema osoaren egoera jasotzen du berrikuntza, ikerketa, ekintzailetza eta abarrak oinarri dituen ikuspegi ugarirekin. Bertan, zerbitzu mota horiek eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa azaltzen da, horiek eskatzeko interesa duten erakundeek erabakiak hartu behar dituztenean erreferentzia-puntu , bat izan dezaten.
Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpena edo irudia jasotzen du; zerrenda bizia da, aldizka berrikusten eta eguneratzen dena, sortzen diren aukeren eta zerbitzuen digitalizazioan etengabeko bilakaera eta aurrerapena gertatzen direlako.
Erreferentziak
HIPAA Wikipedian: https://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act