HIPAA, 1996’da yürürlüğe giren ve HITECH ile genişletilen bir federal yasadır. HIPAA, özellikle PHI (Protected Health Information – Korunan Sağlık Bilgisi) ve ePHI (Electronic PHI – Elektronik Sağlık Bilgisi) için kurallar koyar. HIPAA esas olarak ABD’deki sağlık sektörü için bağlayıcı olduğu gibi globalde ABD ile iş yapan kuruluşlar için de önem taşır.
Amacı;
- Sağlık bilgilerinin gizliliğini ve güvenliğini korumak,
- Sağlık sigortası haklarının sürekliliğini güvence altına almak,
- Sağlık hizmeti sağlayıcılarının elektronik ortamda veri paylaşımını standartlaştırmaktır.

HIPAA Kimler için Önemlidir?
- Sağlık hizmeti sağlayıcıları (Hastaneler, klinikler, diş hekimleri, doktor muayenehaneleri, laboratuvarlar)
- Sağlık sigortası şirketleri
- IT servis sağlayıcıları (bulut hizmeti, veri barındırma, yazılım firmaları)
- Faturalama & muhasebe şirketleri
- Danışmanlık ve hukuk firmaları (hasta verisine erişimi olan)
- Siber güvenlik sağlayıcıları
- Sağlık teknolojisi geliştiren yazılım firmaları (ör. hasta takip uygulamaları, telemedicine platformları)
- ABD’de iş yapmak isteyen uluslararası sağlık start-up’ ları
- Tıbbi cihaz üreticileri (hasta verisi toplayan cihazlar)
HIPAA’nın Temel Kuralları
- Privacy Rule (Gizlilik Kuralı): Hasta verilerinin nasıl paylaşılacağını ve kimlerle paylaşılabileceğini belirler
- Security Rule (Güvenlik Kuralı): Elektronik sağlık verilerinin korunması için teknik, idari ve fiziksel güvenlik önlemleri zorunlu kılar
- Breach Notification Rule (İhlal Bildirimi): Veri ihlali olduğunda, hastalara ve yetkililere bildirim yapılmasını şart koşar
HIPAA regülasyonuna uyumda öne çıkacak önlemler nelerdir?
Bu regülasyon, hasta verilerinin gizliliğini, bütünlüğünü ve güvenliğini korumayı amaçlar. Uyumu sağlamak için öne çıkan on uyum kontrol listesini şu şekildedir;
1. Risk analizi yapın,
2. Gizlilik ve güvenlik politikaları oluşturun,
3. Çalışan eğitimleri düzenleyin,
4. Erişim kontrolleri uygulayın,
5. Veri şifreleme kullanın,
6. Audit logları ve izleme sağlayın,
7. Fiziksel güvenliği sağlayın,
8. Üçüncü taraflarla iş ortağı anlaşması yapın (Business Associate Agreement),
9. Ani Olay/kesinti müdahale planı hazırlayın (iş sürekliliği kapsamında),
10. Düzenli iç denetim ve güncelleme yapın
CFECERT size nasıl yardımcı olabilir?
CFECERT Akredite denetim kuruluşu olduğu için sağlık kuruluşlarının en karmaşık gizlilik ve siber güvenlik zorluklarını aşmasına; eğitim ve belgelendirme hizmetleriyle destek olur;
- HIPAA Denetiminizi yapabilir ve raporunuzu yazabilir,
- İhtiyacınız olan eğitimleri sağlayabilir.
Daha fazla bilgi için bizimle iletişime geçin: info@cfecert.co.uk