الصحة - اختراق ISAC للرعاية الصحية 6-1-2023

هذا الأسبوع، اختراق الرعاية الصحية نلقي نظرة على اقتراح لجنة التجارة الفيدرالية القادم لإصدار قواعد تنظيمية من شأنها توضيح وتعزيز قاعدة إخطار خرق الرعاية الصحية. ونفحص ماهية القاعدة، وكيف ترتبط بقانون نقل التأمين الصحي والمساءلة (HIPAA)، ولماذا قد تكون مهمة لمنظمات الرعاية الصحية غير المشمولة به.

كتذكير، هذه هي النسخة العامة من مدونة Hacking Healthcare. للحصول على تحليلات وآراء أكثر تعمقًا، انضم إلى H-ISAC واحصل على نسخة TLP Amber من هذه المدونة (المتاحة في بوابة الأعضاء).

إصدار PDF:
التحميل

نسخة النص:

مرحبًا بك مرة أخرى اختراق الرعاية الصحية.

تقترح لجنة التجارة الفيدرالية مراجعة قواعد إخطار خرق الصحة

في 18 مايو، نشرت لجنة التجارة الفيدرالية (FTC) بيانًا صحفيًا للإعلان عن نيتها تقييم "التعديلات الرامية إلى تعزيز وتحديث قاعدة إخطار الخروقات الصحية (HBNR)".^[أنا] ورغم أن هذه القاعدة ليست إجراء تنظيميا يؤثر بشكل مباشر على الكيانات التي يغطيها قانون التأمين الصحي المحمول والمساءلة (HIPAA)، فقد لفتت الانتباه باعتبارها ردا على "تطبيقات الصحة وغيرها من التقنيات الصحية المباشرة للمستهلك، مثل أجهزة تتبع اللياقة البدنية، [التي أصبحت] شائعة".[الثاني] إن التغييرات المقترحة على القواعد، والتعليقات الأخيرة التي أدلت بها مفوضة لجنة التجارة الفيدرالية ريبيكا كيلي سلوتر على القاعدة، تثير تساؤلات حول الاهتمام التنظيمي المتزايد بخصوصية البيانات وحماية البيانات الصحية الحساسة.

بالنسبة لأولئك غير المألوفين بـ HBNR التابع للجنة التجارة الفيدرالية، فإنه "يتطلب من بائعي السجلات الصحية الشخصية ("PHRs") والكيانات ذات الصلة التي لا يغطيها قانون نقل التأمين الصحي والمساءلة ("HIPAA") إخطار الأفراد ولجنة التجارة الفيدرالية، وفي بعض الحالات، وسائل الإعلام، بوجود خرق للبيانات الصحية الشخصية غير المؤمنة".[ثالثا] وتتوافق هذه القاعدة مع الأولويات الأوسع التي تتبناها لجنة التجارة الفيدرالية لحماية بيانات المستهلكين الحساسة. ورغم أن القاعدة كانت سارية المفعول منذ عام 2010، إلا أنه لم يتم اتخاذ أي إجراءات تنفيذية إلا هذا العام.

ويأتي إشعار صياغة القواعد المقترحة وطلب التعليق بعد أن تلقت مراجعة القاعدة في عام 2020 دعمًا واسع النطاق من أصحاب المصلحة "لتوضيح أن القاعدة تنطبق على التطبيقات والتقنيات المماثلة" وللجنة التجارة الفيدرالية "لاتخاذ خطوات إضافية لحماية المعلومات الصحية غير المؤمنة التي يمكن التعرف عليها من خلال السجلات الصحية الشخصية والتي لا يغطيها قانون HIPAA، وذلك لمنع الإضرار بالمستهلكين".[الرابع]

بالإضافة إلى ذلك، علق أصحاب المصلحة على أن لجنة التجارة الفيدرالية يجب أن تكثف جهودها لإنفاذ القانون وأن التوضيح من شأنه أن يساعد في "تسوية المنافسة بين الشركات التي تتعامل مع نفس المعلومات الصحية".[الخامس]

وفي حين قدمت لجنة التجارة الفيدرالية إرشادات محدثة على هذا المنوال في عام 2021، يبدو أن الوكالة مستعدة لإضفاء الطابع الرسمي على التغييرات على HBNR.[السادس]  تهدف التغييرات المقترحة إلى:

(1) توضيح نطاق القاعدة، بما في ذلك تغطيتها لمطوري العديد من تطبيقات الصحة ("التطبيقات")؛

(2) تعديل تعريف خرق الأمن لتوضيح أن خرق الأمن يشمل خروقات أمن البيانات والإفصاحات غير المصرح بها؛

(3) مراجعة تعريف الكيان المرتبط بالسجلات الصحية الشخصية؛

(4) توضيح ما يعنيه بالنسبة لبائع السجلات الصحية الشخصية أن يستخرج معلومات صحية يمكن التعرف عليها من خلال السجلات الصحية الشخصية من مصادر متعددة؛

(5) تحديث طريقة الإخطار؛

(6) توسيع محتوى الإشعار؛ و

(7) تحسين قابلية قراءة القاعدة من خلال توضيح المراجع المتبادلة وإضافة الاستشهادات القانونية، وتوحيد متطلبات الإشعار والتوقيت، وتحديد العقوبات في حالة عدم الامتثال.

إن لجنة التجارة الفيدرالية مفتوحة لتلقي التعليقات العامة من أصحاب المصلحة المهتمين بشأن هذه القضايا لمدة 60 يومًا بمجرد نشرها رسميًا في غضون السجل الفدرالي، وهو ما لم يحدث حتى وقت كتابة هذا التقرير.

العمل والتحليل
**متضمن مع عضوية Health-ISAC**

توصيات 

بالنسبة للأعضاء المتأثرين بشكل مباشر بقاعدة لجنة التجارة الفيدرالية، فمن المرجح أن يكون من المفيد مراجعة التغييرات المقترحة وتقديم تعليقات حول أي مشكلات قد تواجهها أو أي توضيحات قد ترغب في تقديمها. قد تكون هذه هي الفرصة الرسمية الوحيدة للمساعدة في صياغة إجراءات لجنة التجارة الفيدرالية المستقبلية بشأن هذه القضية.

بالنسبة للأعضاء الذين لا يتأثرون بهذه القاعدة بشكل مباشر، ربما لأنهم مشمولون بقانون HIPAA، فمن الجدير بالذكر أنه لا يزال هناك تركيز قانوني وتنظيمي على الخصوصية وحماية البيانات الصحية. وعلاوة على ذلك، قد يكون من المثير للاهتمام معرفة كيف قد يتم تلقي بعض التغييرات التي اقترحتها لجنة التجارة الفيدرالية على الإخطار.

في حين أن لجنة التجارة الفيدرالية ووزارة الصحة والخدمات الإنسانية ليس لديهما نفس الأهداف أو السلطة أو الخبرة بالضبط، فإن انفتاح لجنة التجارة الفيدرالية على توسيع كمية ونوع المعلومات المطلوبة في إشعارات HBNR الخاصة بها يشير إلى الرغبة في إعلام الأفراد المتضررين وتثقيفهم وتقديم الإغاثة لهم على نحو أفضل بسبب انتهاكات بياناتهم الصحية بما يتجاوز ما هو مطلوب صراحةً بموجب لوائح الرعاية الصحية مثل HIPAA. في حين أن وزارة الصحة والخدمات الإنسانية ليست ملزمة باتباع قيادة لجنة التجارة الفيدرالية، وهناك اختلافات واعتبارات أخرى موجودة قد تمنع ببساطة نسخ نهجها، فقد يحفز ذلك وزارة الصحة والخدمات الإنسانية على النظر فيما إذا كان هذا مجالًا يستحق التحديث. قد يثير أيضًا اهتمام وزارة الصحة والخدمات الإنسانية بتحديث HIPAA على نطاق أوسع، وهو أمر طال انتظاره وموضوع نغطيه بشكل روتيني هنا.

خاتمة

إن نشر لجنة التجارة الفيدرالية لطلب التعليقات بشأن هذه القضية يساعد في توضيح طريق آخر حيث تتغلغل البيانات الشخصية الحساسة المتعلقة بالصحة في مجالات تتجاوز الرعاية الصحية التقليدية. إن الجهود التنظيمية الملموسة خارج وزارة الصحة والخدمات الإنسانية لحماية البيانات الصحية بشكل أفضل على نطاق واسع داخل الولايات المتحدة أمر جيد على نطاق واسع، ولكنها تثير قضية الاختلافات المحتملة بين أنواع الحماية الخاصة بالخصوصية والأمن وإشعارات الحوادث التي يعتقد كل منظم أنها مناسبة. لا نعرف بعد عدد التغييرات المقترحة التي ستسعى لجنة التجارة الفيدرالية إلى تحقيقها، لكن الأمر يستحق المتابعة. ومن الجدير بالذكر أيضًا أن الإدارة الحالية مهتمة جدًا بتحقيق التناغم التنظيمي، سواء داخل الولايات المتحدة أو على المستوى الدولي. ومن غير الواضح ما إذا كانت لجنة التجارة الفيدرالية تضع هذا في الاعتبار، ولكن هذا أمر يجب أن نشجعها جميعًا على النظر فيه.

مؤتمر

الثلاثاء، مايو 30

لا توجد جلسات استماع ذات صلة

الأربعاء، مايو 31

لا توجد اجتماعات ذات صلة

الخميس يونيو 1

لا توجد جلسات استماع ذات صلة

الدولي جلسات الاستماع/الاجتماعات

لا توجد اجتماعات ذات صلة

EU 

• الموارد والأخبار ذات الصلة