GDPR در مقابل HIPAA توجه به تفاوت ها

اگر در انگلستان یا هرجای دیگر در اتحادیه اروپا هستید ، ممکن است قبلاً کار خود را برای رعایت GDPR آغاز کرده باشید. مقررات عمومی حفاظت از داده ها (GDPR) مجموعه ای از الزامات منطبق است که در ماه مه 2018 اعمال می شود و برای هر سازمانی که با داده های ارائه شده توسط شهروندان اتحادیه اروپا سروکار دارد اعمال می شود. به عبارت دیگر ، این حکم می تواند برای سازمان شما اعمال شود ، حتی اگر خارج از اتحادیه اروپا هستید اما داده های مربوط به بیماران از اتحادیه اروپا را اداره می کنید.

 

خلاصه او مختصر

قبل از اینکه درباره تاثیر GDPR بر ارائه دهندگان خدمات درمانی بحث کنیم ، مهم است که به مقررات GDPR اشاره کنیم. فیلیپ پیلتیک مقاله مفصلی در این زمینه دارد ، اما نکات ضروری عبارتند از:

پایبندی دقیق به رضایت بیماران در هنگام کسب اطلاعات شخصی آنها. سازمان ها دیگر نمی توانند از استراتژی های انحصاری زیرکانه استفاده کنند که به طور پیش فرض رضایت بیمار را فرض می کند.

حق فراموش شدن - ارائه دهندگان مراقبت های بهداشتی دیگر نمی توانند اطلاعات بیماران را به طور نامحدود نگهداری کنند و باید در صورت درخواست این اطلاعات را برای همیشه حذف کنند.

ذخیره سازی با امنیت بالا - برای ارائه دهندگان خدمات درمانی اجباری است که از مکانیسم های امنیتی ، رمزگذاری ، نام مستعار ، افزونگی و تشخیص نفوذ استفاده کنند تا اطمینان حاصل شود که داده های بیمار به هیچ وجه به خطر نمی افتد.

 

شباهت ها با HIPAA

اگر در ایالات متحده هستید ، بسیاری از این مقررات ممکن است به لطف HIPAA در حال حاضر وجود داشته باشد. مقررات HIPAA حفاظت کامل SSL را برای داده های بیمار که از طریق سرورهای بیمارستان شما منتقل می شود ، اجباری می کند. همچنین ، مشابه GDPR ، الزامات رعایت HIPAA همچنین رعایت پروتکل های امنیتی دقیق داده ها را برای ارائه دهندگان مراقبت های بهداشتی و اطمینان از مطابقت با پروتکل های تعیین شده در حین دفع داده ها ، ضروری می کند.

 

پوشش

یکی از تفاوت های اساسی بین HIPAA و GDPR این است که این مقررات چه کسانی را تحت پوشش قرار می دهد. در ابتدا ، واضح است که GDPR شهروندان اتحادیه اروپا را پوشش می دهد در حالی که HIPAA محدود به شهروندان آمریکایی و سازمان های مراقبت های بهداشتی است. اما وقتی شهروندی از یکی از این کشورها برای مراقبت های بهداشتی از کشور ثالثی مانند هند دیدن می کند ، چه اتفاقی می افتد؟ در چنین سناریویی ، GDPR همچنان می تواند اعمال شود زیرا این یک مقررات مصرف کننده محور است - هر سازمانی در سراسر جهان ممکن است هنگام برخورد با داده های مربوط به شهروندان اتحادیه اروپا به این مقررات سختگیرانه پایبند باشد. از طرف دیگر ، HIPAA یک مقررات سازمان محور است و هرگونه داده ای که توسط سازمانهای خارج از ایالات متحده اداره می شود تحت حیطه HIPAA قرار نمی گیرد.

 

رضایت بیمار

همانطور که قبلاً اشاره کردیم ، مقررات HIPAA سازمان محور است و عمدتا برای محافظت از پرونده بیماران در برابر نقض امنیت است. در اصل ، در مورد رضایت بیمار برای استفاده از داده ها صحبت نمی شود. به عبارت دیگر ، بر خلاف GDPR ، جایی که سازمانها قبل از ذخیره اطلاعات شخصی خود در پایگاه داده خود باید رضایت فعال از بیمار دریافت کنند ، چنین الزامی از سوی HIPAA وجود ندارد. سازمان های مراقبت های بهداشتی آزادند که این جزئیات را تا زمانی که با امنیت کافی ذخیره و منتقل شده اند ، پردازش کنند.

 

حق پاک کردن

حق پاکسازی (به عبارت دیگر ، حق فراموش شدن) تا آنجا که به مراقبت های بهداشتی می پردازد یک موضوع پیچیده است. HIPAA حق فراموش شدن قانون را ندارد. این بدان معناست که هر پرونده بیمار که در پایگاه داده بیمارستان وجود دارد را نمی توان به سادگی به دلیل اینکه بیمار می خواهد پاک کرد. این بر خلاف GDPR است که در آن سازمان باید چنین درخواست هایی از مصرف کنندگان را رعایت کند.

در حالی که حق فراموش شدن می تواند یک حرکت جدی از سوی نهادهای نظارتی به نظر برسد ، اما برای ارائه دهندگان بیمه درمانی دقیقاً امکان پذیر نیست. این سازمانها حق بیمه را بر اساس سابقه گذشته بیمار ارزیابی می کنند. به این ترتیب ، ممکن است از بیمارانی که سیگاری زنجیره ای شناخته می شوند ، حق بیمه بسیار بیشتری برای بیمه سرطان دهان گرفته شود در حالی که فرد غیرسیگاری که ریسک کمتری دارد ، هزینه کمتری پرداخت کند. چه اتفاقی می افتد اگر فرد سیگاری درخواست کند اطلاعات بیمار خود را حذف کند؟ حکم GDPR که به بیماران اجازه می دهد پرونده های خود را پاک کنند ، می تواند برای افرادی که دارای زندگی سالم هستند جریمه شود و این امر برای افرادی که دارای سبک زندگی ناسالم هستند ارزان تر است.

 

بازاریابی

یکی از بزرگترین تفاوت های بین HIPAA و GDPR نحوه برخورد مقررات با پردازنده های اطلاعات است. GDPR دو طرف مسئول رسیدگی به داده ها را مشخص می کند - کنترل کننده ها سازمان های مراقبت های بهداشتی هستند که داده های بیماران را در اختیار دارند در حالی که پردازنده ها سازمان های شخص ثالثی هستند که ممکن است مسئول انتقال این اطلاعات باشند. یک شرکت میزبانی ایمیل یا یک آژانس بازاریابی ممکن است پردازنده در نظر گرفته شود در حالی که بیمارستان یا شرکت بیمه شما کنترل کننده است.

به گفته مری هال ، مدیرعامل iHealthSpot - شرکتی که بازاریابی را برای سازمان های مراقبت های بهداشتی انجام می دهد - HIPAA به صراحت سازمان های مراقبت های بهداشتی را از اجازه دادن به سازمان های شخص ثالث برای ارسال پیام های بازاریابی به بیماران بدون رضایت منع نمی کند. او به حکم بخش 164.514 (e) HIPAA اشاره می کند که می گوید سازمان های بهداشت و درمان ممکن است "مجموعه داده محدود" را برای اهداف بازاریابی به شخص ثالث افشا کنند. این مجموعه داده محدود باید شناسه های مستقیم مانند نام ، آدرس ، شماره تلفن ، ایمیل ، آدرس IP و عکس ها را حذف کند. در حالی که این امر به نظر سخت نمی آید ، باید توجه داشت که بر خلاف GDPR ، به اشتراک گذاشتن این جزئیات برای اشخاص ثالث نیازی به رضایت بیمار ندارد.

 

تخلفات

هر دو HIPAA و GDPR مجازاتهای سختی را برای سازمانهایی که مقررات آنها را نقض می کنند پیشنهاد می کنند. با این حال ، تفاوت قابل توجهی در نحوه ارزیابی تخلفات در وهله اول وجود دارد. با GDPR ، هر سازمانی که دستورالعمل های مربوط به امنیت یا رسیدگی به داده های شخصی را نقض کند ، قابل پیگرد است. قانون نهایی Omnibus 2013 از HIPAA می گوید که قانون ذکر شده برای پیگردهای مربوط به "آسیب قابل توجه" ناشی از نقض ، سازمان ها باید ثابت کنند که آسیب رخ نداده است. همچنین ، دستورالعمل های HIPAA ممکن است در مواقع بلایا مانند طوفان هاروی اخیر لغو شود. در حال حاضر چنین مقرراتی با GDPR وجود ندارد.

اگرچه GDPR محدود به مراقبت های بهداشتی نیست ، اما تلاش می کند مقرراتی را اعمال کند که بسیار سختگیرانه تر هستند و به نوبه خود از مصرف کنندگان شما بهتر از HIPAA محافظت می کند. اگر شما سازمانی هستید که با بیماران خارج از ایالات متحده برخورد می کند ، ایده خوبی است که کسب و کار خود را برای رعایت GDPR آماده کنید. علاوه بر این که شما به الزامات قانونی پایبند هستید ، برای بیماران شما نیز بهتر است.

 

منبع: healthitoutcomes

 

همچنین بخوانید:

چرا باید روش انتقال الکترونیکی تصاویر را انتخاب کنیم؟

کرونا و پزشکی از راه دور

واژه پزشکی از راه دور یا telemedicine به چه معناست؟

بالا