HIPAA Compliance for Digital Health Platforms

डिजिटल स्वास्थ्य प्लेटफार्मों के लिए # HIPAA अनुपालन

डिजिटल स्वास्थ्य प्लेटफ़ॉर्म - टेलीहेल्थ एप्लिकेशन, रोगी पोर्टल, रिमोट मॉनिटरिंग सिस्टम, स्वास्थ्य विश्लेषण उपकरण और ईएचआर एकीकरण - दुनिया के कुछ सबसे कड़े गोपनीयता और सुरक्षा नियमों के अधीन हैं। HIPAA उल्लंघनों के परिणामस्वरूप अकेले 2023 में नागरिक मौद्रिक दंड में $145 मिलियन का जुर्माना लगा, जिसमें व्यक्तिगत जुर्माना प्रति उल्लंघन श्रेणी $1.9 मिलियन तक पहुंच गया। नागरिक अधिकार कार्यालय (ओसीआर) ने न केवल पारंपरिक स्वास्थ्य सेवा प्रदाताओं बल्कि हेल्थकेयर ऐप डेवलपर्स, क्लाउड प्रदाताओं और व्यावसायिक सहयोगियों के खिलाफ प्रवर्तन को आगे बढ़ाने की इच्छा प्रदर्शित की है।

यह समझना कि वास्तव में HIPAA दायित्वों को क्या ट्रिगर करता है, और आधुनिक डिजिटल स्वास्थ्य वास्तुकला में सुरक्षा नियम के तकनीकी सुरक्षा उपायों को कैसे लागू किया जाए, इस क्षेत्र में किसी भी टीम के निर्माण के लिए आवश्यक है।

मुख्य बातें

• HIPAA कवर की गई संस्थाओं और उनके व्यावसायिक सहयोगियों पर लागू होता है - डिजिटल स्वास्थ्य प्लेटफ़ॉर्म आमतौर पर BA होते हैं
• संरक्षित स्वास्थ्य सूचना (पीएचआई) में स्वास्थ्य, उपचार या भुगतान डेटा से जुड़े 18 विशिष्ट पहचानकर्ता शामिल हैं
• सुरक्षा नियम के लिए इलेक्ट्रॉनिक PHI (ePHI) के लिए प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपायों की आवश्यकता होती है
• किसी भी PHI को तीसरे पक्ष के साथ साझा करने से पहले बिजनेस एसोसिएट एग्रीमेंट (BAAs) कानूनी रूप से आवश्यक हैं
• HITECH (2009) ने जुर्माने में उल्लेखनीय वृद्धि की और BA उपठेकेदारों के लिए HIPAA दायित्वों को बढ़ा दिया
• एचएचएस और प्रभावित व्यक्तियों को 60 दिनों के भीतर उल्लंघन की सूचना देना आवश्यक है
• ओसीआर ऑडिट केवल अस्पतालों को ही नहीं, बल्कि डिजिटल स्वास्थ्य कंपनियों को भी निशाना बना रहा है
• सेफ हार्बर या विशेषज्ञ निर्धारण विधियों का उपयोग करके डी-आइडेंटिफिकेशन HIPAA प्रयोज्यता को हटा देता है

---

किसे HIPAA का अनुपालन करना चाहिए

HIPAA (स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम, 1996) और HITECH अधिनियम (2009) बाध्य संस्थाओं की दो प्राथमिक श्रेणियों को परिभाषित करते हैं:

कवर्ड एंटिटीज़ (सीई):

• स्वास्थ्य सेवा प्रदाता जो इलेक्ट्रॉनिक रूप से स्वास्थ्य जानकारी प्रसारित करते हैं (अस्पताल, क्लीनिक, चिकित्सक, फार्मेसियाँ)
• स्वास्थ्य योजनाएं (बीमा कंपनियां, नियोक्ता स्वास्थ्य योजनाएं, मेडिकेयर/मेडिकेड)
• हेल्थकेयर क्लियरिंगहाउस

बिजनेस एसोसिएट्स (बीए): कोई भी इकाई जो किसी कवर की गई इकाई की ओर से पीएचआई बनाती है, प्राप्त करती है, बनाए रखती है या प्रसारित करती है। डिजिटल स्वास्थ्य कंपनियाँ आमतौर पर यहीं गिरती हैं। उदाहरण:

• मरीज के रिकॉर्ड तक पहुंच वाले ईएचआर सॉफ्टवेयर विक्रेता
• टेलीहेल्थ प्लेटफ़ॉर्म जो प्रदाता-रोगी संचार की सुविधा प्रदान करते हैं
• मेडिकल बिलिंग और कोडिंग सेवाएं
• स्वास्थ्य डेटा एनालिटिक्स प्लेटफ़ॉर्म
• क्लाउड स्टोरेज प्रदाता ईपीएचआई का भंडारण करते हैं
• संभावित पीएचआई पहुंच वाली आईटी सहायता कंपनियां

हाईटेक विस्तार: हाईटेक अधिनियम ने बिजनेस एसोसिएट उपठेकेदारों (कभी-कभी "सबबीए" कहा जाता है) के लिए प्रत्यक्ष एचआईपीएए दायित्व बढ़ाया। यदि आप बीए हैं और आप ईपीएचआई को स्टोर करने के लिए क्लाउड प्रदाता का उपयोग करते हैं, तो वह क्लाउड प्रदाता प्रत्यक्ष एचआईपीएए दायित्वों के साथ एक सबबीए है।

उपभोक्ता स्वास्थ्य ऐप्स और HIPAA: एक आम ग़लतफ़हमी यह है कि सभी स्वास्थ्य ऐप्स HIPAA के अधीन हैं। यदि कोई उपभोक्ता सीधे आपका ऐप डाउनलोड करता है और अपने स्वयं के स्वास्थ्य डेटा को इनपुट करता है - किसी कवर इकाई की भागीदारी के बिना - HIPAA आम तौर पर उस डेटा पर लागू नहीं होता है। हालाँकि, यदि कोई अस्पताल आपके ऐप को अपने मरीजों के लिए तैनात करता है, तो आप बीए बन जाते हैं। FTC स्वास्थ्य उल्लंघन अधिसूचना नियम (अद्यतन 2024) HIPAA स्थिति की परवाह किए बिना उपभोक्ता स्वास्थ्य ऐप्स पर लागू होता है।

---

संरक्षित स्वास्थ्य सूचना: 18 पहचानकर्ता

पीएचआई किसी व्यक्ति के अतीत, वर्तमान या भविष्य की शारीरिक या मानसिक स्वास्थ्य स्थिति, स्वास्थ्य देखभाल प्रावधान, या स्वास्थ्य देखभाल के लिए भुगतान से संबंधित व्यक्तिगत रूप से पहचाने जाने योग्य स्वास्थ्य जानकारी है। निम्नलिखित 18 पहचानकर्ता, जब स्वास्थ्य जानकारी के साथ संयुक्त होते हैं, तो PHI का गठन करते हैं:

1. नाम
2. राज्य से छोटा भौगोलिक डेटा (पते, ज़िप कोड, जियोकोड)
3. किसी व्यक्ति से संबंधित तिथियां (वर्ष को छोड़कर) (जन्म तिथि, प्रवेश तिथि, डिस्चार्ज तिथि, मृत्यु तिथि)
4. फ़ोन नंबर
5. फैक्स नंबर
6. ईमेल पते
7. सामाजिक सुरक्षा नंबर
8. मेडिकल रिकॉर्ड नंबर
9. स्वास्थ्य योजना लाभार्थी संख्या
10. खाता संख्या
11. प्रमाणपत्र या लाइसेंस संख्या
12. वाहन पहचानकर्ता (वीआईएन, लाइसेंस प्लेट)
13. डिवाइस पहचानकर्ता और सीरियल नंबर
14. वेब यूआरएल
15. आईपी पते
16. बायोमेट्रिक पहचानकर्ता (फिंगरप्रिंट, वॉयसप्रिंट)
17. पूरे चेहरे की तस्वीरें और तुलनीय छवियां
18. कोई अन्य विशिष्ट पहचान संख्या, विशेषता या कोड

डी-आइडेंटिफिकेशन सभी 18 पहचानकर्ताओं को हटा देता है और विशेषज्ञ दृढ़ संकल्प या सांख्यिकीय सत्यापन की आवश्यकता होती है कि पुनः पहचान का जोखिम बहुत छोटा है। डी-आइडेंटिफाइड डेटा PHI नहीं है और HIPAA के दायरे से बाहर है - यह स्वास्थ्य विश्लेषण प्लेटफार्मों के लिए एक महत्वपूर्ण वास्तुशिल्प विचार है।

---

HIPAA गोपनीयता नियम

गोपनीयता नियम (45 सीएफआर भाग 164, उपभाग ए और ई) नियंत्रित करता है कि पीएचआई का उपयोग और खुलासा कैसे किया जा सकता है।

अनुमत उपयोग और प्राधिकरण के बिना प्रकटीकरण:

• उपचार, भुगतान और स्वास्थ्य सेवा संचालन (टीपीओ) - मुख्य उद्देश्य अपवाद
• सार्वजनिक स्वास्थ्य गतिविधियाँ (राज्य स्वास्थ्य विभागों को रोग रिपोर्टिंग)
• दुर्व्यवहार, उपेक्षा, या घरेलू हिंसा की रिपोर्टिंग के शिकार
• स्वास्थ्य निरीक्षण गतिविधियाँ (सीएमएस ऑडिट, ओसीआर जांच)
• न्यायिक और प्रशासनिक कार्यवाही (उचित कानूनी प्रक्रिया के साथ)
• कानून प्रवर्तन (सीमित परिस्थितियाँ)
• स्वास्थ्य या सुरक्षा के लिए गंभीर खतरा
• आवश्यक सरकारी कार्य

व्यक्तिगत प्राधिकरण की आवश्यकता वाले उपयोग और प्रकटीकरण:

• पीएचआई का उपयोग कर विपणन
• पीएचआई की बिक्री
• अधिकांश शोध उपयोग (जब तक कि आईआरबी छूट प्राप्त न हो)
• कोई भी उपयोग जो उपरोक्त अनुमत श्रेणियों में शामिल नहीं है

न्यूनतम आवश्यक मानक: उपचार के अलावा अन्य उद्देश्यों के लिए पीएचआई का खुलासा करते समय, आपको प्रकटीकरण को इस उद्देश्य के लिए आवश्यक न्यूनतम तक सीमित करने के लिए उचित प्रयास करना चाहिए। यह बीए पर भी लागू होता है - आपके प्लेटफ़ॉर्म को केवल आपके विशिष्ट कार्य के लिए आवश्यक PHI तत्वों को संसाधित करना चाहिए।

गोपनीयता नियम के तहत मरीजों के अधिकार:

• अपने पीएचआई तक पहुंचने का अधिकार (30 दिनों के भीतर; 2021 नियम ने कई पहुंच बाधाओं को हटा दिया और शुल्क कम कर दिया)
• पीएचआई में संशोधन करने का अधिकार, जिसे वे गलत मानते हैं
• प्रकटीकरण के लेखांकन का अधिकार (टीपीओ के बाहर, पिछले 6 वर्षों के लिए)
• कुछ उपयोगों पर प्रतिबंध का अनुरोध करने का अधिकार
• गोपनीय संचार का अधिकार
• सुविधा निर्देशिकाओं से बाहर निकलने का अधिकार

---

HIPAA सुरक्षा नियम

सुरक्षा नियम (45 सीएफआर भाग 164, उपभाग ए और सी) विशेष रूप से इलेक्ट्रॉनिक पीएचआई (ईपीएचआई) पर लागू होता है और प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपायों को लागू करने के लिए कवर की गई संस्थाओं और बीए की आवश्यकता होती है।

प्रशासनिक सुरक्षा उपाय

सुरक्षा अधिकारी: HIPAA सुरक्षा नीति विकास और कार्यान्वयन के लिए जिम्मेदार एक व्यक्ति को नामित करें। इस पदनाम का दस्तावेज़ीकरण करें.

कार्यबल प्रशिक्षण: सभी कार्यबल सदस्यों को HIPAA नीतियों और प्रक्रियाओं पर प्रशिक्षित करें। समापन तिथियों के साथ प्रशिक्षण रिकॉर्ड बनाए रखें।

पहुंच प्रबंधन प्रक्रियाएं: दस्तावेज करें कि ईपीएचआई तक कार्यबल की पहुंच कैसे अधिकृत, स्थापित, संशोधित और समाप्त की जाती है।

सुरक्षा जागरूकता प्रशिक्षण: सभी उपयोगकर्ताओं को उनकी भूमिका से संबंधित सुरक्षा विषयों पर प्रशिक्षित करें: फ़िशिंग पहचान, पासवर्ड स्वच्छता, रिपोर्टिंग घटनाएं।

आकस्मिक योजना: एक दस्तावेजित डेटा बैकअप योजना, आपदा पुनर्प्राप्ति योजना, आपातकालीन मोड संचालन योजना और परीक्षण और संशोधन प्रक्रियाएं विकसित करें।

मूल्यांकन: आपके सुरक्षा उपाय सुरक्षा नियम की आवश्यकताओं को कितनी अच्छी तरह पूरा करते हैं, इसका समय-समय पर तकनीकी और गैर-तकनीकी मूल्यांकन करें।

शारीरिक सुरक्षा उपाय

सुविधा पहुंच नियंत्रण: ईपीएचआई युक्त सुविधाओं और प्रणालियों तक भौतिक पहुंच को अधिकृत कर्मियों तक सीमित करने वाली नीतियों को लागू करें। क्लाउड-आधारित परिनियोजन के लिए, यह दायित्व आपके क्लाउड प्रदाता (बीएए की आवश्यकता) के पास जाता है।

वर्कस्टेशन का उपयोग: ईपीएचआई और उनके परिवेश की भौतिक विशेषताओं तक पहुंच के साथ वर्कस्टेशन पर किए गए उचित कार्यों का दस्तावेजीकरण करें।

डिवाइस और मीडिया नियंत्रण: ईपीएचआई युक्त हार्डवेयर और इलेक्ट्रॉनिक मीडिया की आवाजाही के लिए दस्तावेज़ प्रक्रियाएं; आंदोलन से पहले डेटा बैकअप; निपटान से पहले डेटा मिटाना/नष्ट करना।

तकनीकी सुरक्षा उपाय

पहुंच नियंत्रण: केवल अधिकृत व्यक्तियों को ईपीएचआई तक पहुंचने की अनुमति देने के लिए तकनीकी तंत्र लागू करें:

• सभी ईपीएचआई सिस्टम उपयोगकर्ताओं के लिए विशिष्ट उपयोगकर्ता पहचान
• आपातकालीन पहुँच प्रक्रियाएँ
• निष्क्रिय अवधि के बाद स्वचालित लॉगऑफ़
• एन्क्रिप्शन और डिक्रिप्शन क्षमता

ऑडिट नियंत्रण: ईपीएचआई युक्त सिस्टम में पहुंच और गतिविधि को रिकॉर्ड करने और जांचने के लिए हार्डवेयर, सॉफ्टवेयर और प्रक्रियात्मक तंत्र को लागू करें। ऑडिट लॉग को कम से कम 6 वर्षों तक बनाए रखें।

अखंडता नियंत्रण: यह पुष्टि करने के लिए तंत्र लागू करें कि ईपीएचआई को अनधिकृत तरीके से बदला या नष्ट नहीं किया गया है। चेकसम, डिजिटल हस्ताक्षर, या समकक्ष।

ट्रांसमिशन सुरक्षा: नेटवर्क पर प्रसारित ईपीएचआई तक अनधिकृत पहुंच से बचाव के लिए तकनीकी सुरक्षा उपाय लागू करें। सभी ईपीएचआई ट्रांसमिशन के लिए टीएलएस 1.2+।

एन्क्रिप्शन: जबकि तकनीकी रूप से "एड्रेसेबल" (बिना शर्त आवश्यक नहीं), आराम और पारगमन में ईपीएचआई का एन्क्रिप्शन मानक अभ्यास माना जाता है और वैकल्पिक दस्तावेज़ीकरण बोझ को देखते हुए वास्तव में आवश्यक है। विश्राम के समय डेटा के लिए AES-256, ट्रांसमिशन के लिए TLS 1.2+ का उपयोग करें।

---

बिजनेस एसोसिएट समझौते

बीएए एक लिखित अनुबंध है जो किसी व्यावसायिक सहयोगी के साथ पीएचआई साझा करने से पहले आवश्यक होता है। इसमें शामिल होना चाहिए:

• बीए द्वारा पीएचआई के अनुमत और आवश्यक उपयोग और प्रकटीकरण की विशिष्टता
• आवश्यकता यह है कि बीए अनुबंध द्वारा अनुमति या आवश्यकता के अलावा पीएचआई का उपयोग या खुलासा नहीं करता है
• आवश्यकता है कि बीए अनधिकृत उपयोग या प्रकटीकरण को रोकने के लिए उचित सुरक्षा उपाय लागू करे
• पीएचआई के किसी भी उल्लंघन या संदिग्ध उल्लंघन के बारे में सीई को रिपोर्ट करने की आवश्यकता
• यह सुनिश्चित करने की आवश्यकता कि उपठेकेदार समान प्रतिबंधों से सहमत हों
• सीई के लिए पहुंच, संशोधन और लेखांकन अधिकार
• सभी PHI की समाप्ति, वापसी या विनाश पर (या यदि असंभव हो, तो सुरक्षा जारी रखें)

बचने के लिए महत्वपूर्ण बीएए अंतराल:

• उपठेकेदार श्रृंखला का कोई उल्लेख नहीं (आपका BA AWS का उपयोग करता है - AWS का आपके या आपके BA के पास अपना BAA होना चाहिए)
• बीएए रिश्ते के तहत प्राप्त सभी पीएचआई के बजाय विशिष्ट सेवाओं तक सीमित है
• कोई उल्लंघन अधिसूचना समय सीमा निर्दिष्ट नहीं है
• अनुमत उपयोगों का कोई स्पष्ट विवरण नहीं
• समाप्ति पर कोई विनाश/वापसी की बाध्यता नहीं

प्रमुख क्लाउड प्रदाता (AWS, Azure, Google Cloud) अपने स्वास्थ्य सेवा ग्राहकों के लिए BAAs की पेशकश करते हैं - AWS का BAA HIPAA-योग्य सेवाओं की एक विशिष्ट सूची को कवर करता है। सत्यापित करें कि आपके स्टैक में ईपीएचआई को छूने वाली प्रत्येक सेवा बीएए द्वारा कवर की गई है।

---

अधिसूचना नियम का उल्लंघन

हाईटेक-संशोधित उल्लंघन अधिसूचना नियम (45 सीएफआर भाग 164, सबपार्ट डी) के तहत, कवर की गई संस्थाओं को सूचित करना होगा:

1. प्रभावित व्यक्ति: बिना किसी अनुचित देरी के, उल्लंघन का पता चलने के 60 कैलेंडर दिनों के भीतर। प्रथम श्रेणी मेल (या यदि व्यक्तिगत रूप से चुना गया हो तो ईमेल)। इसमें क्या हुआ इसका विवरण, शामिल पीएचआई के प्रकार, व्यक्तियों द्वारा उठाए जाने वाले कदम और संपर्क जानकारी शामिल होनी चाहिए।

2. एचएचएस (ओसीआर): यदि उल्लंघन 500+ व्यक्तियों को प्रभावित करता है, तो एचएचएस वेब पोर्टल के माध्यम से व्यक्तियों को एक साथ (60 दिनों के भीतर) सूचित करें। यदि 500 ​​से कम है, तो एक लॉग बनाए रखें और अगले वर्ष 1 मार्च तक वार्षिक रूप से जमा करें।

3. मीडिया: यदि उल्लंघन किसी राज्य या अधिकार क्षेत्र के 500+ निवासियों को प्रभावित करता है, तो उस क्षेत्र में सेवा देने वाले प्रमुख मीडिया आउटलेट्स को सूचित करें (व्यक्तिगत नोटिस के साथ)।

बीए को कवर की गई इकाई को बिना किसी अनुचित देरी के और खोज के 60 दिनों के भीतर सूचित करना चाहिए।

उल्लंघन अनुमान: हाईटेक के तहत, पीएचआई की किसी भी अस्वीकार्य पहुंच, उपयोग या प्रकटीकरण को उल्लंघन माना जाता है जब तक कि सीई या बीए कम संभावना प्रदर्शित नहीं करता है कि चार-कारक जोखिम मूल्यांकन का उपयोग करके पीएचआई से समझौता किया गया था: (1) पीएचआई की प्रकृति और सीमा, (2) किसने इसका उपयोग किया या इसका उपयोग किया, (3) क्या पीएचआई वास्तव में हासिल किया गया था या देखा गया था, (4) किस हद तक जोखिम को कम किया गया है।

एन्क्रिप्शन के लिए सुरक्षित हार्बर: एन्क्रिप्टेड ईपीएचआई का उल्लंघन जहां डिक्रिप्शन कुंजी से भी समझौता नहीं किया गया था, उसे उल्लंघन अधिसूचना आवश्यकताओं से बाहर रखा गया है - जिससे ईपीएचआई का एन्क्रिप्शन एक विशेष रूप से शक्तिशाली जोखिम शमन रणनीति बन गया है।

---

HIPAA तकनीकी कार्यान्वयन चेकलिस्ट

• PHI इन्वेंट्री पूरी हो गई - सभी डेटा तत्व, सिस्टम और प्रवाह प्रलेखित
• डी-आइडेंटिफिकेशन विश्लेषण पूरा हो गया है - जहां डी-आइडेंटिफिकेशन उपयुक्त है, वहां पीएचआई को न्यूनतम कर दिया गया है
• HIPAA सुरक्षा अधिकारी को नामित और प्रलेखित किया गया
• जोखिम विश्लेषण पूर्ण और प्रलेखित (§164.308(ए)(1) के तहत आवश्यक)
• जोखिम प्रबंधन योजना लागू की गई
• ईपीएचआई (क्लाउड प्रदाता, एनालिटिक्स टूल, ईमेल सेवाएं) को संभालने वाले सभी विक्रेताओं के साथ बीएए पर हस्ताक्षर किए गए
• सभी ईपीएचआई सिस्टम उपयोगकर्ताओं के लिए अद्वितीय उपयोगकर्ता आईडी के साथ पहुंच नियंत्रण लागू किया गया
• सभी ईपीएचआई सिस्टम एक्सेस के लिए एमएफए लागू किया गया
• सभी ईपीएचआई प्रणालियों पर ऑडिट लॉगिंग सक्षम (6 वर्ष बरकरार)
• स्वचालित सत्र टाइमआउट कॉन्फ़िगर किया गया (अधिकतम 15 मिनट)
• ईपीएचआई आराम की स्थिति में एन्क्रिप्टेड (एईएस-256) और पारगमन में (टीएलएस 1.2+)
• बैकअप और आपदा पुनर्प्राप्ति प्रक्रियाओं का दस्तावेजीकरण और परीक्षण किया गया
• कार्यबल HIPAA प्रशिक्षण पूरा और प्रलेखित
• घटना प्रतिक्रिया/उल्लंघन अधिसूचना प्रक्रिया प्रलेखित
• गोपनीयता नोटिस (एनपीपी) प्रकाशित और मरीजों को प्रदान किए गए
• रोगी अधिकार प्रक्रियाएं लागू की गईं (पहुंच, संशोधन, लेखांकन)
• उपठेकेदार समझौते HIPAA दायित्वों को उचित रूप से बढ़ाते हैं

---

अक्सर पूछे जाने वाले प्रश्न

क्या हमारे टेलीहेल्थ ऐप को HIPAA का अनुपालन करने की आवश्यकता है?

यदि आपका टेलीहेल्थ ऐप मरीजों और HIPAA द्वारा कवर की गई संस्थाओं (चिकित्सकों, अस्पतालों, स्वास्थ्य योजनाओं) के बीच संचार की सुविधा प्रदान करता है, और आप इस प्रक्रिया में PHI को संभालते हैं, तो आप लगभग निश्चित रूप से HIPAA के अधीन एक बिजनेस एसोसिएट हैं। विश्लेषण इस बात पर निर्भर करता है कि क्या आप किसी कवर की गई इकाई की ओर से PHI बनाते हैं, प्राप्त करते हैं, बनाए रखते हैं या संचारित करते हैं। यदि आपके ऐप के उपयोगकर्ता केवल एक-दूसरे के साथ बातचीत करते हैं (उपभोक्ता कल्याण ऐप बिना सीई भागीदारी के), तो HIPAA लागू नहीं हो सकता है, लेकिन FTC स्वास्थ्य उल्लंघन अधिसूचना नियम लागू होने की संभावना है।

एचआईपीएए उल्लंघनों के लिए जुर्माना क्या है?

HIPAA के तहत नागरिक मौद्रिक दंड दोषीता के आधार पर विभाजित हैं: अज्ञात उल्लंघन ($100-$50,000 प्रति उल्लंघन, $25,000 वार्षिक सीमा); उचित कारण ($1,000-$50,000 प्रति उल्लंघन, $100,000 वार्षिक सीमा); जानबूझकर की गई उपेक्षा को सुधारा गया ($10,000-$50,000, $250,000 वार्षिक सीमा); जानबूझकर की गई उपेक्षा को सुधारा नहीं गया ($50,000 प्रति उल्लंघन, $1.5 मिलियन वार्षिक सीमा प्रति समान उल्लंघन श्रेणी)। पीएचआई बेचने के इरादे से खुलासा जानने के लिए आपराधिक दंड (डीओजे के माध्यम से) में 10 साल तक की कैद शामिल हो सकती है।

क्या हम ePHI को AWS या Azure में संग्रहीत कर सकते हैं?

हां, बीएए के साथ। AWS और Azure दोनों विशिष्ट HIPAA-योग्य सेवाओं को कवर करने वाले BAAs की पेशकश करते हैं। AWS के लिए, सत्यापित करें कि आपके आर्किटेक्चर में प्रत्येक सेवा HIPAA योग्य सेवाओं की AWS BAA अनुसूची में सूचीबद्ध है - कुछ सेवाएँ (जैसे कुछ लैम्ब्डा परतें, कुछ S3 सुविधाएँ) कवर नहीं की जा सकती हैं। आपकी टीम अभी भी उन सेवाओं को सुरक्षित रूप से कॉन्फ़िगर करने के लिए ज़िम्मेदार है; बीएए कुछ कानूनी जिम्मेदारी स्थानांतरित करता है लेकिन स्वचालित रूप से आपके कार्यान्वयन को अनुपालन योग्य नहीं बनाता है।

न्यूनतम आवश्यक मानक क्या है और यह ऐप डिज़ाइन को कैसे प्रभावित करता है?

न्यूनतम आवश्यक मानक के लिए आवश्यक है कि आप केवल विशिष्ट उद्देश्य के लिए आवश्यक PHI तत्वों तक पहुँचें, उपयोग करें या खुलासा करें। व्यवहार में, इसका अर्थ यह है: यदि आपके एनालिटिक्स फ़ंक्शन को केवल डी-आइडेंटिफाइड समग्र डेटा की आवश्यकता है, तो पूर्ण रोगी रिकॉर्ड न खींचें; यदि आपके बिलिंग फ़ंक्शन को दावा डेटा की आवश्यकता है, तो उसे क्लिनिकल नोट्स तक पहुंच नहीं होनी चाहिए। अपने सिस्टम को केवल नीति के आधार पर नहीं, बल्कि भूमिका और कार्य के आधार पर डेटा न्यूनतमकरण लागू करने के लिए डिज़ाइन करें। भूमिका-आधारित पहुंच नियंत्रण और फ़ंक्शन द्वारा डेटा विभाजन प्राथमिक तकनीकी कार्यान्वयन हैं।

एचआईपीएए वैश्विक डिजिटल स्वास्थ्य प्लेटफार्मों के लिए जीडीपीआर के साथ कैसे इंटरैक्ट करता है?

वे समानांतर में कार्य करते हैं. HIPAA अमेरिकी स्वास्थ्य देखभाल डेटा पर लागू होता है, भले ही इसे कहीं भी संसाधित किया गया हो। जीडीपीआर यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा पर लागू होता है, भले ही नियंत्रक या प्रोसेसर कहीं भी स्थापित हो। यदि आपके पास ईयू रोगी डेटा है, तो दोनों एक साथ लागू हो सकते हैं। जीडीपीआर के वैध आधार और डेटा विषय अधिकार एचआईपीएए के न्यूनतम आवश्यक और रोगी अधिकार प्रावधानों से अलग दायित्व हैं। व्यावहारिक निहितार्थ: आपको दोनों ढाँचों का अनुपालन करने वाली प्रक्रियाओं का उपयोग करके, एक ही रोगी के लिए HIPAA रोगी पहुँच अनुरोध और GDPR विषय पहुँच अनुरोध दोनों को संतुष्ट करने की आवश्यकता हो सकती है।

क्या हमारा मार्केटिंग एनालिटिक्स टूल HIPAA बिजनेस एसोसिएट है?

संभावित रूप से हाँ, यदि इसे ePHI प्राप्त होता है। कई डिजिटल स्वास्थ्य कंपनियां अनजाने में यूआरएल पैरामीटर, इवेंट मेटाडेटा, या पीएचआई युक्त उपयोगकर्ता प्रॉपर्टी टैग के माध्यम से पीएचआई को एनालिटिक्स टूल (Google एनालिटिक्स, मिक्सपैनल, एम्प्लिट्यूड) के साथ साझा करती हैं। इसने मेटा और Google को PHI भेजने वाले ट्रैकिंग पिक्सल का उपयोग करने वाले अस्पतालों के खिलाफ 2022-2023 में महत्वपूर्ण OCR प्रवर्तन कार्रवाई शुरू कर दी। सभी एनालिटिक्स इंटीग्रेशन का ऑडिट करें, सुनिश्चित करें कि बीएए के बिना एनालिटिक्स टूल में कोई पीएचआई प्रवाह न हो, और गोपनीयता-संरक्षण एनालिटिक्स का उपयोग करने पर विचार करें जो केवल एकत्रित या डी-आइडेंटिफाइड डेटा पर काम करते हैं।

---

अगले चरण

HIPAA-अनुपालक डिजिटल स्वास्थ्य प्लेटफार्मों के निर्माण के लिए शुरू से ही सावधानीपूर्वक वास्तुकला निर्णयों की आवश्यकता होती है - मौजूदा प्रणाली में सुरक्षा और गोपनीयता नियंत्रण को फिर से स्थापित करना उन्हें बनाने की तुलना में काफी अधिक महंगा है। ECOSIRE की टीम आपके डिजिटल स्वास्थ्य मंच के लिए HIPAA-अनुपालक तकनीकी वास्तुकला को डिजाइन करने, कार्यान्वित करने और दस्तावेज करने में आपकी सहायता कर सकती है।

हमारा अनुभव रोगी पोर्टल विकास, ईएचआर एकीकरण आर्किटेक्चर, टेलीहेल्थ बैकएंड सिस्टम और स्वास्थ्य विश्लेषण प्लेटफॉर्म तक फैला हुआ है - सभी को एक मूलभूत डिजाइन बाधा के रूप में HIPAA अनुपालन के साथ कार्यान्वित किया गया है।

और जानें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। HIPAA आवश्यकताएँ जटिल और तथ्य-विशिष्ट हैं। अपने संगठन के लिए विशिष्ट मार्गदर्शन के लिए योग्य स्वास्थ्य देखभाल कानूनी परामर्शदाता और एक HIPAA अनुपालन अधिकारी को नियुक्त करें।