Dijital Sağlık Platformları için HIPAA Uyumluluğu

Dijital sağlık platformları (tele sağlık uygulamaları, hasta portalları, uzaktan izleme sistemleri, sağlık analitiği araçları ve EHR entegrasyonları) dünyadaki en katı gizlilik ve güvenlik düzenlemelerinden bazılarına tabidir. HIPAA ihlalleri, yalnızca 2023'te 145 milyon dolarlık hukuki para cezasıyla sonuçlandı; bireysel para cezaları, ihlal kategorisi başına 1,9 milyon dolara ulaştı. Sivil Haklar Ofisi (OCR), yalnızca geleneksel sağlık hizmeti sağlayıcılarına değil, sağlık hizmeti uygulama geliştiricilerine, bulut sağlayıcılarına ve iş ortaklarına karşı da yaptırım uygulama konusunda istekli olduğunu gösterdi.

HIPAA yükümlülüklerini tam olarak neyin tetiklediğini ve Güvenlik Kuralı'nın teknik önlemlerinin modern bir dijital sağlık mimarisinde nasıl uygulanacağını anlamak, bu alanda ekip oluşturmak için çok önemlidir.

Önemli Çıkarımlar

• HIPAA, Kapsam Dahilindeki Kuruluşlar ve onların İş Ortakları için geçerlidir — dijital sağlık platformları genellikle BA'lardır
• Korunan Sağlık Bilgileri (PHI), sağlık, tedavi veya ödeme verileriyle bağlantılı 18 spesifik tanımlayıcı içerir
• Güvenlik Kuralı, elektronik PHI (ePHI) için idari, fiziksel ve teknik korumalar gerektirir
• PHI'nın üçüncü taraflarla paylaşılmasından önce İş Ortaklığı Anlaşmaları (BAA'lar) yasal olarak zorunludur
• HITECH (2009) cezaları önemli ölçüde artırdı ve BA taşeronlarına yönelik HIPAA yükümlülüklerini genişletti
• HHS'ye ve etkilenen kişilere ihlal bildirimi 60 gün içinde gereklidir
• OCR denetimleri yalnızca hastaneleri değil, giderek daha fazla dijital sağlık şirketlerini hedef alıyor
• Güvenli Liman veya Uzman Tespiti yöntemleri kullanılarak yapılan kimlik gizleme, HIPAA'nın uygulanabilirliğini ortadan kaldırır

---

HIPAA'ya Kimler Uymalı

HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, 1996) ve HITECH Yasası (2009), yükümlü kuruluşların iki ana kategorisini tanımlar:

Kapsanan Kuruluşlar (CE):

• Sağlık bilgilerini elektronik ortamda ileten sağlık hizmeti sağlayıcıları (hastaneler, klinikler, doktorlar, eczaneler)
• Sağlık planları (sigorta şirketleri, işveren sağlık planları, Medicare/Medicaid)
• Sağlık takas odaları

İş Ortakları (BA): Kapsam dahilindeki bir kuruluş adına PHI oluşturan, alan, sürdüren veya ileten herhangi bir kuruluş. Dijital sağlık şirketleri genellikle buraya düşüyor. Örnekler:

• Hasta kayıtlarına erişimi olan EHR yazılım satıcıları
• Sağlayıcı-hasta iletişimini kolaylaştıran telesağlık platformları
• Tıbbi faturalandırma ve kodlama hizmetleri
• Sağlık veri analizi platformları
• ePHI'yi depolayan bulut depolama sağlayıcıları
• Potansiyel PHI erişimi olan BT destek şirketleri

HITECH genişlemesi: HITECH Yasası, doğrudan HIPAA sorumluluğunu Business Associate alt yüklenicilerine (bazen "altBA'lar" olarak da adlandırılır) kadar genişletti. Lisans sahibiyseniz ve ePHI'yi depolamak için bir bulut sağlayıcı kullanıyorsanız, bu bulut sağlayıcı, doğrudan HIPAA yükümlülükleri olan bir alt BA'dır.

Tüketici sağlığı uygulamaları ve HIPAA: Tüm sağlık uygulamalarının HIPAA'ya tabi olduğu yaygın bir yanılgıdır. Bir tüketici uygulamanızı doğrudan indirirse ve kapsam dahilindeki bir kuruluşun katılımı olmadan kendi sağlık verilerini girerse, HIPAA genellikle bu veriler için geçerli değildir. Ancak bir hastane uygulamanızı hastalarına dağıtırsa BA olursunuz. FTC Sağlık İhlali Bildirim Kuralı (2024'te güncellendi), HIPAA durumuna bakılmaksızın tüketici sağlığı uygulamaları için geçerlidir.

---

Korunan Sağlık Bilgileri: 18 Tanımlayıcı

PHI, bireyin geçmiş, mevcut veya gelecekteki fiziksel veya zihinsel sağlık durumu, sağlık hizmeti sunumu veya sağlık hizmeti ödemesi ile ilgili bireysel olarak tanımlanabilir sağlık bilgileridir. Aşağıdaki 18 tanımlayıcı sağlık bilgileriyle birleştirildiğinde PHI'yi oluşturur:

1. İsimler
2. Eyaletten küçük coğrafi veriler (adresler, posta kodları, coğrafi kodlar)
3. Bireye ilişkin tarihler (yıl hariç) (doğum tarihi, kabul tarihi, terhis tarihi, ölüm tarihi)
4. Telefon numaraları
5. Faks numaraları
6. E-posta adresleri
7. Sosyal Güvenlik numaraları
8. Tıbbi kayıt numaraları
9. Sağlık planı yararlanıcı sayıları
10. Hesap numaraları
11. Sertifika veya lisans numaraları
12. Araç tanımlayıcıları (VIN'ler, plakalar)
13. Cihaz tanımlayıcıları ve seri numaraları
14. Web URL'leri
15. IP adresleri
16. Biyometrik tanımlayıcılar (parmak izleri, ses izleri)
17. Tam yüz fotoğraflar ve karşılaştırılabilir görseller
18. Diğer herhangi bir benzersiz tanımlayıcı numara, özellik veya kod

Kimlik gizleme 18 tanımlayıcının tümünü kaldırır ve yeniden kimlik belirleme riskinin çok küçük olduğuna dair uzman tespiti veya istatistiksel doğrulama gerektirir. Kimlik bilgileri kaldırılmış veriler PHI değildir ve HIPAA'nın kapsamı dışındadır; bu, sağlık analitiği platformları için önemli bir mimari husustur.

---

HIPAA Gizlilik Kuralı

Gizlilik Kuralı (45 CFR Bölüm 164, Alt Bölüm A ve E), PHI'nın nasıl kullanılabileceğini ve ifşa edilebileceğini düzenler.

İzinsiz izin verilen kullanımlar ve açıklamalar:

• Tedavi, ödeme ve sağlık hizmetleri operasyonları (TPO) — temel amaç istisnası
• Halk sağlığı faaliyetleri (devletin sağlık birimlerine hastalık raporlaması)
• İstismar, ihmal veya aile içi şiddet mağdurlarının bildirilmesi
• Sağlık gözetim faaliyetleri (CMS denetimleri, OCR araştırmaları)
• Adli ve idari işlemler (uygun yasal süreçle birlikte)
• Kanun yaptırımı (sınırlı koşullar)
• Sağlık veya güvenliğe yönelik ciddi tehdit
• Temel hükümet işlevleri

Bireysel yetkilendirme gerektiren kullanımlar ve açıklamalar:

• PHI kullanarak pazarlama
• PHI satışı
• Çoğu araştırmada kullanım (IRB'den feragat alınmadığı sürece)
• Yukarıda izin verilen kategorilerin kapsamına girmeyen herhangi bir kullanım

Gerekli Minimum Standart: PHI'yi tedavi dışındaki amaçlarla açıklarken, açıklamayı amaç için gereken minimum düzeyde sınırlamak için makul çabayı göstermelisiniz. Bu BA'lar için de geçerlidir; platformunuz yalnızca belirli işleviniz için gereken PHI öğelerini işlemelidir.

Gizlilik Kuralı Kapsamında Hasta Hakları:

• PHI'larına erişim hakkı (30 gün içinde; 2021 kuralı birçok erişim engelini kaldırdı ve ücretleri düşürdü)
• Yanlış olduğuna inandıkları PHI'yı değiştirme hakkı
• Açıklamaların muhasebeleştirilmesi hakkı (TPO dışında, son 6 yıla ait)
• Belirli kullanımlara ilişkin kısıtlama talep etme hakkı
• Gizli iletişim hakkı
• Tesis rehberlerinden çıkma hakkı

---

HIPAA Güvenlik Kuralı

Güvenlik Kuralı (45 CFR Bölüm 164, Alt Bölüm A ve C) özellikle elektronik PHI (ePHI) için geçerlidir ve kapsam dahilindeki kuruluşların ve BA'ların idari, fiziksel ve teknik koruma önlemleri uygulamasını gerektirir.

İdari Korumalar

Güvenlik Görevlisi: HIPAA güvenlik politikasının geliştirilmesinden ve uygulanmasından sorumlu bir kişiyi atayın. Bu tanımı belgeleyin.

İşgücü eğitimi: Tüm iş gücü üyelerini HIPAA politikaları ve prosedürleri konusunda eğitin. Tamamlanma tarihlerini içeren eğitim kayıtlarını tutun.

Erişim yönetimi prosedürleri: İş gücünün ePHI'ye erişimine nasıl izin verildiğini, oluşturulduğunu, değiştirildiğini ve sonlandırıldığını belgeleyin.

Güvenlik farkındalığı eğitimi: Tüm kullanıcıları, rolleriyle ilgili güvenlik konularında eğitin: kimlik avı tanıma, şifre hijyeni, olayları raporlama.

Acil durum planlaması: Belgelenmiş bir veri yedekleme planı, olağanüstü durum kurtarma planı, acil durum modu operasyon planı ile test ve revizyon prosedürleri geliştirin.

Değerlendirme: Güvenlik önlemlerinizin Güvenlik Kuralı gerekliliklerini ne kadar iyi karşıladığına ilişkin periyodik teknik ve teknik olmayan değerlendirmeler yapın.

Fiziksel Korumalar

Tesis erişim kontrolleri: ePHI içeren tesislere ve sistemlere fiziksel erişimi yetkili personelle sınırlayan politikalar uygulayın. Bulut tabanlı dağıtımlar için bu yükümlülük bulut sağlayıcınıza geçer (BAA gerektirir).

İş istasyonu kullanımı: ePHI erişimi olan iş istasyonlarında gerçekleştirilen uygun işlevleri ve çevrelerinin fiziksel özelliklerini belgeleyin.

Cihaz ve medya kontrolleri: ePHI içeren donanım ve elektronik medyanın taşınmasına ilişkin belge prosedürleri; hareket etmeden önce veri yedekleme; imha edilmeden önce verilerin silinmesi/yok edilmesi.

Teknik Korumalar

Erişim kontrolleri: Yalnızca yetkili kişilerin ePHI'ye erişmesine izin verecek teknik mekanizmalar uygulayın:

• Tüm ePHI sistemi kullanıcıları için benzersiz kullanıcı kimliği
• Acil erişim prosedürleri
• Boşta kalma süresinden sonra otomatik oturum kapatma
• Şifreleme ve şifre çözme yeteneği

Denetim kontrolleri: ePHI içeren sistemlerdeki erişimi ve etkinlikleri kaydetmek ve incelemek için donanım, yazılım ve prosedür mekanizmalarını uygulayın. Denetim günlüklerini en az 6 yıl boyunca saklayın.

Bütünlük kontrolleri: ePHI'nin yetkisiz bir şekilde değiştirilmediğini veya yok edilmediğini doğrulayacak mekanizmalar uygulayın. Sağlama toplamları, dijital imzalar veya eşdeğeri.

İletim güvenliği: Bir ağ üzerinden iletilen ePHI'ye yetkisiz erişime karşı koruma sağlamak için teknik güvenlik önlemleri uygulayın. Tüm ePHI iletimi için TLS 1.2+.

Şifreleme: Teknik olarak "adreslenebilir" olsa da (koşulsuz olarak gerekli değildir), ePHI'nin kullanımda ve geçiş halindeyken şifrelenmesi standart uygulama olarak kabul edilir ve alternatif belgeleme yükü göz önüne alındığında fiilen gereklidir. Durağan veriler için AES-256, iletim için TLS 1.2+ kullanın.

---

İş Ortaklığı Anlaşmaları

BAA, PHI'nın bir iş ortağıyla paylaşılmasından önce yapılması gereken yazılı bir sözleşmedir. Aşağıdakileri içermelidir:

• BA tarafından PHI'nın izin verilen ve gerekli kullanımları ve açıklamalarının belirtilmesi
• BA'nın, sözleşmenin izin verdiği veya gerektirdiği durumlar dışında PHI'yı kullanmaması veya ifşa etmemesi gerekliliği
• Yetkisiz kullanımı veya ifşayı önlemek için BA'nın uygun önlemleri uygulaması gerekliliği
• PHI'nın herhangi bir ihlalini veya ihlal şüphesini CE'ye bildirme zorunluluğu
• Alt yüklenicilerin aynı kısıtlamaları kabul etme zorunluluğu
• CE için erişim, değişiklik ve muhasebe hakları
• Tüm PHI'ların feshedilmesi, iade edilmesi veya imha edilmesi durumunda (veya mümkün değilse korumaya devam edin)

** Kaçınılması gereken kritik BAA boşlukları:**

• Taşeron zincirinden bahsedilmiyor (BA'nız AWS kullanıyor — AWS'nin sizin veya BA'nızın yanında kendi BAA'sı olması gerekir)
• BAA, ilişki kapsamında alınan tüm PHI'lar yerine belirli hizmetlerle sınırlıdır
• Herhangi bir ihlal bildirimi zaman dilimi belirtilmedi
• İzin verilen kullanımlara ilişkin açık bir beyan yok
• Fesih durumunda imha/iade zorunluluğu yoktur

Büyük bulut sağlayıcıları (AWS, Azure, Google Cloud) sağlık hizmetleri müşterileri için BAA'lar sunar; AWS'nin BAA'sı, HIPAA'ya uygun hizmetlerin belirli bir listesini kapsar. Yığınınızda ePHI ile temas eden her hizmetin bir BAA kapsamında olduğunu doğrulayın.

---

İhlal Bildirimi Kuralı

HITECH tarafından değiştirilen İhlal Bildirim Kuralı (45 CFR Bölüm 164, Alt Bölüm D) uyarınca kapsam dahilindeki kuruluşlar şunları bildirmelidir:

1. Etkilenen kişiler: Makul olmayan bir gecikme olmaksızın, ihlalin tespit edilmesinden sonraki 60 takvim günü içinde. Birinci sınıf posta (veya bireysel olarak kaydolduysa e-posta). Olan bitenin açıklamasını, ilgili PHI türlerini, bireylerin atması gereken adımları ve iletişim bilgilerini içermelidir.

2. HHS (OCR): İhlal 500'den fazla kişiyi etkiliyorsa, HHS web portalı aracılığıyla bireylerle aynı anda (60 gün içinde) bildirimde bulunun. Eğer sayı 500'ün altındaysa, bir kayıt tutun ve her yıl bir sonraki yılın 1 Mart'ına kadar gönderin.

3. Medya: İhlal, bir eyalette veya yargı bölgesinde 500'den fazla sakini etkiliyorsa, o bölgede hizmet veren önde gelen medya kuruluşlarını bilgilendirin (bireysel bildirimle birlikte).

BA'lar, kapsam dahilindeki kuruluşa makul olmayan bir gecikme olmaksızın ve keşiften en geç 60 gün sonra bildirimde bulunmalıdır.

İhlal varsayımı: HITECH kapsamında, CE veya BA dört faktörlü bir risk değerlendirmesi kullanarak PHI'nın tehlikeye atıldığına dair düşük bir olasılık göstermediği sürece, PHI'ya izin verilmeyen herhangi bir erişim, kullanım veya ifşanın bir ihlal olduğu varsayılır: (1) PHI'nin doğası ve kapsamı, (2) onu kullanan veya ona erişen kişi, (3) PHI'nın gerçekten edinilip edinilmediği veya görüntülenip görüntülenmediği, (4) riskin ne ölçüde azaltıldığı.

Şifreleme için güvenli liman: Şifre çözme anahtarının da tehlikeye atılmadığı şifrelenmiş ePHI ihlalleri, ihlal bildirimi gerekliliklerinin dışında tutulur; bu da hareketsiz ePHI'nin şifrelenmesini özellikle güçlü bir risk azaltma stratejisi haline getirir.

---

HIPAA Teknik Uygulama Kontrol Listesi

• PHI envanteri tamamlandı — tüm veri öğeleri, sistemler ve akışlar belgelendi
• Kimlik gizleme analizi tamamlandı — Kimlik gizlemenin uygun olduğu durumlarda PHI en aza indirildi
• HIPAA Güvenlik Görevlisi belirlenmiş ve belgelenmiştir
• Risk analizi tamamlandı ve belgelendi (§164.308(a)(1 uyarınca gerekli))
• Risk yönetimi planı uygulandı
• ePHI (bulut sağlayıcıları, analiz araçları, e-posta hizmetleri) ile ilgilenen tüm satıcılarla imzalanan BAA'lar
• Tüm ePHI sistemi kullanıcıları için benzersiz kullanıcı kimlikleriyle uygulanan erişim kontrolü
• Tüm ePHI sistem erişimi için MFA uygulandı
• Denetim günlüğü tüm ePHI sistemlerinde etkinleştirildi (6 yıl saklandı)
• Otomatik oturum zaman aşımı yapılandırıldı (maksimum 15 dakika)
• ePHI, beklemede (AES-256) ve aktarım sırasında (TLS 1.2+) şifrelenir
• Yedekleme ve felaket kurtarma prosedürleri belgelendi ve test edildi
• İşgücü HIPAA eğitimi tamamlandı ve belgelendi
• Olay müdahalesi / ihlal bildirim prosedürü belgelendi
• Gizlilik bildirimleri (NPP'ler) yayınlandı ve hastalara sunuldu
• Uygulanan hasta hakları prosedürleri (erişim, değişiklik, muhasebe)
• Alt yüklenici anlaşmaları HIPAA yükümlülüklerini uygun şekilde basamaklandırır

---

Sıkça Sorulan Sorular

Telesağlık uygulamamızın HIPAA'ya uyması gerekiyor mu?

Telesağlık uygulamanız hastalar ve HIPAA kapsamındaki kuruluşlar (doktorlar, hastaneler, sağlık planları) arasındaki iletişimi kolaylaştırıyorsa ve bu süreçte PHI ile ilgileniyorsanız, neredeyse kesinlikle HIPAA'ya tabi bir İş Ortağısınız. Analiz, kapsam dahilindeki bir kuruluş adına PHI oluşturup oluşturmadığınıza, aldığınıza, sürdürdüğünüze veya ilettiğinize göre değişir. Uygulamanızın kullanıcıları yalnızca birbirleriyle etkileşimde bulunuyorsa (CE katılımı olmayan tüketici sağlıklı yaşam uygulaması), HIPAA geçerli olmayabilir ancak FTC Sağlık İhlali Bildirim Kuralı muhtemelen geçerli olacaktır.

HIPAA ihlallerinin cezası nedir?

HIPAA kapsamındaki hukuki para cezaları kusurluluğa göre kademeli olarak belirlenir: bilinmeyen ihlal (ihlal başına 100-50.000 ABD Doları, yıllık tavan 25.000 ABD Doları); makul sebep (ihlal başına 1.000-50.000 ABD Doları, yıllık tavan 100.000 ABD Doları); kasıtlı ihmal düzeltildi (10.000 ABD Doları – 50.000 ABD Doları, yıllık tavan 250.000 ABD Doları); düzeltilmeyen kasıtlı ihmal (ihlal başına 50.000 ABD Doları, aynı ihlal kategorisi başına yıllık üst sınır 1,5 milyon ABD Doları). Cezai cezalar (DOJ aracılığıyla), PHI satma niyetiyle bilgi ifşa edilmesi durumunda 10 yıla kadar hapis cezasını içerebilir.

ePHI'yi AWS veya Azure'da depolayabilir miyiz?

Evet, bir BAA mevcutken. Hem AWS hem de Azure, HIPAA'ya uygun belirli hizmetleri kapsayan BAA'lar sunar. AWS için mimarinizdeki her hizmetin, AWS BAA HIPAA Uygun Hizmetler Çizelgesi'nde listelendiğini doğrulayın; bazı hizmetler (belirli Lambda katmanları, bazı S3 özellikleri gibi) kapsam dahilinde olmayabilir. Ekibiniz bu hizmetlerin güvenli bir şekilde yapılandırılmasından hâlâ sorumludur; BAA bazı yasal sorumlulukları devreder ancak uygulamanızı otomatik olarak uyumlu hale getirmez.

Gerekli minimum standart nedir ve uygulama tasarımını nasıl etkiler?

Gerekli minimum standart, yalnızca belirli bir amaç için gereken PHI öğelerine erişmenizi, bunları kullanmanızı veya açıklamanızı gerektirir. Uygulamada bu şu anlama gelir: Analitik fonksiyonunuz yalnızca kimliksizleştirilmiş toplu verilere ihtiyaç duyuyorsa, tam hasta kayıtlarını almayın; Faturalandırma fonksiyonunuz talep verilerine ihtiyaç duyuyorsa klinik notlara erişimi olmamalıdır. Sisteminizi, yalnızca politikaya göre değil, rol ve işleve göre veri minimizasyonunu zorunlu kılacak şekilde tasarlayın. Rol tabanlı erişim kontrolü ve işleve göre veri segmentasyonu temel teknik uygulamalardır.

HIPAA, küresel dijital sağlık platformları için GDPR ile nasıl etkileşime giriyor?

Paralel olarak çalışırlar. HIPAA, nerede işlendiğine bakılmaksızın ABD sağlık verileri için geçerlidir. GDPR, denetleyicinin veya işleyicinin nerede kurulu olduğuna bakılmaksızın AB'de ikamet edenlerin kişisel verileri için geçerlidir. AB hasta verileriniz varsa her ikisi de aynı anda geçerli olabilir. GDPR'nin yasal dayanakları ve veri sahibi hakları, HIPAA'nın gerekli minimum ve hasta hakları hükümlerinden ayrı yükümlülüklerdir. Pratik çıkarım: Her iki çerçeveye de uygun süreçleri kullanarak, aynı hasta için hem HIPAA hasta erişim talebini hem de GDPR Konu Erişim Talebini karşılamanız gerekebilir.

Pazarlama analitiği aracımız HIPAA İş Ortağı mı?

ePHI alırsa potansiyel olarak evet. Pek çok dijital sağlık şirketi, yanlışlıkla PHI'yi URL parametreleri, etkinlik meta verileri veya PHI içeren kullanıcı özelliği etiketleri aracılığıyla analiz araçlarıyla (Google Analytics, Mixpanel, Amplitude) paylaşır. Bu, 2022-2023'te Meta ve Google'a PHI gönderen izleme piksellerini kullanan hastanelere karşı önemli OCR yaptırım eylemini tetikledi. Tüm analitik entegrasyonlarını denetleyin, BAA olmadan analiz araçlarına PHI akışının olmadığından emin olun ve yalnızca toplu veya kimlik bilgileri kaldırılmış veriler üzerinde çalışan, gizliliği koruyan analizler kullanmayı düşünün.

---

Sonraki Adımlar

HIPAA uyumlu dijital sağlık platformları oluşturmak, başlangıçtan itibaren dikkatli mimari kararları gerektirir; güvenlik ve gizlilik kontrollerini mevcut bir sisteme uyarlamak, bunları oluşturmaktan çok daha pahalıdır. ECOSIRE ekibi, dijital sağlık platformunuz için HIPAA uyumlu bir teknik mimari tasarlamanıza, uygulamanıza ve belgelemenize yardımcı olabilir.

Deneyimimiz hasta portalı geliştirmeyi, EHR entegrasyon mimarisini, telesağlık arka uç sistemlerini ve sağlık analitiği platformlarını kapsamaktadır; bunların tümü temel tasarım kısıtlaması olarak HIPAA uyumluluğuyla uygulanmıştır.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. HIPAA gereklilikleri karmaşık ve gerçeklere özgüdür. Kuruluşunuza özel rehberlik için nitelikli sağlık hizmetleri hukuk danışmanından ve bir HIPAA uyumluluk görevlisinden yararlanın.