HIPAA Compliance for Digital Health Platforms

ڈیجیٹل ہیلتھ پلیٹ فارمز کے لیے # HIPAA تعمیل

ڈیجیٹل ہیلتھ پلیٹ فارمز — ٹیلی ہیلتھ ایپلی کیشنز، مریض پورٹلز، ریموٹ مانیٹرنگ سسٹم، ہیلتھ اینالیٹکس ٹولز، اور EHR انٹیگریشنز — دنیا کے کچھ انتہائی سخت پرائیویسی اور سیکیورٹی کے ضوابط کے تابع ہیں۔ HIPAA کی خلاف ورزیوں کے نتیجے میں صرف 2023 میں 145 ملین ڈالر شہری مالیاتی جرمانے ہوئے، انفرادی جرمانے فی خلاف ورزی کے زمرے میں $1.9 ملین تک پہنچ گئے۔ آفس فار سول رائٹس (OCR) نے ہیلتھ کیئر ایپ ڈویلپرز، کلاؤڈ پرووائیڈرز، اور بزنس ایسوسی ایٹس کے خلاف نفاذ کے لیے آمادگی ظاہر کی ہے - نہ صرف روایتی صحت کی دیکھ بھال فراہم کرنے والے۔

یہ سمجھنا کہ HIPAA کی ذمہ داریوں کو کس چیز سے متحرک کیا جاتا ہے، اور جدید ڈیجیٹل ہیلتھ آرکیٹیکچر میں سیکیورٹی رول کے تکنیکی تحفظات کو کیسے نافذ کیا جائے، اس جگہ میں کسی بھی ٹیم کی تعمیر کے لیے ضروری ہے۔

اہم ٹیک ویز

• HIPAA کا اطلاق احاطہ شدہ اداروں اور ان کے بزنس ایسوسی ایٹس پر ہوتا ہے - ڈیجیٹل ہیلتھ پلیٹ فارمز عام طور پر BAs ہوتے ہیں
• پروٹیکٹڈ ہیلتھ انفارمیشن (PHI) میں صحت، علاج، یا ادائیگی کے ڈیٹا سے منسلک 18 مخصوص شناخت کنندگان شامل ہیں
• حفاظتی اصول الیکٹرانک PHI (ePHI) کے لیے انتظامی، جسمانی، اور تکنیکی تحفظات کی ضرورت ہے۔
• تیسرے فریق کے ساتھ کسی بھی PHI اشتراک سے پہلے قانونی طور پر بزنس ایسوسی ایٹ ایگریمنٹ (BAAs) ضروری ہیں۔
• HITECH (2009) نے جرمانے میں نمایاں اضافہ کیا اور BA ذیلی ٹھیکیداروں پر HIPAA کی ذمہ داریوں میں توسیع کی
• HHS اور متاثرہ افراد کو خلاف ورزی کی اطلاع 60 دنوں کے اندر درکار ہے۔
• OCR آڈٹ تیزی سے ڈیجیٹل ہیلتھ کمپنیوں کو نشانہ بنا رہے ہیں، نہ صرف ہسپتالوں کو
• محفوظ ہاربر یا ماہرین کے تعین کے طریقوں کا استعمال کرتے ہوئے غیر شناختی HIPAA قابل اطلاق کو ہٹا دیتا ہے

---

جنہیں HIPAA کی تعمیل کرنی چاہیے۔

HIPAA (Health Insurance Portability and Accountability Act, 1996) اور HITECH ایکٹ (2009) ذمہ دار اداروں کی دو بنیادی اقسام کی وضاحت کرتے ہیں:

کور شدہ ادارے (CE):

• صحت کی دیکھ بھال فراہم کرنے والے جو صحت کی معلومات کو الیکٹرانک طور پر منتقل کرتے ہیں (اسپتال، کلینک، ڈاکٹر، فارمیسی)
• صحت کے منصوبے (انشورنس کمپنیاں، آجر کے صحت کے منصوبے، میڈیکیئر/میڈیکیڈ)
• ہیلتھ کیئر کلیئرنگ ہاؤسز

بزنس ایسوسی ایٹس (BA): کوئی بھی ادارہ جو کسی احاطہ شدہ ہستی کی جانب سے PHI تخلیق کرتا ہے، وصول کرتا ہے، برقرار رکھتا ہے یا منتقل کرتا ہے۔ ڈیجیٹل ہیلتھ کمپنیاں عام طور پر یہاں آتی ہیں۔ مثالیں:

• مریضوں کے ریکارڈ تک رسائی کے ساتھ EHR سافٹ ویئر فروش
• ٹیلی ہیلتھ پلیٹ فارمز جو فراہم کنندہ-مریض مواصلات کی سہولت فراہم کرتے ہیں۔
• میڈیکل بلنگ اور کوڈنگ کی خدمات
• ہیلتھ ڈیٹا اینالیٹکس پلیٹ فارم
• ePHI کو ذخیرہ کرنے والے کلاؤڈ اسٹوریج فراہم کرنے والے
• ممکنہ PHI رسائی کے ساتھ آئی ٹی سپورٹ کمپنیاں

HITECH توسیع: HITECH ایکٹ نے بزنس ایسوسی ایٹ ذیلی ٹھیکیداروں (جسے کبھی کبھی "subBAs" کہا جاتا ہے) کے لیے براہ راست HIPAA ذمہ داری کو بڑھا دیا۔ اگر آپ BA ہیں اور آپ ePHI کو ذخیرہ کرنے کے لیے کلاؤڈ فراہم کنندہ استعمال کرتے ہیں، تو وہ کلاؤڈ فراہم کنندہ HIPAA کی براہ راست ذمہ داریوں کے ساتھ سب بی اے ہے۔

کنزیومر ہیلتھ ایپس اور HIPAA: ایک عام غلط فہمی یہ ہے کہ تمام ہیلتھ ایپس HIPAA کے تابع ہیں۔ اگر کوئی صارف آپ کی ایپ کو براہ راست ڈاؤن لوڈ کرتا ہے اور اپنا صحت کا ڈیٹا داخل کرتا ہے — جس میں کسی احاطہ شدہ ادارے کی شمولیت نہیں ہوتی — HIPAA عام طور پر اس ڈیٹا پر لاگو نہیں ہوتا ہے۔ تاہم، اگر کوئی ہسپتال آپ کی ایپ کو اپنے مریضوں کے لیے تعینات کرتا ہے، تو آپ BA بن جاتے ہیں۔ FTC ہیلتھ بریچ نوٹیفکیشن رول (2024 کو اپ ڈیٹ کیا گیا) HIPAA کی حیثیت سے قطع نظر صارفین کے ہیلتھ ایپس پر لاگو ہوتا ہے۔

---

صحت سے متعلق محفوظ معلومات: 18 شناخت کنندگان

PHI انفرادی طور پر قابل شناخت صحت کی معلومات ہے جو کسی فرد کے ماضی، حال، یا مستقبل کی جسمانی یا ذہنی صحت کی حالت، صحت کی دیکھ بھال کی فراہمی، یا صحت کی دیکھ بھال کے لیے ادائیگی سے متعلق ہے۔ درج ذیل 18 شناخت کنندگان، جب صحت کی معلومات کے ساتھ مل کر PHI تشکیل دیتے ہیں:

1. نام
2. ریاست سے چھوٹا جغرافیائی ڈیٹا (پتے، زپ کوڈز، جیو کوڈز)
3. تاریخیں (سال کے علاوہ) کسی فرد سے متعلق (تاریخ پیدائش، داخلے کی تاریخ، ڈسچارج کی تاریخ، تاریخ وفات)
4. فون نمبرز
5. فیکس نمبر
6. ای میل پتے
7. سوشل سیکورٹی نمبرز
8. میڈیکل ریکارڈ نمبر
9. ہیلتھ پلان سے فائدہ اٹھانے والوں کی تعداد
10. اکاؤنٹ نمبر 11۔ سرٹیفکیٹ یا لائسنس نمبر
11. گاڑیوں کی شناخت کرنے والے (VINs، لائسنس پلیٹیں)
12. ڈیوائس شناخت کنندہ اور سیریل نمبرز
13. ویب یو آر ایل
14. IP پتے
15. بایومیٹرک شناخت کار (انگلیوں کے نشانات، آواز کے نشانات)
16. پورے چہرے کی تصاویر اور موازنہ تصاویر
17. کوئی دوسرا منفرد شناختی نمبر، خصوصیت، یا کوڈ

ڈی-آئیڈینٹیفیکیشن تمام 18 شناخت کنندگان کو ہٹاتا ہے اور اس کے لیے ماہر کے تعین یا شماریاتی تصدیق کی ضرورت ہوتی ہے کہ دوبارہ شناخت کا خطرہ بہت کم ہے۔ غیر شناخت شدہ ڈیٹا PHI نہیں ہے اور HIPAA کے دائرہ کار سے باہر آتا ہے — یہ ہیلتھ اینالیٹکس پلیٹ فارمز کے لیے ایک اہم تعمیراتی غور و فکر ہے۔

---

HIPAA رازداری کا اصول

رازداری کا اصول (45 CFR پارٹ 164، ذیلی حصے A اور E) اس بات کو کنٹرول کرتا ہے کہ PHI کو کس طرح استعمال اور ظاہر کیا جا سکتا ہے۔

** اجازت کے بغیر استعمال اور انکشافات:**

• علاج، ادائیگی، اور صحت کی دیکھ بھال کے آپریشنز (TPO) - بنیادی مقصد کی رعایت
• صحت عامہ کی سرگرمیاں (ریاست کے محکمہ صحت کو بیماری کی اطلاع دینا)
• بدسلوکی، نظر انداز، یا گھریلو تشدد کی رپورٹنگ کے متاثرین
• صحت کی نگرانی کی سرگرمیاں (CMS آڈٹ، OCR تحقیقات)
• عدالتی اور انتظامی کارروائیاں (مناسب قانونی عمل کے ساتھ)
• قانون کا نفاذ (محدود حالات)
• صحت یا حفاظت کے لیے سنگین خطرہ
• ضروری سرکاری کام

انفرادی اجازت کی ضرورت کے استعمال اور انکشافات:

• PHI کا استعمال کرتے ہوئے مارکیٹنگ
• PHI کی فروخت
• زیادہ تر تحقیق کے استعمال (جب تک کہ IRB کی چھوٹ حاصل نہ ہو جائے)
• کوئی بھی استعمال جو مندرجہ بالا اجازت شدہ زمروں میں شامل نہیں ہے۔

کم از کم ضروری معیار: علاج کے علاوہ دیگر مقاصد کے لیے PHI کا انکشاف کرتے وقت، آپ کو اس مقصد کے لیے ضروری کم سے کم تک افشاء کو محدود کرنے کے لیے معقول کوششیں کرنی چاہیے۔ یہ BAs پر بھی لاگو ہوتا ہے — آپ کے پلیٹ فارم کو صرف آپ کے مخصوص فنکشن کے لیے درکار PHI عناصر پر کارروائی کرنی چاہیے۔

پرائیویسی رول کے تحت مریضوں کے حقوق:

• ان کے پی ایچ آئی تک رسائی کا حق (30 دنوں کے اندر؛ 2021 کے اصول نے رسائی کی بہت سی رکاوٹوں کو ہٹا دیا اور فیسوں میں کمی کی)
• PHI میں ترمیم کرنے کا حق جسے وہ سمجھتے ہیں کہ یہ غلط ہے۔
• انکشافات کے حساب کتاب کا حق (TPO کے باہر، پچھلے 6 سالوں سے)
• بعض استعمالات پر پابندی کی درخواست کرنے کا حق
• رازدارانہ مواصلات کا حق
• سہولت ڈائریکٹریز سے آپٹ آؤٹ کرنے کا حق

---

HIPAA سیکیورٹی اصول

سیکیورٹی رول (45 CFR پارٹ 164، سب پارٹس A اور C) خاص طور پر الیکٹرانک PHI (ePHI) پر لاگو ہوتا ہے اور انتظامی، جسمانی اور تکنیکی حفاظتی اقدامات کو لاگو کرنے کے لیے احاطہ شدہ اداروں اور BAs کی ضرورت ہے۔

انتظامی تحفظات

سیکیورٹی آفیسر: HIPAA سیکیورٹی پالیسی کی ترقی اور نفاذ کے لیے ذمہ دار فرد کو نامزد کریں۔ اس عہدہ کو دستاویز کریں۔

افرادی قوت کی تربیت: تمام افرادی قوت کو HIPAA کی پالیسیوں اور طریقہ کار پر تربیت دیں۔ تکمیل کی تاریخوں کے ساتھ تربیتی ریکارڈ کو برقرار رکھیں۔

رسائی کے انتظام کے طریقہ کار: دستاویز کریں کہ کس طرح ePHI تک افرادی قوت کی رسائی کی اجازت، قائم، ترمیم، اور ختم کی جاتی ہے۔

سیکیورٹی بیداری کی تربیت: تمام صارفین کو ان کے کردار سے متعلق حفاظتی موضوعات پر تربیت دیں: فشنگ کی شناخت، پاس ورڈ کی صفائی، واقعات کی اطلاع دینا۔

ہنگامی منصوبہ بندی: ایک دستاویزی ڈیٹا بیک اپ پلان، ڈیزاسٹر ریکوری پلان، ایمرجنسی موڈ آپریشن پلان، اور جانچ اور نظرثانی کے طریقہ کار تیار کریں۔

تجزیہ: وقتاً فوقتاً تکنیکی اور غیر تکنیکی جائزے کریں کہ آپ کے حفاظتی تحفظات سیکیورٹی کے اصول کے تقاضوں کو کس حد تک پورا کرتے ہیں۔

جسمانی تحفظات

سہولت تک رسائی کے کنٹرول: مجاز اہلکاروں کو ePHI پر مشتمل سہولیات اور سسٹمز تک جسمانی رسائی کو محدود کرنے والی پالیسیوں کو نافذ کریں۔ کلاؤڈ پر مبنی تعیناتیوں کے لیے، یہ ذمہ داری آپ کے کلاؤڈ فراہم کنندہ کو گزرتی ہے (جس میں BAA کی ضرورت ہوتی ہے)۔

ورک سٹیشن کا استعمال: ای پی ایچ آئی تک رسائی کے ساتھ ورک سٹیشنوں پر انجام دیئے گئے مناسب فنکشنز اور ان کے اردگرد کی جسمانی خصوصیات کو دستاویز کریں۔

ڈیوائس اور میڈیا کنٹرول: ePHI پر مشتمل ہارڈ ویئر اور الیکٹرانک میڈیا کی نقل و حرکت کے لیے دستاویزی طریقہ کار؛ نقل و حرکت سے پہلے ڈیٹا بیک اپ؛ ڈسپوزل سے پہلے ڈیٹا مٹنا/تباہی۔

تکنیکی تحفظات

رسائی کنٹرول: تکنیکی طریقہ کار کو نافذ کریں تاکہ صرف مجاز افراد کو ePHI تک رسائی کی اجازت دی جاسکے:

• تمام ePHI سسٹم کے صارفین کے لیے منفرد صارف کی شناخت
• ہنگامی رسائی کے طریقہ کار
• بیکار مدت کے بعد خودکار لاگ آف
• خفیہ کاری اور ڈکرپشن کی صلاحیت

آڈٹ کنٹرول: ای پی ایچ آئی والے سسٹمز میں رسائی اور سرگرمی کو ریکارڈ کرنے اور جانچنے کے لیے ہارڈ ویئر، سافٹ ویئر اور طریقہ کار کو لاگو کریں۔ آڈٹ لاگز کو کم از کم 6 سال تک رکھیں۔

انٹیگریٹی کنٹرول: اس بات کی تصدیق کرنے کے لیے میکانزم نافذ کریں کہ ePHI کو غیر مجاز طریقے سے تبدیل یا تباہ نہیں کیا گیا ہے۔ چیکسم، ڈیجیٹل دستخط، یا مساوی۔

ٹرانسمیشن سیکیورٹی: نیٹ ورک پر منتقل ہونے والی ePHI تک غیر مجاز رسائی سے بچنے کے لیے تکنیکی حفاظتی اقدامات کو نافذ کریں۔ تمام ePHI ٹرانسمیشن کے لیے TLS 1.2+۔

انکرپشن: اگرچہ تکنیکی طور پر "ایڈریس ایبل" (غیر مشروط طور پر ضروری نہیں)، باقی اور ٹرانزٹ میں ePHI کی انکرپشن کو معیاری پریکٹس سمجھا جاتا ہے اور متبادل دستاویزات کے بوجھ کے پیش نظر ڈی فیکٹو ضروری ہے۔ باقی ڈیٹا کے لیے AES-256، ٹرانسمیشن کے لیے TLS 1.2+ استعمال کریں۔

---

بزنس ایسوسی ایٹ کے معاہدے

BAA ایک تحریری معاہدہ ہے جو کسی کاروباری ساتھی کے ساتھ PHI کے اشتراک سے پہلے درکار ہوتا ہے۔ اس میں شامل ہونا چاہیے:

• BA کے ذریعہ PHI کے اجازت یافتہ اور مطلوبہ استعمال اور انکشافات کی تفصیلات
• ضرورت یہ ہے کہ BA PHI کا استعمال یا انکشاف نہیں کرتا ہے سوائے اس کے کہ اجازت دی گئی ہو یا معاہدہ کے ذریعہ مطلوب ہو
• ضرورت ہے کہ BA غیر مجاز استعمال یا افشاء کو روکنے کے لیے مناسب حفاظتی اقدامات نافذ کرے۔
• پی ایچ آئی کی کسی بھی خلاف ورزی یا مشتبہ خلاف ورزی کی CE کو رپورٹ کرنے کی ضرورت
• ذیلی ٹھیکیداروں کو انہی پابندیوں سے اتفاق کرنے کو یقینی بنانے کی ضرورت
• CE کے لیے رسائی، ترمیم اور اکاؤنٹنگ کے حقوق
• ختم ہونے پر، تمام PHI کی واپسی یا تباہی (یا اگر ممکن نہ ہو تو تحفظ جاری رکھیں)

بچنے کے لیے اہم BAA فرق:

• ذیلی کنٹریکٹر چین کا کوئی ذکر نہیں (آپ کا BA AWS استعمال کرتا ہے - AWS کا آپ کے یا آپ کے BA کے ساتھ اپنا BAA ہونا چاہیے)
• تعلقات کے تحت موصول ہونے والی تمام PHI کے بجائے مخصوص خدمات تک محدود BAA
• کوئی خلاف ورزی کی اطلاع کا ٹائم فریم متعین نہیں کیا گیا ہے۔
• اجازت شدہ استعمال کا کوئی واضح بیان نہیں۔
• ختم ہونے پر کوئی تباہی / واپسی کی ذمہ داری نہیں ہے۔

بڑے کلاؤڈ فراہم کرنے والے (AWS, Azure, Google Cloud) اپنے ہیلتھ کیئر صارفین کے لیے BAAs پیش کرتے ہیں — AWS کا BAA HIPAA کے اہل خدمات کی ایک مخصوص فہرست کا احاطہ کرتا ہے۔ تصدیق کریں کہ آپ کے اسٹیک میں موجود ہر سروس جو ePHI کو چھوتی ہے BAA کے ذریعے کور کی جاتی ہے۔

---

نوٹیفکیشن کے اصول کی خلاف ورزی

HITECH میں ترمیم شدہ خلاف ورزی کے نوٹیفکیشن رول (45 CFR پارٹ 164، سب پارٹ D) کے تحت، احاطہ شدہ اداروں کو مطلع کرنا چاہیے:

1. متاثرہ افراد: غیر معقول تاخیر کے بغیر، خلاف ورزی کی دریافت کے 60 کیلنڈر دنوں کے اندر۔ فرسٹ کلاس میل (یا ای میل اگر فرد نے آپٹ ان کیا ہو)۔ جو کچھ ہوا اس کی تفصیل، اس میں شامل PHI کی اقسام، افراد کو جو اقدامات کرنے چاہئیں، اور رابطہ کی معلومات شامل کرنا ضروری ہے۔

2. HHS (OCR): اگر خلاف ورزی 500+ افراد کو متاثر کرتی ہے تو HHS ویب پورٹل کے ذریعے (60 دنوں کے اندر) افراد کے ساتھ بیک وقت مطلع کریں۔ اگر 500 سے کم ہوں تو لاگ کو برقرار رکھیں اور اگلے سال 1 مارچ تک سالانہ جمع کرائیں۔

3. میڈیا: اگر خلاف ورزی کسی ریاست یا دائرہ اختیار کے 500+ رہائشیوں کو متاثر کرتی ہے، تو اس علاقے کی خدمت کرنے والے ممتاز میڈیا آؤٹ لیٹس کو مطلع کریں (انفرادی نوٹس کے ساتھ)۔

BAs کو غیر معقول تاخیر کے بغیر اور دریافت ہونے کے 60 دنوں کے بعد احاطہ شدہ ادارے کو مطلع کرنا چاہیے۔

خلاف ورزی کا قیاس: HITECH کے تحت، PHI کی کسی بھی ناجائز رسائی، استعمال، یا انکشاف کو خلاف ورزی تصور کیا جاتا ہے جب تک کہ CE یا BA اس بات کا کم امکان ظاہر نہ کرے کہ PHI کے ساتھ چار عوامل کے خطرے کی تشخیص کا استعمال کرتے ہوئے سمجھوتہ کیا گیا تھا: (1) PHI کی نوعیت اور حد تک، (2) PHI یا اصل میں رسائی کس نے کی تھی، (2) دیکھا گیا، (4) خطرے کو کس حد تک کم کیا گیا ہے۔

انکرپشن کے لیے محفوظ بندرگاہ: انکرپٹڈ ePHI کی خلاف ورزی جہاں ڈیکرپشن کلید سے بھی سمجھوتہ نہیں کیا گیا تھا وہ خلاف ورزی کے نوٹیفکیشن کے تقاضوں سے خارج ہیں - باقی وقت پر ePHI کی انکرپشن کو خطرہ کم کرنے کی ایک خاص حکمت عملی بناتی ہے۔

---

HIPAA تکنیکی عمل درآمد چیک لسٹ

• PHI انوینٹری مکمل ہوگئی — تمام ڈیٹا عناصر، سسٹمز، اور بہاؤ دستاویزی ہیں۔
• شناخت ختم کرنے کا تجزیہ مکمل ہو گیا — PHI کو کم کیا گیا جہاں ڈی-شناخت مناسب ہو۔
• HIPAA سیکیورٹی آفیسر نامزد اور دستاویزی
• خطرے کا تجزیہ مکمل اور دستاویزی (§164.308(a)(1) کے تحت درکار ہے)
• رسک مینجمنٹ پلان لاگو کیا گیا۔
• EPHI (کلاؤڈ فراہم کرنے والے، تجزیاتی ٹولز، ای میل سروسز) کو سنبھالنے والے تمام دکانداروں کے ساتھ BAAs پر دستخط کیے گئے
• رسائی کنٹرول تمام ePHI سسٹم کے صارفین کے لیے منفرد صارف IDs کے ساتھ نافذ کیا گیا ہے۔
• MFA تمام ePHI سسٹم تک رسائی کے لیے نافذ ہے۔
• تمام ePHI سسٹمز پر آڈٹ لاگنگ کو فعال کیا گیا (6 سال تک برقرار رکھا گیا)
• خودکار سیشن کا ٹائم آؤٹ ترتیب دیا گیا (زیادہ سے زیادہ 15 منٹ)
• ePHI آرام میں (AES-256) اور ٹرانزٹ (TLS 1.2+) میں خفیہ کردہ
• بیک اپ اور ڈیزاسٹر ریکوری کے طریقہ کار کو دستاویزی اور جانچا گیا۔
• افرادی قوت HIPAA کی تربیت مکمل اور دستاویزی
• واقعہ کا جواب / خلاف ورزی کی اطلاع کے طریقہ کار کو دستاویز کیا گیا ہے۔
• پرائیویسی نوٹس (NPPs) شائع کیے گئے اور مریضوں کو فراہم کیے گئے۔
• مریض کے حقوق کے طریقہ کار کو نافذ کیا گیا (رسائی، ترمیم، اکاؤنٹنگ)
• ذیلی ٹھیکیدار کے معاہدے HIPAA کی ذمہ داریوں کو مناسب طریقے سے جھڑکتے ہیں۔

---

اکثر پوچھے گئے سوالات

کیا ہماری ٹیلی ہیلتھ ایپ کو HIPAA کی تعمیل کرنے کی ضرورت ہے؟

اگر آپ کی ٹیلی ہیلتھ ایپ مریضوں اور HIPAA سے ڈھکے ہوئے اداروں (ڈاکٹروں، ہسپتالوں، صحت کے منصوبے) کے درمیان رابطے کی سہولت فراہم کرتی ہے اور آپ اس عمل میں PHI کو ہینڈل کرتے ہیں، تو آپ تقریباً یقینی طور پر HIPAA کے تحت ایک بزنس ایسوسی ایٹ ہیں۔ تجزیہ اس بات کو تبدیل کرتا ہے کہ آیا آپ کسی احاطہ شدہ ادارے کی جانب سے PHI بناتے، وصول کرتے، برقرار رکھتے یا منتقل کرتے ہیں۔ اگر آپ کی ایپ کے صارفین صرف ایک دوسرے کے ساتھ تعامل کرتے ہیں (صارفین کی فلاح و بہبود کی ایپ جس میں CE کی کوئی شمولیت نہیں ہے)، HIPAA لاگو نہیں ہوسکتا ہے، لیکن FTC ہیلتھ بریچ نوٹیفکیشن رول کا امکان ہے۔

HIPAA کی خلاف ورزیوں کی سزا کیا ہے؟

HIPAA کے تحت دیوانی مالیاتی جرمانے جرم کے لحاظ سے درج ہیں: نامعلوم خلاف ورزی ($100–$50,000 فی خلاف ورزی، $25,000 سالانہ کیپ)؛ معقول وجہ ($1,000–$50,000 فی خلاف ورزی، $100,000 سالانہ کیپ)؛ جان بوجھ کر نظر انداز کیا گیا ($10,000–$50,000، $250,000 سالانہ ٹوپی)؛ جان بوجھ کر نظر انداز کی گئی غیر درست ($50,000 فی خلاف ورزی، $1.5 ملین سالانہ کیپ فی ایک جیسی خلاف ورزی کے زمرے)۔ مجرمانہ سزاؤں میں (DOJ کے ذریعے) PHI فروخت کرنے کے ارادے سے افشاء کرنے پر 10 سال تک کی قید شامل ہو سکتی ہے۔

کیا ہم ePHI کو AWS یا Azure میں اسٹور کر سکتے ہیں؟

ہاں، جگہ پر BAA کے ساتھ۔ AWS اور Azure دونوں BAAs پیش کرتے ہیں جو مخصوص HIPAA- اہل خدمات کا احاطہ کرتے ہیں۔ AWS کے لیے، تصدیق کریں کہ آپ کے فن تعمیر میں ہر سروس HIPAA اہل خدمات کے AWS BAA شیڈول میں درج ہے — کچھ خدمات (جیسے کچھ Lambda تہوں، کچھ S3 خصوصیات) کا احاطہ نہیں کیا جا سکتا ہے۔ آپ کی ٹیم اب بھی ان خدمات کو محفوظ طریقے سے ترتیب دینے کی ذمہ دار ہے۔ BAA کچھ قانونی ذمہ داری کو تبدیل کرتا ہے لیکن خود بخود آپ کے نفاذ کو موافق نہیں بناتا ہے۔

کم از کم ضروری معیار کیا ہے اور یہ ایپ ڈیزائن کو کیسے متاثر کرتا ہے؟

کم از کم ضروری معیار کا تقاضہ ہے کہ آپ مخصوص مقصد کے لیے درکار صرف PHI عناصر تک رسائی، استعمال، یا انکشاف کریں۔ عملی طور پر، اس کا مطلب ہے: اگر آپ کے تجزیاتی فنکشن کو صرف غیر شناخت شدہ مجموعی ڈیٹا کی ضرورت ہے، تو مریض کے مکمل ریکارڈ نہ کھینچیں؛ اگر آپ کے بلنگ فنکشن کو کلیم ڈیٹا کی ضرورت ہے، تو اسے کلینیکل نوٹس تک رسائی نہیں ہونی چاہیے۔ اپنے سسٹم کو کردار اور فنکشن کے لحاظ سے ڈیٹا کو کم سے کم کرنے کے لیے ڈیزائن کریں، نہ کہ صرف پالیسی کے ذریعے۔ کردار پر مبنی رسائی کنٹرول اور فنکشن کے لحاظ سے ڈیٹا کی تقسیم بنیادی تکنیکی نفاذ ہیں۔

HIPAA عالمی ڈیجیٹل ہیلتھ پلیٹ فارمز کے لیے GDPR کے ساتھ کیسے تعامل کرتا ہے؟

وہ متوازی طور پر کام کرتے ہیں۔ HIPAA امریکی صحت کی دیکھ بھال کے ڈیٹا پر لاگو ہوتا ہے قطع نظر اس کے کہ اس پر کارروائی کی جاتی ہے۔ GDPR EU کے رہائشیوں کے ذاتی ڈیٹا پر لاگو ہوتا ہے قطع نظر اس کے کہ کنٹرولر یا پروسیسر کہاں قائم ہے۔ اگر آپ کے پاس EU مریض کا ڈیٹا ہے تو دونوں ایک ساتھ درخواست دے سکتے ہیں۔ GDPR کی قانونی بنیادیں اور ڈیٹا کے موضوع کے حقوق HIPAA کی کم از کم ضروری اور مریض کے حقوق کی دفعات سے الگ ذمہ داریاں ہیں۔ عملی مضمرات: آپ کو HIPAA مریض تک رسائی کی درخواست اور ایک ہی مریض کے لیے GDPR موضوع تک رسائی کی درخواست دونوں کو پورا کرنے کی ضرورت پڑ سکتی ہے، دونوں فریم ورک کے مطابق عمل کرنے والے عمل کو استعمال کرتے ہوئے۔

کیا ہمارا مارکیٹنگ اینالیٹکس ٹول HIPAA بزنس ایسوسی ایٹ ہے؟

ممکنہ طور پر ہاں، اگر اسے ePHI موصول ہوتا ہے۔ Many digital health companies inadvertently share PHI with analytics tools (Google Analytics, Mixpanel, Amplitude) through URL parameters, event metadata, or user property tags containing PHI. اس نے 2022–2023 میں ٹریکنگ پکسلز استعمال کرنے والے ہسپتالوں کے خلاف OCR نافذ کرنے والی اہم کارروائی کو متحرک کیا جنہوں نے Meta اور Google کو PHI بھیجا۔ تمام تجزیاتی انضمام کا آڈٹ کریں، اس بات کو یقینی بنائیں کہ BAA کے بغیر تجزیاتی ٹولز میں PHI کا بہاؤ نہ ہو، اور رازداری کے تحفظ کے تجزیات کے استعمال پر غور کریں جو صرف مجموعی یا غیر شناخت شدہ ڈیٹا پر کام کرتے ہیں۔

---

اگلے اقدامات

HIPAA کے مطابق ڈیجیٹل ہیلتھ پلیٹ فارمز کی تعمیر کے لیے شروع سے ہی محتاط آرکیٹیکچر فیصلوں کی ضرورت ہوتی ہے — سیکیورٹی اور پرائیویسی کنٹرولز کو موجودہ سسٹم میں دوبارہ تیار کرنا ان کی تعمیر سے کہیں زیادہ مہنگا ہے۔ ECOSIRE کی ٹیم آپ کو آپ کے ڈیجیٹل ہیلتھ پلیٹ فارم کے لیے HIPAA کے مطابق تکنیکی فن تعمیر کو ڈیزائن، لاگو کرنے اور دستاویز کرنے میں مدد کر سکتی ہے۔

ہمارا تجربہ مریضوں کے پورٹل کی ترقی، EHR انٹیگریشن آرکیٹیکچر، ٹیلی ہیلتھ بیک اینڈ سسٹمز، اور ہیلتھ اینالیٹکس پلیٹ فارمز پر محیط ہے - یہ سب HIPAA کی تعمیل کے ساتھ ایک بنیادی ڈیزائن کی رکاوٹ کے طور پر لاگو کیا گیا ہے۔

مزید جانیں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ HIPAA کی ضروریات پیچیدہ اور حقیقت سے متعلق ہیں۔ اپنی تنظیم کے لیے مخصوص رہنمائی کے لیے اہل صحت کی دیکھ بھال کے قانونی مشیر اور ایک HIPAA تعمیل افسر سے مشغول ہوں۔