5.4. HIPAA Compliance

Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası'na (HIPAA) uyumluluk anlamına gelir. HIPAA, Amerika Birleşik Devletleri'nde korunan sağlık bilgilerini (PHI) korumayı amaçlayan bir yasadır. PHI, bir bireyin kimliğini belirleyebilen veya tanımlayabilen sağlıkla ilgili herhangi bir bilgidir.

HIPAA compliance'ın amacı, PHI'nın gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamaktır. Bu amaçla, HIPAA, PHI'yı toplayan, depolayan, kullanan ve ifşa eden tüm kuruluşlar için bir dizi gereklilik belirlemektedir.

HIPAA Compliance, ABD Sağlık ve İnsan Hizmetleri Departmanı (HHS) tarafından çıkarılmıştır. HIPAA, 1996 yılında yürürlüğe girmiştir.

HIPAA Compliance, aşağıdaki kuruluşlar için zorunludur:

· Sağlık hizmeti sağlayıcıları

· Sağlık sigortası şirketleri

· Sağlık bilgi sistemleri sağlayıcıları

· Sağlık araştırmacıları

Bu kuruluşlar, PHI'yı işledikleri sürece, HIPAA'ya uymak zorundadır.

HIPAA Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:

HIPAA'yı inceleyin ve kuruluşunuz için önemli olan hükümleri belirleyin.
Bu hükümleri yerine getirmek için bir plan geliştirin.
Planı uygulayın ve etkinliğini değerlendirin.

HIPAA Compliance, kuruluşların PHI'yı korumalarına ve yasal yükümlülüklerini yerine getirmelerine yardımcı olacak önemli bir araçtır.

HIPAA Compliance'ın sağladığı faydalar şunlardır:

· PHI'nın korunmasını sağlar.

· Yasal yükümlülükleri yerine getirir.

· Kurumsal itibarı güçlendirir.

· İş risklerini azaltır.

HIPAA compliance, kuruluşların PHI'yı korumak için önemli bir adımdır. HIPAA'ya uyum sağlamak, kuruluşların yasal yükümlülüklerini yerine getirmelerine ve PHI'larını korumalarına yardımcı olacaktır.

HIPAA compliance'ın temel gereksinimleri şunlardır:

· Gizlilik: PHI'nın yalnızca yetkili kişiler tarafından erişilebilir olması ve yalnızca izin verilen amaçlar için kullanılması gerekir.

· Bütünlük: PHI'nın doğru ve güncel tutulması gerekir.

· Erişilebilirlik: PHI'nın ihtiyaç duyulduğunda erişilebilir olması gerekir.

HIPAA compliance, kuruluşların PHI'yı korumalarına yardımcı olacak çeşitli araç ve kaynakları da sağlamaktadır. Bu araçlar ve kaynaklar arasında, HIPAA uyumluluk kılavuzları, eğitim materyalleri ve denetim hizmetleri yer almaktadır.

Madde	Sechard Tarafından Uygulanabilirlik

Madde	Sechard Tarafından Uygulanabilirlik
164.308.1.ii.A - Risk analysis	Uygulanabilir
164.308.1.ii.B - Risk management	Uygulanabilir
164.308.1.ii.C - Sanction policy	Uygulanabilir Değil
164.308.1.ii.D - Information system activity review	Uygulanabilir Değil
164.308.2 - Standard: Assigned security responsibility	Uygulanabilir Değil
164.308.3.ii.A - Authorization and/or supervision	Uygulanabilir Değil
164.308.3.ii.B - Workforce clearance procedure	Uygulanabilir Değil
164.308.3.ii.C - Termination procedures	Uygulanabilir Değil
164.308.4.ii.A - Isolating health care clearinghouse functions	Uygulanabilir Değil
164.308.4.ii.B - Access authorization	Uygulanabilir
164.308.4.ii.C - Access establishment and modification	Uygulanabilir Değil
164.308.5.ii.A - Security reminders	Uygulanabilir Değil
164.308.5.ii.B - Protection from malicious software	Uygulanabilir Değil
164.308.5.ii.C - Log-in monitoring	Uygulanabilir Değil
164.308.5.ii.D - Password management	Uygulanabilir Değil
164.308.6.ii.A - Response and Reporting	Uygulanabilir Değil
164.308.7.ii.A - Data backup plan	Uygulanabilir Değil
164.308.7.ii.B - Disaster recovery plan	Uygulanabilir Değil
164.308.7.ii.C - Emergency mode operation plan	Uygulanabilir Değil
164.308.7.ii.D - Testing and revision procedures	Uygulanabilir Değil
164.308.7.ii.E - Applications and data criticality analysis	Uygulanabilir Değil
164.308.8 - Evaluation	Uygulanabilir Değil
164.308.b.3 - Written contract or other arrangement	Uygulanabilir Değil
164.306.A - Ensure confidentiality integrity and availability of ePHI	Uygulanabilir Değil
164.306.B - Policy and procedures in place to evaluate security measures put in place along with exceptions to existing controls.	Uygulanabilir Değil
164.306.D.1-2 - Policy and procedures to implement HIPAA Security Rules required implementation specifications.	Uygulanabilir Değil
164.306.D.3 - Policy and procedure to implement the HIPAA Security Rules addressable implementation specifications.	Uygulanabilir Değil
164.306.E - Monitor and evaluate security policies procedures and measures on a continuous	Uygulanabilir Değil
164.314.B.2.i - Implementation Standards	Uygulanabilir
164.314.B.2.ii - Contract Standards	Uygulanabilir Değil
164.314.B.2.iii - Reasonable and appropriate security measures	Uygulanabilir Değil
164.314.B.2.iv - Report security incidents	Uygulanabilir Değil
164.310.A.2.i - Contingency operations	Uygulanabilir Değil
164.310.A.2.ii - Facility security plan	Uygulanabilir Değil
164.310.A.2.iii - Access control and validation procedures	Uygulanabilir Değil
164.310.A.2.iv - Maintenance records	Uygulanabilir Değil
164.310.B - Workstation use	Uygulanabilir Değil
164.310.C - Workstation security	Uygulanabilir Değil
164.310.D.2.i - Media Disposal	Uygulanabilir Değil
164.310.D.2.ii - Media re-use	Uygulanabilir Değil
164.310.D.2.iii - Accountability	Uygulanabilir Değil
164.310.D.2.iv - Data backup and storage	Uygulanabilir Değil
164.316.B.2.i - Retain documentation	Uygulanabilir Değil
164.316.B.2.ii - Ensure availability	Uygulanabilir Değil
164.316.B.2.iii - Updates and periodic review	Uygulanabilir Değil
164.316.A - Maintain policy and procedures and record action activity or assessment	Uygulanabilir Değil
164.310.A.2.i - Unique User Identification	Uygulanabilir
164.310.A.2.ii - Emergency Access Procedure	Uygulanabilir Değil
164.310.A.2.iii - Automatic Logoff	Uygulanabilir
164.310.A.2.iv - Encryption and Decryption (data at rest)	Uygulanabilir Değil
164.310.B - Audit Controls	Uygulanabilir
164.310.C.2.i - Mechanism to authenticate electronic protected health information	Uygulanabilir Değil
164.310.D - Person or Entity Authentication	Uygulanabilir Değil
164.310.E.2.i - Integrity Controls	Uygulanabilir Değil
164.310.E.2.ii - Encryption	Uygulanabilir Değil