Yeni HIPAA Kuralı Elektronik Sağlık Verilerinin Korumasını Güçlendiriyor

03.01.2025

ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) Sivil Haklar Ofisi (OCR), sağlık sektöründeki artan siber güvenlik tehditlerine karşı elektronik korunan sağlık bilgilerini (ePHI) daha iyi korumak amacıyla HIPAA Güvenlik Kuralı'nda güncellemeler önerdi. Bu güncellemeler, uyum standartlarını modernize etme ve sağlık kuruluşlarının siber saldırılara karşı dayanıklılığını artırma çabasının bir parçasıdır.

1996 yılında yürürlüğe giren HIPAA Güvenlik Kuralı, sağlık hizmeti sağlayıcıları, sağlık planları, veri işleme merkezleri ve iş ortakları dahil olmak üzere çeşitli kuruluşlar için ePHI'yi korumaya yönelik ulusal gereklilikler belirler. Önerilen değişiklikler, eski kuralların kaldırılmasını, mevcut gereksinimlerin netleştirilmesini ve zorunlu şifreleme, çok faktörlü kimlik doğrulama ve elektronik sistemler için ayrıntılı risk değerlendirmeleri gibi daha sıkı koruma önlemlerini içeriyor.

Başlıca güncellemeler arasında, düzenlemeye tabi kuruluşların teknoloji varlık envanterlerini güncel tutmaları, kapsamlı olay müdahale planları geliştirmeleri ve tüm politika ve prosedürlerin yazılı olarak belgelenmesini sağlamaları yer alıyor. Ayrıca, iş ortakları ve taşeronlar, bu teknik önlemlere yıllık olarak uyduklarını belgelendirmek zorunda olacak ve sağlık hizmeti tedarik zincirinde hesap verebilirlik vurgulanacak.

HHS'nin önerilen kuralı, Biden Yönetimi'nin Ulusal Siber Güvenlik Stratejisi ile uyumlu olup, Sağlık Sektörü Siber Güvenlik Kavram Belgesi gibi girişimlerin üzerine inşa edilmektedir. İlgili paydaşların, güçlü veri koruması ile operasyonel uygulanabilirlik arasındaki dengeyi yansıtacak şekilde 60 günlük kamu yorum süresi boyunca geri bildirimde bulunmaları teşvik edilmektedir.

Eğer onaylanırsa, bu güncellemeler sağlık verilerini gelişen siber güvenlik tehditlerinden korumak için önemli bir adım olacak ve sektör için daha güçlü bir standart oluşturacaktır.