Експертна думка. HIPAA-compliance в українському контексті: як працювати вітчизняній компанії?

Що таке HIPAA (Health Insurance Portability and Accountability Act) та чому українському фахівцю з медичного права варто знати, що це за закон, — про це у колонці для LIGA ZAKON розповідає Галина Волошин, заступниця Голови Комплаєнс Комітету Асоціації правників України, адвокатка, юристка компанії Rozetka, консультантка з HIPAA & ADA Compliance.

Така дивна для вітчизняного юриста абревіатура HIPAA. Можливо, вам десь траплялась зазначена абревіатура в статтях з тематики медичного права, можливо, ви чули про неї в контексті захисту персональних даних або ж не чули про цей нормативний акт взагалі. Ця стаття покликана пояснити суть та зміст цього документа, а також надати відповідь на питання: навіщо українському юристу знати про цей закон?

HIPAA (Health Insurance Portability and Accountability Act) — Федеральний закон США, прийнятий в 1996 р., який регулює питання захисту персональних медичних даних. І, здається, нас не мали б хвилювати федеральні закони США, однак, не все так просто. Відповідно до правок, внесених у 2013 році під дію закону попали потрапили також організації, які не пов'язані з охороною здоров'я, але надають послуги, пов'язані з обробкою, зберіганням або передачею персональних медичних даних (так звані Business Associates).

Читаємо ще раз і беремо до уваги: якщо українська компанія надає послуги, до прикладу, з розрахунку вартості медичних послуг та надсилає запити в страхові компанії для отримання оплати за надані медичні послуги, логістичні послуги, під час надання яких використовують програми, що містять персональну медичну інформацію пацієнта (тобто personal health information — PHI), то так чи інакше регуляція HIPAA на цю компанію буде.

Окрім цього, у зв'язку із трансформаційними змінами в суспільстві зрозумілим є те, що українське законодавство теж із часом зазнає змін, а тому справедливо очікувати зміни у законах, що регулюють захист медичної інформації. А це означає, що найближчим часом дослідження питання транскордонного регулювання захисту та обробки медичної інформації з теоретичної площини може перейти в практичну.

Якщо перейти до практичної частини, то моделюємо ситуацію:

Пацієнт у США звертається до лікаря зі скаргою на випадіння волосся. Лікар збирає анамнез, вносить ці дані в профіль пацієнта, виписує рецепт на засіб від випадіння волосся. Надалі рецепт надсилається до аптеки (компанія Х), яка виготовляє та продає засоби від випадіння волосся. Українська компанія (компанія У) надає логістичні послуги та послуги контакт-центру (обробляє статуси виконання замовлень компанією Х, телефонує пацієнтам для узгодження дати доставлення медикаментів). Як бачимо, схема співпраці компанії Х та компанії У більш ніж реальна, а тому вимоги HIPAA напряму стосуватимуться української компанії як контрактора у цих відносинах.

Зрозуміло, що для нас як для правників основним завданням стане приведення діяльності української компанії до вимог HIPAA-комплаєнсу для можливості надавати відповідні послуги на ринку США. Отже, які кроки необхідно здійснити компанії, щоб вважатись HIPAA-комплаєнсною?

1. Провести аудит усередині компанії

Щоб відповідати вимогам HIPAA, дуже важливо визначити, в чому полягають недоліки роботи компанії. З цією метою проводяться внутрішні аудити компанії. У планах усунення недоліків перелічуються виявлені недоліки і те, як компанія планує їх усунути, включно з діями та термінами, в які ці недоліки будуть вирішені.

2. Підготувати політики та процедури, які відповідають вимогам HIPAA

Щоб гарантувати, що компанія відповідає вимогам HIPAA щодо конфіденційності, безпеки обробки даних, компанія повинна запровадити письмові політики та процедури. Ці політики та процедури повинні бути адаптовані до конкретних потреб практики та застосовуватися безпосередньо до того, як працює компанія.

3. Провести навчання HIPAA

HIPAA встановлює вимоги до навчання працівників, які є однаковими незалежно від того, в якому штаті працює медична організація, а також навчання HIPAA повинен пройти кожен працівник, який має потенційний доступ до медичної інформації. Аналогічно працює і з працівниками компанії, яка надає послуги американській компанії. При цьому, відсутні вимоги до форми тренінгів. Ви можете підготувати тренінг із кібербезпеки, правил поводження з медичними даними в ZOHO або будь-якій внутрішній системі, яку використовує компанія для навчання.

4. Угоди про ділове співробітництво (ВАА)

Угоди про ділове співробітництво повинні бути підписані з кожною компанією, яка надає послуги компанії, яка працює з медичними даними в США. HIPAA визначає ділового партнера як будь-яку організацію, яка надає послуги для вашої практики, що дає їй можливість отримати доступ до медичних даних пацієнтів. Поширеними прикладами ділових партнерів є платформи електронних медичних записів, постачальники послуг електронної пошти, програмне забезпечення для планування зустрічей в Інтернеті та постачальники хмарних сховищ. По суті, BAA — це договір, який вимагає, щоб кожна сторона, яка його підписала, дотримувалася вимог HIPAA та несла відповідальність за їх дотримання.

Якщо компанія не підписує BAA, то, відповідно, надання їй доступу до медичних даних пацієнтів є незаконним. Якщо провести аналогію із GDPR, то цей контракт схожий на SCC — Standard contractual clauses. Це «двовидові» стандартні договірні положення, які затвердила Єврокомісія: перші підписують при передачі даних з Європейської Економічної Зони в треті країни, другі слугують для обробки в межах Європейської Економічної Зони. Ці договірні положення регулюють підстави передачі даних, технічні та організаційні заходи, що впроваджує компанія, якій передаються персональні дані для обробки тощо.

5. Управління інцидентами

Для того, щоб відповідати вимогам HIPAA щодо інцидентів, компанія повинна мати систему виявлення, реагування та звітування про порушення (Incidents report policy). Співробітники повинні мати можливість анонімно повідомляти про інциденти та знати, що робити, якщо вони підозрюють, що сталося порушення політик, які регулюють процеси оброки персональних медичних даних пацієнтів. Зазначені процедури фіксуються у відповідних внутрішніх політиках компанії, з якими ознайомлюються працівники а також працівники повинні бути з ними ознайомленими.

Можемо зробити висновок:

Для того, щоб підготувати компанію до роботи із медичним ринком США, слід підготуватись та провести аналітичну роботу, пропрацювати внутрішню документацію та провести відповідне навчання працівників. Зазначені тенденції, безумовно, є корисними, адже перспектива адаптації нашого законодавства до найкращих світових практик із захисту інформації відповідає принципам захисту прав пацієнта, однак, у тому числі, покладає на компанію додаткові обов'язки та витрати. Таким чином, бачимо, що система вимог, які встановлюються HIPAA, є достатньо вичерпними. Загалом можна констатувати, що HIPAA-комплаєнс для української компанії — не міф, а цілком можлива вимога, що потребує належної юридичної підтримки.

Do you have an interesting idea for an event?