Закон HIPAA
HIPAA — это аббревиатура от Health Insurance Portability and Accountability Act (Закон о переносимости и подотчётности медицинского страхования), федеральный закон США, принятый в 1996 году. Закон устанавливает стандарты для защиты конфиденциальной медицинской информации пациентов, регулирует электронный обмен данными в здравоохранении, а также обеспечивает непрерывность медицинского страхования при смене или потере работы. HIPAA является одним из ключевых нормативных актов в области здравоохранения и информационной безопасности в Соединённых Штатах.
История принятия
Необходимость в принятии HIPAA возникла в середине 1990-х годов в связи с ростом числа американцев, не имевших медицинской страховки или терявших её при увольнении. По оценкам, до 25 % граждан США в определённый период оставались без страхового покрытия из-за «привязки» страховки к рабочему месту. Кроме того, с развитием электронных медицинских записей (ЭМЗ) остро встал вопрос о защите персональных данных пациентов.
Законопроект был внесён в Конгресс США сенаторами Эдвардом Кеннеди и Нэнси Кассебаум. Президент Билл Клинтон подписал закон 21 августа 1996 года. Первоначально HIPAA состоял из двух основных разделов: Title I (защита страхового покрытия) и Title II (административное упрощение и защита данных). Впоследствии, в 2009 году, в рамках Закона о восстановлении и реинвестировании (ARRA) был принят HITECH Act, который ужесточил требования к безопасности и ввёл более строгие штрафы за утечки данных.
Основные положения
Title I: Переносимость страхования
Этот раздел регулирует доступ к медицинскому страхованию для лиц, меняющих или теряющих работу. Он запрещает страховым компаниям отказывать в покрытии на основании предшествующих заболеваний (pre-existing conditions) при переходе из одного группового плана в другой. Также Title I ограничивает сроки ожидания для нового покрытия и гарантирует продление полиса при увольнении (COBRA — Consolidated Omnibus Budget Reconciliation Act, хотя формально это отдельный закон, HIPAA усилил его положения).
Title II: Административное упрощение и защита данных
Этот раздел — наиболее известная часть HIPAA. Он предписывает:
- Стандартизацию электронного обмена данными (EDI) — единые форматы для счетов, заявок на страховку, направлений и других транзакций.
- Правила конфиденциальности (Privacy Rule) — устанавливают права пациентов на доступ к своей медицинской информации, её копирование и внесение исправлений, а также ограничивают использование и раскрытие защищённой медицинской информации (Protected Health Information, PHI) без согласия пациента.
- Правила безопасности (Security Rule) — определяют административные, физические и технические меры защиты электронной PHI (ePHI): шифрование, контроль доступа, аудит, обучение персонала.
- Правила уведомления о нарушениях (Breach Notification Rule) — требуют от организаций уведомлять пациентов, Министерство здравоохранения и социальных служб США (HHS) и, в некоторых случаях, СМИ об утечках незащищённой PHI.
Title III–V: Прочие положения
Эти разделы касаются налоговых льгот для медицинских сберегательных счетов (MSA), правил для долгосрочного ухода и других административных вопросов. Они менее известны широкой публике, но также входят в состав закона.
Классификация субъектов, подпадающих под действие HIPAA
Закон распространяется на три основные категории:
- Покрываемые организации (Covered Entities) — медицинские учреждения (больницы, клиники, врачебные кабинеты), страховые компании, центры обработки медицинских заказов (например, аптеки).
- Деловые партнёры (Business Associates) — подрядчики и субподрядчики, которые обрабатывают PHI от имени покрываемых организаций: IT-компании, бухгалтерские фирмы, юридические консультанты, компании по уничтожению документов.
- Подрядчики деловых партнёров — с 2013 года (Omnibus Rule) ответственность за защиту данных распространяется и на них.
Лица, не входящие в эти категории (например, фитнес-трекеры, работодатели, не связанные с медицинским страхованием, или приложения для здоровья, не сотрудничающие с покрываемыми организациями), не обязаны соблюдать HIPAA, хотя могут подпадать под другие законы (например, FTC Act).
Права пациентов по HIPAA
- Право на доступ — пациент может запросить и получить копию своей медицинской карты (в электронном или бумажном виде) в течение 30 дней.
- Право на внесение изменений — если пациент считает, что информация неверна, он может потребовать её исправления.
- Право на отчёт об утечках — пациент должен быть уведомлён, если его PHI была скомпрометирована.
- Право на ограничение использования — пациент может запретить использование своей информации для определённых целей (например, для маркетинга).
- Право на конфиденциальное общение — пациент может потребовать, чтобы медицинская организация связывалась с ним альтернативным способом (например, по телефону, а не по почте).
Штрафы и ответственность
Нарушения HIPAA делятся на четыре уровня в зависимости от степени вины:
- Незначительное нарушение (Tier 1) — организация не знала и не могла разумно предотвратить нарушение. Штраф — от 100 до 50 000 долларов за одно нарушение.
- Разумная причина (Tier 2) — нарушение произошло по причине, которую организация могла бы предотвратить при должной осмотрительности. Штраф — от 1 000 до 50 000 долларов.
- Умышленное пренебрежение, исправленное (Tier 3) — организация знала о нарушении, но приняла меры в течение 30 дней. Штраф — от 10 000 до 50 000 долларов.
- Умышленное пренебрежение, не исправленное (Tier 4) — организация не приняла мер. Штраф — от 50 000 до 1,5 миллиона долларов за одно нарушение.
Максимальный годовой штраф за повторные нарушения одного типа может достигать 1,5 миллиона долларов. Кроме того, предусмотрена уголовная ответственность: за намеренное раскрытие PHI с целью наживы или причинения вреда — до 10 лет лишения свободы.
Применение и значение
HIPAA существенно изменил практику работы с медицинскими данными в США. Он способствовал переходу от бумажных архивов к электронным системам, стандартизировал форматы обмена информацией между больницами, страховщиками и аптеками, а также ввёл обязательное обучение персонала по вопросам конфиденциальности. По данным HHS, с 2009 по 2023 год было зарегистрировано более 5 000 крупных утечек PHI (затрагивающих 500 и более человек), что привело к выплате штрафов на сумму свыше 130 миллионов долларов. Наиболее крупные штрафы были наложены на Anthem Inc. (16 миллионов долларов за утечку данных 79 миллионов человек) и Advocate Health Care (5,5 миллиона долларов).
Критика и ограничения
- Сложность и бюрократизация — медицинские организации часто жалуются на громоздкие процедуры получения согласий и ведения документации, что замедляет оказание помощи.
- Недостаточная защита от современных угроз — HIPAA был принят до эры облачных технологий и мобильных приложений, поэтому его требования к шифрованию и контролю доступа не всегда адекватны новым рискам (например, утечки через API или сторонние приложения).
- Исключение некоторых субъектов — закон не распространяется на многие цифровые сервисы здоровья (например, фитнес-трекеры, приложения для медитации), что создаёт «серую зону» в защите данных.
- Высокие затраты на соблюдение — малые клиники и частные врачи нередко испытывают финансовые трудности при внедрении дорогостоящих систем безопасности и обучении персонала.
Влияние на другие страны
Положения HIPAA послужили моделью для разработки законов о защите медицинских данных в других странах, включая Канаду (PIPEDA), Австралию (Privacy Act 1988) и государства Европейского союза (GDPR, который, в отличие от HIPAA, охватывает все персональные данные, а не только медицинские). В России аналогом HIPAA в части защиты медицинской тайны является Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральный закон № 152-ФЗ «О персональных данных», однако прямого аналога HIPAA в российском законодательстве нет.
Источники
- Health Insurance Portability and Accountability Act of 1996 (Pub.L. 104–191, 110 Stat. 1936)
- U.S. Department of Health and Human Services (HHS). «Summary of the HIPAA Privacy Rule» (2003)
- HHS Office for Civil Rights (OCR). «HIPAA Breach Notification Rule» (2009)
- HITECH Act (2009), enacted as part of the American Recovery and Reinvestment Act
- Federal Register. «Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules» (Omnibus Rule, 2013)
- Congressional Research Service. «The Health Insurance Portability and Accountability Act (HIPAA): An Overview» (2022)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →