Что такое HIPAA
HIPAA расшифровывается как Health Insurance Portability and Accountability Act. Он был принят Конгрессом США в 1996 году.
HIPAA — федеральный закон. Это означает, что он работает во всех 50 штатах. Независимо от того, где зарегистрирована ваша компания или в каком штате вы работаете, нужно подчиняться HIPAA, а также учитывать дополнительные местные законы.
Основная цель HIPAA — защитить информацию о состоянии здоровья пользователей. Закон распространяется на PHI (Protected Health Information) — всю информацию, которая может помочь идентифицировать пациента. Например, имя, фамилия, дата рождения, номер SSN (аналог наших ИНН и СНИЛС в Америке) и телефон.
Мобильные приложения, соответствующие требованиям HIPAA, должны обеспечивать надежную защиту этих данных на разных уровнях.
Почему важно знать о HIPAA
Если проигнорировать требования HIPAA, то можно получить штраф — от 100$ до 50 000$ за каждое нарушение (например, за каждого пациента). Максимальная сумма штрафа в год — 1,5 миллиона долларов, а в редких случаях можно попасть и в тюрьму. Для стартапов, особенно на ранней стадии, такой штраф может стать смертельным.
Если вы не хотите иметь проблем с законом — а кто хочет? — важно знать о требованиях HIPAA.
Если вы нарушите требования HIPAA
Это будет иметь серьезные последствия.
Во-первых, скрыть нарушения не получится. Закон требует, чтобы вы рассказали пользователям об утечке информации. Нужно сообщить, какая информация попала в публичный доступ и объяснить потенциальные риски. Если утечка затрагивает более 500 человек, то придется уведомить СМИ. Только представьте, как нарушения HIPAA могут сказаться на репутации.
Какие данные защищает HIPAA
Закон четко определяет, на какую медицинскую информацию распространяется действие закона. К ней относятся все данные, которые могут идентифицировать личность человека. Всего HIPAA защищает 17 категорий:
💁♂️ ФИО
Имя, фамилия, отчество и даже инициалы попадают под требования HIPAA. Но только если они сопровождаются медицинской информацией — диагнозом, результатами анализов, номером страхования.
🌎 Место жительства или рождения
HIPAA распространяется на все населенные пункты меньше штата. Например, Техас или Массачусетс не попадают под закон, а название города, округа или района — да. Есть еще есть одно исключение: первые три цифры почтового индекса. Они указывают на штат, поэтому считаются открытой информацией.
📅 Любые даты
Под требования HIPAA попадают все даты, напрямую связанные с пользователем. Например, дата рождения (если пациент старше 89 лет), а также дата смерти, дата поступления в больницу или дата выписки.
📞 Номер телефона
Вы когда-нибудь задумывались, откуда у телефонных мошенников ваш номер? Точно не из медицинского приложения, потому что это очень серьезное нарушение HIPAA. Кроме номера телефона, закон также защищает номер факса — на случай, если кто-то им еще пользуется.
Тут все очень очевидно — электронная почта может указать на конкретного пациента, поэтому она защищена HIPAA.
🔒 Номер социального страхования (SSN)
В Америке номер социального страхования нужен, чтобы устроиться на работу, открыть счет в банке, заплатить налоги или взять кредит. Если номер SSN попадет в руки к мошенникам, можно идентифицировать владельца и украсть его личность.
🩺 Номер медицинской карточки
Он состоит из шести цифр, и обычно его можно найти на большинстве медицинских документов. Например, в направлении к врачу или в результатах анализов. Электронные медицинские карточки помогают докторам быстро получать доступ ко всей нужной информации о пациенте.
🏥 Информация о страховке
Название страховой компании и индивидуальный номер пациента — это конфиденциальная информация, которую защищает HIPAA.
😎 Аккаунт пациента
В американских больницах для каждого пациента создают аккаунт в системе и присваивают ему индивидуальный номер. В аккаунте содержится персональная информация пациента: имя, контактные данные, номера банковской карты и медицинской карточки. Этот аккаунт также попадает под требования HIPAA.
👩🏻⚕️Номер диплома или лицензии
HIPAA также распространяется на врачей — нельзя делиться их документами об образовании и профессиональными сертификатами.
🚗 Информация об автомобиле
Под требования HIPAA попадает номер водительского удостоверения, номер машины или серийный номер двигателя.
🦾 Серийный номер медицинского девайса
Если пользователь носит медицинские устройства, например, инсулиновую помпу или кардиостимулятор, их серийные номера также будут считаться конфиденциальными данными.
🧑🏻💻Ссылка
Любой URL-адрес, связанный с пациентами, попадает под требования HIPAA.
💻 IP-адрес
IP-адрес может идентифицировать устройство пациента и указать, где он: страна, регион, город. Поэтому эта информация тоже находится под защитой HIPAA.
✋Биометрия
В Америке многие медицинские организации собирают биометрические данные пациентов, чтобы быстрее их идентифицировать. Под защиту HIPAA попадают отпечатки пальцев, сетчатка глаза, запись голоса и другая биометрия.
📸 Фото или видео
Это относится к любому изображению, на котором можно узнать человека, а также к скриншотам и фотографиями экрана, где есть PHI (Protected Health Information) — имя, инициалы или номер медицинской карточки.
🕵️♀️Все другие идентификационные данные
Этот обширный пункт в законе охватывает любую медицинскую информацию, которая может указать на конкретного пациента.
⚠️ Важно: демографические данные, например имя, дата рождения или номер страхового полиса, попадают под защиту HIPAA только если сочетаются с другой медицинской информацией
Кому нужно соответствовать требованиям HIPAA
Не все медицинские платформы попадают под HIPAA. Например, приложения для йоги или медитации не должны подчиняться требованиям закона, потому что информация внутри предназначена для личного использования. Ей не делятся с третьей стороной — допустим, с больницей или страховой компанией.
Закон HIPAA применяется только к платформам, которые передают медицинскую информацию «определенным лицам», указанным в законе: врачам, больницам и страховым компаниям. Такие приложения должны защищать данные в соответствии с требованиями HIPAA.
Чтобы проверить, распространяется ли закон на ваш стартап, нужно ответить на три вопроса:
Если вы ответили «да» на все вопросы, ваше мобильное приложение, должно подчиняться требованиям HIPAA.
Требования HIPAA для медицинских стартапов и приложений
В законе HIPAA прописаны три типа требований к мобильным приложениям: административные, физические и технические меры безопасности. Все они регулируют доступ к информации. Давайте подробно рассмотрим каждое из требований HIPAA.
Административные меры безопасности
Включают в себя правила для владельцев стартапов, сотрудников больниц и страховых компаний. Например, чтобы обеспечить безопасность данных, они должны проводить обучение сотрудников и оценку рисков. Также административные меры безопасности могут включать:
- Образовательные семинары;
- Штрафы для сотрудников, которые не соблюдают правила HIPAA;
- Рассылка с напоминанием о правилах HIPAA;
- Супервайзеры, которые следят за требованиями HIPAA в команде.
Физические меры безопасности
Такие требования регулируют доступ посторонних в здания, к рабочим станциям, компьютерам и серверам. Основная цель — отслеживать, кто может просматривать конфиденциальные данные, и предотвратить потенциальные утечки. К таким мерам безопасности относятся:
- Охрана в здании;
- Контроль доступа (например, пропуски для посетителей);
- Экстренные протоколы, если что-то пойдет не так;
- Процедуры утилизации данных и устройств.
Технические меры безопасности
Самый частый сценарий нарушения HIPAA — кража телефона. Если смартфон попал в руки мошенников, то все ваши персональные данные — в зоне риска. Технические требования HIPAA гарантируют, что даже если устройство украли, личная информация останется конфиденциальной.
Технические меры безопасности противостоят мошенничеству и краже личности. Они включают:
- Вход по уникальному идентификатору (например, по имени пользователя или номеру аккаунта);
- Автоматический выход из приложения, если пользователь неактивен;
- Шифрование данных;
- Защищенные каналы передачи данных;
- Регулярный аудит информационных систем;
- Сложный пароль (что-то вроде qwerty123 или ivan1996 — не подойдет);
- Двухфакторная аутентификация.
Приложение Babylon просит пользователей установить PIN-код, а также по желанию добавить вход по FaceID
Другие законы о защите данных в США
В Америке нет универсального закона о конфиденциальности и защите данных, как например GDPR в Европе. Но есть много предписаний для отдельных штатов и сфер. Давайте рассмотрим некоторые постановления, которые понадобятся при разработке приложения в сфере здравоохранения.
Закон Федеральной торговой комиссии
FTC (Federal Trade Commission Act, Закон Федеральной торговой комиссии) защищает пользователей от «антиконкурентных, вводящих в заблуждение и недобросовестных услуг». По сути, главное требование этого закона — быть честным с аудиторией насчёт работы с ее информацией, а также уведомлять пользователей об утечках.
Законы отдельных штатов
В некоторых штатах действуют собственные законы о конфиденциальности данных. Например, в Нью-Йорке есть SHIELD. Его должны соблюдать все приложения, которые владеют информацией о резиденте Нью-Йорка. Но, по сути, все медицинские приложения на американском рынке. Например, даже если вы работаете с клиниками в Лос-Анджелесе, то вполне возможно, что когда-нибудь к ним попадет случайный пациент из Нью-Йорка — пользователь на отдыхе или в командировке. Его данные будет защищать SHIELD — ваше мобильное приложение должно соответствовать прописанным мерам безопасности.
В Калифорнии есть отдельный закон о защите потребителей (CCPA, California Consumer Privacy Act). В соответствии с ним пользователи имеют право знать, какую информацию собирает приложение, запросить ее удаление и запретить делиться данными с другими платформами.
Важно: заранее ознакомьтесь с законами о конфиденциальности данных в штатах, где вы работаете. Такие положения есть в Калифорнии, Иллинойсе, Колорадо, Юте, Вирджинии и Коннектикуте.
Как подготовить приложение к требованиям HIPAA
Для стартапов в сфере здравоохранения знать требования HIPAA обязательно, если вы не хотите штрафов и вреда репутации. Четыре совета для подготовки медицинского стартапа к работе на американском рынке:
-
Соберите информацию
Перед тем, как приступать к разработке мобильного приложения, изучите все законы, под которые попадает ваш стартап: HIPAA, Закон Федеральной торговой комиссии и положения отдельных штатов. Если вдруг подрядчик совершит ошибку, то платить за это придется вам — деньгами и репутацией. Чтобы этого не произошло, заранее всё изучите и соберите список требований — вся информация есть в интернете.
-
Проанализируйте, какие пользовательские данные вам нужны
Мы рекомендуем обсудить со своей командой разработчиков, какие данные пользователей вы будете собирать и попадают ли они под HIPAA. Если да, то нужно продумать меры безопасности для мобильного приложения. Можно использовать наш чек-лист в конце статьи, чтобы ничего не забыть.
-
Если нужно, наймите консультанта по HIPAA
Существуют специальные компании, главная задача которых — знать требования HIPAA. Они помогают стартапам обучать персонал, отвечать на вопросы сотрудников и проводить аудит.
-
Работайте только с опытными разработчиками
Профессиональная команда поможет свести риск ошибки до минимума. Выбирайте внимательно, читайте отзывы предыдущих клиентов и проверяйте портфолио вашего будущего разработчика. Заранее убедитесь, что у команды уже есть опыт в сфере здравоохранения — новичкам будет сложно на таких серьезных проектах.
5 шагов мобильной разработки с учетом требований HIPAA
Шаг 1: Начните с уникальной идеи. Любое мобильное приложение начинается с интересной и перспективной бизнес-идеи, которая поможет выделиться на рынке. Прежде чем планировать платформу, подумайте о целевой аудитории и ее потребностях. Кто ваш пользователь? Какие у него проблемы и как вы можете их решить? Как ваше приложение будет зарабатывать деньги? Эти вопросы помогут превратить бизнес-идею в продуманный бизнес-план.
Шаг 2: Определитесь с подрядчиком. Правильный выбор разработчика — ключ к успеху. Опытная и квалифицированная команда поможет с разработкой приложения, защитой данных и требованиями HIPAA. Не торопитесь при выборе разработчика: внимательно проверяйте портфолио и отзывы предыдущих клиентов.
Шаг 3. Проверьте, попадаете ли вы под требования HIPAA. Как мы рассказывали раньше, не все приложения в сфере здоровья попадают под закон HIPAA. Это зависит от того, какую информацию о пользователях вы собираете и как вы с ней обращаетесь.
Если вы попадаете под действие HIPAA, не забудьте попросить пользователей ознакомиться с требованиями закона — так, как это делает Babylon.
Шаг 4: Разработайте MVP. MVP (minimum viable product, минимально жизнеспособный продукт) — это полезный инструмент для стартапов. Он помогает протестировать бизнес-идею на реальных клиентах и собрать обратную связь. Не стоит путать его с прототипом: MVP — это полноценный, готовый продукт. Набор функций на этом этапе ограничен, но их достаточно, чтобы пользователь завершил свой путь и оставил фидбэк.
Шаг 5: Запустите финальную версию. После этапа MVP, нужно проанализировать обратную связь, доработать приложение и можно выходить на рынок. Команда разработчиков поможет вам спланировать запуск и возможное масштабирование решения, а также поддержит после — устранит любые баги и разработает обновления.
Подводим итоги
Важно понимать, что требования HIPAA — это не задача на один раз. Соответствие закону — длительный, непрерывный процесс.
Чтобы мобильное приложение соответствовало HIPAA, нужно регулярно проверять защиту данных, выпускать обновления и следить за изменениями в законодательстве. Любая утечка данных может стоить стартапу денег и репутации. Поэтому лучше планировать заранее и предотвратить проблему еще до ее появления.
Наш опыт
В Purrweb мы специализируемся на мобильной и веб-разработке с упором на удобный UI/UX дизайн и проектирование привычек. У нас есть обширный опыт работы с приложениями в сфере здравоохранения и требованиями HIPAA.
Одним из наших проектов был дизайн приложения для онлайн психотерапии — сервис онлайн психотерапии для рынка Великобритании. Наша команда тщательно выбирала технологический стек и надежное шифрование данных, чтобы соответствовать требованиям не только американского HIPAA, но и европейского GDPR.
Если вы задумались о разработке медицинских приложений, соответствующих требованиями HIPAA, мы будем рады помочь и поделиться опытом.
Бонус: чек-лист на соответствие HIPAA
Мы собрали чек-лист, который поможет вам проверить, соответствует ли ваше мобильное приложение базовым техническим требованиям HIPAA:
✅ Вход по имени пользователя или номеру аккаунта;
✅ Автоматический выход из системы, когда пользователь неактивен;
✅ Шифрование конфиденциальных данных;
✅ Автоматические регулярные проверки сервера;
✅ Сложный пароль;
✅ Двухфакторная аутентификация;
✅ Безопасные каналы для передачи данных.
