Conformitate HIPAA
Conformitate healthcare SUA — pregătit pentru când platforma se extinde pentru a servi clinici americane.
Ce Este HIPAA
HIPAA (Health Insurance Portability and Accountability Act) este o lege americană care guvernează modul în care trebuie gestionate Informațiile de Sănătate Protejate (PHI). PHI este orice informație despre sănătatea, tratamentul sau plata unui pacient care poate fi legată de acesta — nume, date de programări, planuri de tratament, prescripții de exerciții, notițe de ședință.
Încălcările atrag amenzi de până la 1,9 milioane USD pe incident și pot include penalități penale.
Când Se Aplică HIPAA La RestartiX
HIPAA este o lege exclusiv americană. Nu se aplică lansării România/UE.
Devine relevant numai când o clinică cu sediul în SUA folosește platforma. În acel moment:
- Clinica este o „Entitate Acoperită" conform legii americane
- RestartiX devine „Asociatul de Afaceri" al acesteia prin gestionarea PHI-ului pacienților lor
- Un Acord de Asociat de Afaceri (BAA) trebuie semnat înainte ca clinica să intre în producție
HIPAA nu se aplică atunci când clinicile române/UE tratează pacienți, chiar dacă unii pacienți sunt americani.
Ce Necesită HIPAA
De la RestartiX (Asociat de Afaceri)
| Cerință | Ce Înseamnă |
|---|---|
| Acorduri de Asociat de Afaceri | Contracte semnate cu fiecare furnizor care atinge PHI: Clerk (autentificare), AWS (infrastructură), Daily.co (video) |
| Ofițer de Securitate | O persoană numită responsabilă pentru securitatea PHI |
| Evaluarea Anuală a Riscului de Securitate | Analiză formală de risc a tuturor sistemelor care ating PHI — identifică vulnerabilități și documentează atenuarea |
| Formare a personalului | Formare regulată a personalului privind gestionarea PHI, documentată cu înregistrări de finalizare |
| Notificarea breșelor | Raportarea breșelor clinicilor afectate în 60 de zile |
De la fiecare clinică SUA (Entitate Acoperită)
| Cerință | Ce Înseamnă |
|---|---|
| BAA semnat cu RestartiX | Necesar înainte de a utiliza platforma pentru pacienții din SUA |
| Ofițer de Confidențialitate | O persoană numită responsabilă pentru programul de confidențialitate HIPAA al clinicii |
| Formarea personalului privind PHI | Tot personalul clinicii trebuie format pe regulile HIPAA |
| Program propriu de conformitate | Politici HIPAA independente, evaluări de risc și proceduri de raportare a breșelor |
Cum Suportă Deja Platforma HIPAA
Arhitectura platformei a fost proiectată cu pregătire HIPAA de la bun început, chiar dacă lansarea inițială este exclusiv în UE:
| Cerință HIPAA | Cum Este Deja Îndeplinită |
|---|---|
| Controale de audit (164.312(b)) | Fiecare mutație de date este înregistrată cu cine, ce, când, unde. Tentativele de acces eșuate sunt înregistrate. |
| Controale de acces (164.312(a)) | Control al accesului bazat pe roluri (RBAC). Fiecare utilizator vede numai ce permite rolul lor în cadrul clinicii. |
| Criptare (164.312(a)(2)(iv)) | Date criptate în tranzit (TLS) și la rest (AES-256). Câmpurile sensibile au criptare suplimentară la nivel de aplicație. |
| Controale de integritate (164.312(c)) | Formularele semnate sunt imutabile. Jurnalul de audit este append-only. Constrângerile bazei de date impun integritatea datelor. |
| Securitatea transmisiei (164.312(e)) | Toată comunicarea externă prin TLS. Fără canale necriptate. |
| Autentificarea persoanei/entității (164.312(d)) | Autentificare prin Clerk, cu MFA obligatoriu pentru toate rolurile de personal (admin, specialist, customer support, superadmin). Opțional dar recomandat pentru pacienți. Gestionarea sesiunilor cu token-uri securizate. |
| Acces de urgență (164.312(a)(2)(ii)) | Procedura break-glass pentru accesul de urgență la PHI — înregistrată complet și revizuită în 24 de ore. |
| Deconectare automată (164.312(a)(2)(iii)) | Timeout de sesiune și expirare automată a token-urilor. |
Retenție
HIPAA necesită reținerea documentației de audit minimum 6 ani. Jurnalul de audit al platformei este reținut 6 ani pe niveluri de stocare hot (baza de date) și warm (arhivă cloud).
Ce Mai Este Necesar pentru Lansarea în SUA
Când prima clinică din SUA se înregistrează, acești pași suplimentari sunt necesari:
- Semnarea BAA-urilor cu toți sub-procesatorii (Clerk, AWS, Daily.co)
- Desemnarea unui Ofițer de Securitate
- Finalizarea primei Evaluări Anuale a Riscului de Securitate
- Stabilirea programului de formare HIPAA a personalului
- Oferirea semnării BAA ca parte a procesului de înregistrare a clinicilor din SUA
Infrastructura tehnică este deja în vigoare. Elementele rămase sunt procedurale și legale.
Pentru dezvoltatori
Detalii tehnice — maparea cerințelor de audit HIPAA, middleware-ul de audit, implementarea retenției și înregistrarea break-glass — sunt disponibile în referința Conformitate Audit.