Акт о переносимости и ответственности страхования здоровья (HIPAA)
Не следует сразу пропускать этот раздел, если сайт не связан со страхованием здоровья. Законодательный акт США, называемый HIPAA (Health Insurance Portability and Accountability), содержит гораздо больше информации, чем можно предположить по названию. Если сайт даже косвенно связан со здоровьем, медициной или медикаментами, необходимо ознакомиться с HIPAA, чтобы узнать, как относится данный закон к сайту.
Многим акт HIPAA больше известен как акт Кеннеди-Кессбаума, изданный в 1996 г. с целью облегчения страхования здоровья при смене работы. Авторы законодательного акта, сенаторы Кеннеди и Кессбаум, сделали вывод о том, что описанные обстоятельства поднимут стоимость страхования здоровья (например, из-за ограничения страховых компаний в отклонении требований или отказе в предоставлении услуг). Закон призван обеспечить компьютеризацию медицинских записей, особенно в области ведения счетов и платежей. Многочисленные исследования показали, что стандартизация кодов платежей обеспечивает огромные финансовые выгоды страховым компаниям и здравоохранительным организациям, увеличивает скорость и точность осуществления платежей при уменьшении числа младших сотрудников. Ранее подобные предложения не принимались, поэтому в законе HIPAA они вынесены в отдельный раздел под названием "Административное упрощение".
Сайт может попасть под действие закона HIPAA, поскольку в разделе "Административное упрощение" законодатели упомянули потенциальную утерю секретности, связанную с компьютеризацией медицинских данных. Согласно Закону о секретности (изданному в дополнение к Акту HIPAA) организация не имеет права использовать или разглашать информацию о защите здоровья, за исключением конкретных обстоятельств, описанных в законе. Более того, говорится, что "организация должна иметь соответствующие административные, технические и физические средства безопасности для защиты секретности информации о здоровье".
Эти средства безопасности описываются в документе Security Rule (Правило безопасности), который "определяет требования к безопасности, необходимые для защиты конфиденциальности и секретности информации, о которых идет речь в Законе". В Правиле безопасности описываются средства защиты для физического хранения и управления, передачи и доступа к личной информации о состоянии здоровья. Правила относятся не только к транзакциям, попадающим под действие закона HIPAA, но и к любой личной информации о состоянии здоровья, передающейся по электронным каналам. К счастью, Правило безопасности не требует использования каких-либо конкретных технологий. Оно подразумевает применение различных решений в зависимости от требований той или иной организации.