Electronic Health Records (EHR) Policy - Global Framework 2024
الإصدار: 2024/الأول | النطاق: جميع المنشآت الصحية ومعالجي البيانات
المراجع: HIPAA Security Rule | GDPR Article 9 | HL7 FHIR | ISO 27001
المراجع: HIPAA Security Rule | GDPR Article 9 | HL7 FHIR | ISO 27001
1. الهدف والنطاق
الهدف الاستراتيجي:
إنشاء إطار تنظيمي لحماية البيانات الصحية الإلكترونية (ePHI/eHR) يضمن السرية والنزاهة والتوفر (Confidentiality, Integrity, Availability)، مع تمكين تبادل المعلومات الآمن لدعم رعاية المرضى والبحث العلمي.
النطاق:
تغطي هذه السياسة جميع بيانات الرعاية الصحية المحمية إلكترونياً (ePHI) بما فيها:
- السجلات الطبية الإلكترونية (EHR/EMR)
- أنظمة الصور الطبية (PACS/RIS)
- تطبيقات الهاتف المحمول الصحية (mHealth)
- الأجهزة القابلة للارتداء (Wearables) والأجهزة الطبية المتصلة (IoMT)
- السحابة الإلكترونية والخوادم البعيدة
2. التعريفات والمصطلحات
| المصطلح | التعريف |
|---|---|
| ePHI | البيانات الصحية المحمية إلكترونياً: أي معلومات تتعلق بالحالة الصحية الجسدية أو العقلية للفرد، أو تقديم الرعاية الصحية، أو الدفع مقابلها |
| Controller | جهة الرعاية الصحية التي تحدد الغرض والوسائل لمعالجة البيانات الصحية |
| Processor | الطرف الثالث (مثل مزودي الخدمات السحابية) الذي يعالج البيانات نيابة عن جهة الرعاية |
| Breach | الوصول أو الحصول أو الاستخدام أو الكشف غير المصرح به عن معلومات صحية تحمي خصوصية الفرد |
| Pseudonymization | معالجة البيانات بحيث لا يمكن ربطها بشخص محدد دون استخدام معلومات إضافية منفصلة |
3. المبادئ الأساسية لحماية البيانات
3.1 مبادئ GDPR للبيانات الصحية (Article 5 & 9)
- القانونية والنزاهة (Lawfulness & Fairness): المعالجة قائمة على أساس قانوني صريح (موافقة صريحة، الضرورة الطبية، المصلحة العامة)
- تحديد الغرض (Purpose Limitation): البيانات تجمع لأغراض محددة ومشروعة ولا تُعالج لاحقاً بطرق غير متوافقة
- تقليل البيانات (Data Minimization): جمع الحد الأدنى الضروري فقط
- الدقة (Accuracy): ضمان تحديث البيانات ودقتها، مع تصحيح الأخطاء فوراً
- تقييد الاحتفاظ (Storage Limitation): الاحتفاظ لمدة لا تتجاوز الحد المسموح به قانونياً
- المحاسبة والأمان (Accountability & Integrity): تطبيق تدابير تقنية وتنظيمية مناسبة لحماية البيانات
3.2 مثلث CIA (النموذج الأمريكي)
- السرية (Confidentiality): منع الوصول غير المصرح به (Encryption, Access Controls)
- النزاهة (Integrity): منع التعديل أو التدمير غير المصرح به (Audit Trails, Checksums)
- التوفر (Availability): ضمان الوصول الفوري والموثوق للمعلومات (Backups, Disaster Recovery)
4. الهيكل التنظيمي والحوكمة
4.1 لجنة حوكمة البيانات الصحية (Data Governance Committee)
التكوين:
- رئيس اللجنة: Chief Information Security Officer (CISO) أو Data Protection Officer (DPO)
- أعضاء: مدير تقنية المعلومات (CIO)، المدير الطبي، مدير الامتثال، ممثل قانوني، ممثل المرضى
الاختصاصات:
- اعتماد سياسات الأمن والخصوصية للبيانات الصحية
- مراجعة تقييمات تأثير حماية البيانات (DPIAs) للمشاريع عالية الخطورة
- إدارة حوادث الخروقات والإبلاغ التنظيمي
- مراجعة اتفاقيات المعالجين والشركاء (Business Associate Agreements)
4.2 ضابط حماية البيانات (Data Protection Officer - DPO)
التفويض (المطلوب قانوناً في GDPR):
- الإشراف على استراتيجية حماية البيانات والامتثال
- التواصل مع السلطات التنظيمية (Supervisory Authorities)
- الرد على استفسارات الأفراد (Data Subjects) بشأن حقوقهم
- إجراء تقييمات تأثير حماية البيانات (DPIAs)
4.3 ضابط أمن HIPAA (HIPAA Security Officer)
المسؤوليات:
- تنفيذ تحليل المخاطر السنوي (Risk Analysis)
- إدارة سياسات الأمن الإداري والفني والبدني
- الإشراف على تدريب القوى العاملة بشأن أمن المعلومات
- التحقيق في الحوادث الأمنية والتبليغ عنها
5. الضمانات الأمنية (Security Safeguards)
5.1 الضمانات الإدارية (Administrative Safeguards)
| المعيار | المواصفات الإلزامية | التنفيذ |
|---|---|---|
| تحليل المخاطر | تقييم شامل سنوياً للمخاطر والثغرات المحتملة | فريق الأمن + تقارير ثغرات |
| إدارة المخاطر | تخفيض المخاطر المحددة إلى مستويات مقبولة | خطط معالجة المخاطر (Risk Treatment Plans) |
| السلطة المكلفة | تعيين مسؤول أمن (Security Officer) مسؤولاً عن الحماية | تعيين كتابي + صلاحيات وقف العمليات |
| أمن القوى العاملة | إجراءات تفويض للوصول، فحوصات الخلفية، إنهاء الوصول فور انتهاء العلاقة | سياسات الموارد البشرية + نظام إدارة الهوية (IAM) |
| إدارة الوصول للمعلومات | إنشاء إجراءات لمنح/رفض الوصول بناءً على المهام (Role-Based Access) | RBAC + Principle of Least Privilege |
| التدريب والتوعية | برامج تدريب دورية للعاملين على أمن المعلومات | تدريب عند التعيين + سنوي + عند حدوث تغييرات |
| إجراءات الحوادث | بروتوكولات للكشف عن الحوادث الأمنية والتبليغ والاستجابة | فريق الاستجابة للحوادث (Incident Response Team) |
| الخطة الطارئة | Contingency Plan لاستعادة البيانات واستمرارية الأعمال | نسخ احتياطية + موقع بديل (Hot Site) + اختبارات استعادة سنوية |
5.2 الضمانات البدنية (Physical Safeguards)
- ضوابط الوصول للمنشآت:
- أنظمة التحكم بالدخول الإلكترونية (Badge Access)
- كاميرات مراقبة في مناطق الخوادم والأرشيف
- حماية من الحرائق والفيضانات والكوارث الطبيعية
- أمن محطات العمل (Workstation Security):
- قفل تلقائي للشاشة بعد فترة خمول 15 دقيقة كحد أقصى
- منع استخدام محطات العمل في مناطق عامة أو مرئية
- تشفير الأقراص الصلبة (Full Disk Encryption) للأجهزة المحمولة
5.3 الضمانات التقنية (Technical Safeguards)
| المجال | المتطلبات التقنية | المعايير |
|---|---|---|
| التحكم بالوصول | هوية فريدة لكل مستخدم، التحقق من الهوية متعدد العوامل (MFA)، التحكم بالوصول على أساس الدور (RBAC) | NIST 800-63 |
| ضوابط التدقيق (Audit Controls) | سجلات تدقيق لجميع الأنشطة على ePHI (من قام بماذا ومتى وأين) | SIEM Systems |
| النزاهة | آليات للتأكد من عدم التعديل/الحذف غير المصرح به (Checksums, Digital Signatures) | HL7 FHIR Integrity |
| التحقق من الهوية | التحقق بقوة من هوية المستخدمين والأجهزة (Strong Authentication) | OAuth 2.0 + SMART on FHIR |
| أمن النقل | تشفير جميع البيانات أثناء النقل (TLS 1.3، VPNs) | HL7 FHIR Security |
| أمن البيانات الساكنة | تشفير قواعد البيانات والملفات المخزنة (AES-256) | ISO 27001 |
6. حقوق الأفراد (Patient Rights)
بناءً على GDPR و HIPAA، يحق للمرضى:
| الحق | الوصف | الموعد القانوني |
|---|---|---|
| الحق في الوصول | الحصول على نسخة من السجلات الصحية الإلكترونية (ePHI) | 30 يوماً (GDPA/HIPAA) |
| الحق في التصحيح | طلب تصحيح البيانات غير الدقيقة أو غير المكتملة | شهر واحد (قابل للتمديد) |
| الحق في المحو (Right to Erasure) | طلب حذف البيانات ("Right to be Forgotten") - مع استثناءات طبية | شهر واحد |
| الحق في تقييد المعالجة | طلب وقف معالجة البيانات مؤقتاً | فوري |
| الحق في نقل البيانات (Portability) | الحصول على البيانات بصيغة machine-readable منظمة (HL7 FHIR) | شهر واحد |
| الحق في الاعتراض | الاعتراض على المعالجة لأغراض التسويق أو البحث | فوري |
7. القانونية والأساس القانوني للمعالجة
7.1 الأسباب القانونية لمعالجة البيانات الصحية (GDPR Article 9)
يجب أن تستند المعالجة إلى أحد الأسس التالية (و documentها):
- الموافقة الصريحة (Explicit Consent): المريض قدّم موافقة واضحة ومحددة ومطلعة (للبحث أو التسويق)
- الضرورة الطبية (Medical Necessity): معالجة ضرورية للتشخيص الطبي، الرعاية الصحية، أو إدارة أنظمة الرعاية (الأساس الأكثر استخداماً في المستشفيات)
- المصلحة العامة في الصحة العامة (Public Health Interest): التحكم في الأوبئة، إدارة الجائحات
- الأغراض الأرشيفية/البحثية/الإحصائية: بضمانات مناسبة (Pseudonymization)
- الالتزام القانوني: الاحتفاظ بالسجلات الطبية إلزامي بموجب القوانين الصحية
7.2 موافقة HIPAA (Authorization)
- الاستخدامات/الإفصاحات المسموح بها: للعلاج، الدفع، عمليات الرعاية الصحية (TPO) - لا تحتاج موافقة
- الاستخدامات غير المسموح بها: التسويق، البحث (في بعض الحالات)، الإفصاح لأطراف ثالثة - تتطلب موافقة/تفويض كتابي صريح
8. اتفاقيات المعالجين والشركاء (Third-Party Management)
8.1 Business Associate Agreements (BAA) - HIPAA
يجب على جهات الرعاية (Covered Entities) إبرام اتفاقيات مع:
- مزودي الخدمات السحابية (Cloud Providers)
- شركات التحليلات والبيانات الضخمة
- مزودي خدمات تكنولوجيا المعلومات (IT Vendors)
- شركات التخلص من البيانات
محتوى الاتفاقية:
- تحديد مسؤوليات المعالج في حماية ePHI
- تقييد استخدام/كشف المعلومات لأغراض محددة
- التزام المعالج بتطبيق الضمانات المناسبة
- إبلاغ جهة الرعاية عن أي خروقات أمنية فوراً
- السماح لجهة الرعاية بإنهاء العقد إذا انتهك المعالج الشروط
- إعادة أو تدمير جميع ePHI عند انتهاء العقد
8.2 Data Processing Agreements (DPA) - GDPR
- تحديد الغرض والمدة وطبيعة البيانات وفئات الأفراد
- التزامات الأمان التقني والتنظيمي (Article 32)
- السلط الفرعية (Sub-processors) والتحكم فيهم
- مساعدة جهة التحكم في الامتثال (DPIAs, حقوق الأفراد)
- حذف/إعادة جميع البيانات بعد انتهاء الخدمة
- تدقيقات وتفتيشات من جهة التحكم أو مدققين مستقلين
9. إدارة الحوادث والخروقات
9.1 تعريف الخرق (Breach Definition)
الوصول/الحصول/الاستخدام/الكشف غير المصرح به عن ePHI الذي يعرض خصوصية الفرد أو أمنه للخطر.
9.2 إجراءات الاستجابة للحوادث
- الكشف والتحديد: تحديد نطاق الخرق والبيانات المتأثرة
- الاحتواء: وقف الانتشار الفوري للخرق
- التقييم: تقييم خطر الضرر (Harm Assessment) - هل هناك "احتمال كبير للضرر المالي أو السمعي أو غيره"؟
- الإخطار:
- HIPAA: إخطار HHS خلال 60 يوماً (90 يوماً إذا كان أكثر من 500 فرد)
- GDPR: إخطار السلطة التنظيمية خلال 72 ساعة، وإخطار الأفراد المتضررين دون تأخير غير مبرر
- المرضى: إخطار فوري إذا كان الخرق يشكل خطراً كبيراً
9.3 التسجيل والتوثيق
- الاحتفاظ بسجلات جميع الحوادث والخروقات لمدة 6 سنوات على الأقل
- تحليل الجذور (Root Cause Analysis) لمنع التكرار
10. الاحتفاظ بالسجلات والتخلص منها
10.1 فترات الاحتفاظ (Retention Periods)
| نوع السجلات | فترة الاحتفاظ | ملاحظات |
|---|---|---|
| السجلات الطبية العامة | 5-10 سنوات | تختلف حسب التشريعات المحلية (10 سنوات في المملكة المتحدة، 7-10 سنوات في الولايات المتحدة) |
| سجلات الأطفال | حتى بلوغهم 18-21 سنة + فترة احتفاظ إضافية | حسب القوانين المحلية لحماية القاصرين |
| سجلات الأبحاث | طول فترة الدراسة + 15-25 سنة | حسب متطلبات الجهات التنظيمية |
| سجلات التدقيق والوصول | 6 سنوات | مطلوبة بموجب HIPAA |
10.2 التخلص الآمن
- التدمير المادي: التقطيع (Shredding) للأوراق، التحليل الكيميائي/المغناطيسي (Degaussing) للأقراص الممغنطة
- التدمير الرقمي: Cryptographic Erasure (حذف مفاتيح التشفير)، Overwriting (كتابة البيانات 7 مرات على الأقل)، Physical Destruction
- التأكيد: شهادات التخلص من مزودي الخدمات الخارجيين
11. الامتثال والتدقيق
11.1 التدقيق الداخلي (Internal Audit)
- مراجعة سنوية لجميع سياسات وإجراءات أمن المعلومات
- فحص تقني (Vulnerability Scanning, Penetration Testing) سنوي على الأقل
- مراجعة سجلات الوصول والتدقيق (Audit Logs)
11.2 التدقيق الخارجي
- تدقيق HIPAA من قبل HHS OCR (Office for Civil Rights)
- تدقيق GDPR من قبل Supervisory Authorities (مثل CNIL في فرنسا، ICO في UK)
- شهادات الأمن الدولية: ISO 27001, ISO 27799 (Health Informatics), HITRUST CSF
12. التدريب والتوعية
المتطلبات الإلزامية:
- التدريب الأولي: قبل منح الوصول لأي نظام يحتوي على ePHI (HIPAA)
- التدريب الدوري: سنوياً على الأقل، أو عند:
- تغيير السياسات أو الإجراءات
- حدوث تغييرات تقنية كبيرة
- حدوث خرق أمني أو حادث
- محتوى التدريب: مبادئ GDPR/HIPAA، مبدأ تقليل البيانات، التعرف على الهندسة الاجتماعية (Phishing)، إجراءات الإبلاغ عن الحوادث
- التوثيق: الاحتفاظ بسجلات حضور التدريب للموظفين لمدة 6 سنوات
13. الانتقال الدولي للبيانات
13.1 GDPR
- آليات نقل البيانات: Standard Contractual Clauses (SCCs)، Binding Corporate Rules (BCRs)، أو قرارات الكفاية (Adequacy Decisions)
- القيود: لا يجوز نقل البيانات الصحية إلى دول خارج EEA إلا بضمانات مناسبة
13.2 HIPAA
- الموافقة: تتطلب موافقة كتابية صريحة قبل نقل ePHI دولياً (ما لم يكن للعلاج)
- الحماية: يجب أن يكون المستلم خاضعاً لـ BAA ويوفر ضمانات مماثلة لـ HIPAA
14. المراجع القانونية والدولية
- HIPAA Security Rule (45 CFR Part 160 & 164): المعايير الوطنية الأمريكية لحماية ePHI
- GDPR (Regulation EU 2016/679): اللائحة العامة لحماية البيانات، خاصة المادة 9 (البيانات الخاصة) والمادة 32 (الأمان)
- HL7 FHIR: معايير التبادل السريع للموارد الصحية، مع أدلة تنفيذ الأمان (FAST Security STU 2)
- ISO/IEC 27001: نظام إدارة أمن المعلومات
- ISO 27799:2016: Health Informatics - Information Security Management in Health
- NIST Cybersecurity Framework: الإطار الوطني للأمن السيبراني
ملاحظة تنفيذية
هذه السياسة يجب أن تكون مكملة للتشريعات المحلية في الدولة المعنية. يجب على المنشأة الصحية إجراء تقييم تأثير حماية البيانات (DPIA) قبل تنفيذ أي نظام EHR جديد أو تطبيق ذكاء اصطناعي يعالج البيانات الصحية. كما يجب مراجعة السياسة سنوياً أو عند حدوث تغييرات جوهرية في البنية التحتية التقنية أو التشريعات.
