HIPAA与GDPR的对比
HIPAA(美国健康保险便携和责任法)和GDPR对医疗保护有不同的方法。
HIPAA: 针对特定医疗实体 GDPR: 针对所有处理欧洲PII的组织
HIPAA涵盖范围
涵盖实体:
- 医疗提供者(医生、医院)
- 健康计划(保险公司)
- 医疗信息交易所
不涵盖:
- 非医疗雇主
- 学校
- 生活科学公司
- 大多数API公司
HIPAA要求
1. 患者权利
- 患者可以要求看他们的记录
- 患者可以要求修正
- 患者可以要求获取电子副本
2. 安全规则
- 管理/物理/技术控制
- 加密强制
- 访问控制
- 审计日志
3. 隐私规则
- 最小必要原则
- 患者通知
- 违规报告
GDPR涵盖范围
GDPR涵盖所有处理欧洲PII的组织,包括非医疗:
- 医疗提供者
- 保险公司
- 医疗数据公司
- 大制药公司
- 健康应用程序
跨大西洋医疗数据
如果您是一个欧洲医疗组织将患者数据转移到美国进行处理(如云存储):
-
HIPAA合规不等于GDPR合规
- 美国供应商可能符合HIPAA但不符合GDPR
-
您需要SCC +补充措施
- SCHREMS II要求
- 补充措施(如加密)
-
您需要DPA
- 数据处理协议
- 说明供应商不违反GDPR
底线
HIPAA和GDPR是补充法律。跨大西洋医疗数据需要同时符合两者。
来源: