إجراءات الامتثال للرعاية الصحية¶

الغرض¶

وضع إجراءات موحدة للحفاظ على الامتثال للوائح الرعاية الصحية السعودية، بما في ذلك نظام حماية البيانات الشخصية ومتطلبات مجلس الضمان الصحي ومعايير نفيس، لضمان حماية البيانات والسلامة التشغيلية.

النطاق¶

ينطبق هذا الإجراء على جميع موظفي برينسايت وعملاء الرعاية الصحية ومستخدمي النظام الذين يتعاملون مع المعلومات الصحية المحمية والمشاركين في معالجة بيانات الرعاية الصحية.

الأدوار والمسؤوليات¶

إطار الامتثال¶

المتطلبات التنظيمية¶

امتثال نظام حماية البيانات الشخصية¶

1. المعالجة المشروعة
2. أساس قانوني صالح مطلوب
3. توثيق أغراض المعالجة

4. تقليل جمع البيانات

5. حقوق صاحب البيانات

6. طلبات الوصول خلال 30 يوم
7. قدرات التصحيح

8. إجراءات المحو

9. تدابير الأمان

10. متطلبات التشفير
11. ضوابط الوصول

12. تسجيل التدقيق

13. إشعار الانتهاك

14. إشعار سدايا خلال 72 ساعة
15. إشعار أصحاب البيانات إذا كان الخطر عالياً
16. توثيق الحوادث

الإجراءات خطوة بخطوة¶

الإجراء 1: جمع البيانات¶

الهدف: ضمان جمع البيانات المشروع والأدنى

الخطوات:

1. تحديد الغرض
2. توثيق غرض المعالجة
3. التحقق من الأساس القانوني

4. تقييم الضرورة

5. الحصول على الموافقة (عند الاقتضاء)

6. لغة واضحة ومحددة
7. عربي وإنجليزي
8. توثيق استلام الموافقة

9. تمكين السحب

10. جمع الحد الأدنى من البيانات

11. الحقول الضرورية فقط
12. لا جمع مفرط

13. التحقق من الدقة

14. توثيق المعالجة

15. التسجيل في سجل المعالجة
16. الربط بالأساس القانوني
17. ملاحظة فترة الاحتفاظ

الإجراء 2: التحكم في الوصول للبيانات¶

الهدف: تقييد الوصول إلى المعلومات الصحية المحمية للموظفين المصرح لهم

الخطوات:

1. تعريف أدوار الوصول

2. تنفيذ الضوابط

3. الوصول القائم على الأدوار (RBAC)
4. معرّفات مستخدم فريدة
5. كلمات مرور قوية

6. المصادقة متعددة العوامل

7. مراجعة الوصول

8. مراجعات الوصول الفصلية
9. إزالة الوصول غير الضروري

10. توثيق التغييرات

11. مراقبة الاستخدام

12. تسجيل جميع الوصول للمعلومات الصحية المحمية
13. التنبيه على الشذوذ
14. مراجعة التدقيق المنتظمة

الإجراء 3: أمن البيانات¶

الهدف: حماية المعلومات الصحية المحمية من الإفصاح غير المصرح به

الخطوات:

1. التشفير
2. في السكون: AES-256
3. في النقل: TLS 1.3

4. إدارة المفاتيح عبر HSM

5. أمن الشبكة

6. تكوين جدار الحماية
7. تجزئة الشبكة

8. VPN للوصول عن بُعد

9. أمن نقطة النهاية

10. مكافحة الفيروسات/EDR
11. إدارة التصحيحات

12. تشفير الأجهزة

13. الأمن المادي

14. ضوابط الوصول لمركز البيانات
15. إدارة الزوار
16. سياسة المكتب النظيف

الإجراء 4: تسجيل التدقيق¶

الهدف: الحفاظ على مسار تدقيق كامل

الخطوات:

1. تكوين التسجيل

   audit_events:
     - user_login
     - phi_access
     - data_export
     - configuration_change
     - failed_attempts
   

2. حماية السجلات

3. تخزين غير قابل للتغيير
4. وصول مقيد

5. التحقق من النزاهة

6. الاحتفاظ بالسجلات

7. حد أدنى 7 سنوات
8. أرشفة آمنة

9. إجراءات الاسترداد

10. مراجعة السجلات

11. تنبيهات آلية يومية
12. مراجعة يدوية أسبوعية
13. تقرير الامتثال الشهري

الإجراء 5: الاستجابة للحوادث¶

الهدف: معالجة الحوادث الأمنية بسرعة

الخطوات:

1. الكشف
2. تنبيهات المراقبة
3. تقارير المستخدمين

4. إشعار طرف ثالث

5. الاحتواء

6. عزل الأنظمة المتأثرة
7. الحفاظ على الأدلة

8. منع الانتشار

9. التقييم

10. تحديد النطاق
11. تحديد البيانات المتأثرة

12. تقييم مستوى الخطر

13. الإشعار

إذا كان انتهاك بيانات شخصية:

1. المعالجة
2. إصلاح الثغرات
3. تحديث الضوابط
4. توثيق الدروس المستفادة

متطلبات التدريب¶

التدريب الأولي¶

• نظرة عامة على نظام حماية البيانات الشخصية
• التوعية الأمنية
• الإبلاغ عن الحوادث
• الإجراءات الخاصة بالدور

التجديد السنوي¶

• تحديثات اللوائح
• دروس الحوادث
• تغييرات السياسات
• تمارين عملية

مؤشرات الأداء الرئيسية¶

التصعيد¶

المستندات ذات الصلة¶

• التوافق بين HIPAA ونظام حماية البيانات
• إرشادات الأمان
• إجراء تقديم المطالبات
• المصطلحات الرئيسية

آخر تحديث: يناير 2025