Haladás 0 / 22 kérdés megválaszolva

HIPAA MI Megfelelőségi Ellenőrzőlista

Értékeld MI rendszered HIPAA megfelelőségét. 22 kérdés, 5 kategória.

PHI Adatvédelem és Titkosítás

Védett egészségügyi információk (Protected Health Information - PHI) titkosítása, tárolása és védelme az MI rendszerekben a HIPAA Biztonsági Szabálya (Security Rule) szerint.

Titkosítva vannak a PHI adatok nyugalmi állapotban (at rest) az MI tanító adatkészleteiben, a modell súlyokban (model weights) és az adatbázisokban?

HIPAA Security Rule 164.312(a)(2)(iv): A titkosítás egy "addressable implementation specification" (címezhető megvalósítási előírás). AES-256 titkosítás ajánlott minden tárolt PHI esetében.

Nem, nincs titkosítás Csak néhány adatkészlet titkosított Minden PHI AES-256 titkosítással védett Nem tudom

Titkosítva van a PHI átvitel közben (in transit), amikor az MI rendszer API-kon és hálózatokon keresztül kommunikál (pl. TLS 1.2+ HTTPS használatával)?

HIPAA Security Rule 164.312(e)(1): Átviteli biztonság (Transmission Security). TLS 1.2 vagy újabb protokoll kötelező a PHI nyílt hálózatokon (open networks) történő továbbításához.

Nincs TLS, vagy csak HTTP van TLS 1.0/1.1 (elavult, nem megfelelő) TLS 1.2+ minden PHI átvitelhez Nem tudom

Követi az MI rendszer a "minimálisan szükséges" elvet (minimum necessary standard) - azaz csak a feladat ellátásához feltétlenül szükséges PHI-t gyűjti és dolgozza fel?

HIPAA Privacy Rule 164.502(b): Minimálisan szükséges (Minimum Necessary). Az MI tanítása során csak a meghatározott cél eléréséhez szükséges PHI-t szabad felhasználni.

Nem, teljes egészségügyi dokumentációt (medical records) használ Van némi adatszűrés, de sok a felesleges adatmező Szigorú "minimálisan szükséges" elv alkalmazása Nem tudom

Van dokumentált PHI megőrzési és törlési (retention and disposal) irányelvetek az MI rendszerhez (pl. 6 éves HIPAA megőrzés + biztonságos törlés)?

HIPAA 164.530(j): 6 éves megőrzés (retention) kötelező. Az MI modellekben lévő PHI-t is biztonságosan törölni kell a megőrzési idő lejárta után (pl. secure wipe/degaussing).

Nincs megőrzési irányelv Van irányelv, de nincs dokumentálva vagy nincs betartva HIPAA-kompatibilis 6 éves megőrzés + biztonságos törlés Nem tudom

Van katasztrófa-helyreállítási (disaster recovery) és adatmentési (backup) terved az MI rendszer PHI adataihoz (pl. automatizált mentés, tesztelt helyreállítás, telephelyen kívüli tárolás)?

HIPAA Security Rule 164.308(a)(7): Vészhelyzeti terv (Contingency Plan). Kötelező adatmentési, katasztrófa-helyreállítási és vészhelyzeti üzemmód (emergency mode) terv.

Nincs mentési vagy helyreállítási terv Van mentés, de nincs tesztelve vagy nincs telephelyen kívül Teljes DR: automatizált mentés + tesztelt helyreállítás + offsite tárolás Nem tudom

Hozzáférés-szabályozás és Hitelesítés

Szerepkör alapú hozzáférés-szabályozás (RBAC), felhasználói hitelesítés és hozzáférések naplózása (audit logging) a PHI-t kezelő MI rendszerekben.

Minden felhasználónak egyedi felhasználói azonosítója (user ID) van az MI rendszerben, és a megosztott (shared) fiókok használata tiltott?

HIPAA Security Rule 164.312(a)(2)(i): Egyedi felhasználói azonosítás (Unique User Identification). Minden PHI-hoz való hozzáférésnek visszakereshetőnek (traceable) kell lennie egy egyedi felhasználóhoz.

Vannak megosztott vagy általános (generic) fiókok Többnyire egyedi, de van néhány megosztott fiók Minden hozzáférés szigorúan egyedi felhasználói ID-val történik Nem tudom

Van automatikus munkamenet-időtúllépés (session timeout / automatic logoff) az MI rendszerben inaktivitás esetén (pl. max. 15-30 perc)?

HIPAA Security Rule 164.312(a)(2)(iii): Automatikus kijelentkeztetés (Automatic Logoff). "Addressable" előírás – PHI-hoz való hozzáférés esetén max. 15-30 perc ajánlott.

Nincs automatikus időtúllépés Van, de több mint 30 perc (nem ajánlott) Max. 15-30 perces automatikus kijelentkeztetés Nem tudom

Van implementálva szerepkör alapú hozzáférés-szabályozás (RBAC)? (Pl. az adattudósok, ML mérnökök csak a munkájukhoz szükséges PHI-t látják?)

HIPAA Security Rule 164.308(a)(4): Hozzáférési engedélyezés (Access authorization). A munkatársak (workforce members) számára munkakör (job function) alapján szükséges a szerepkör alapú hozzáférés biztosítása.

Nincs RBAC, mindenki minden adathoz hozzáfér Van RBAC, de nincsenek finomhangolva a jogosultságok Szigorú, munkakör alapú RBAC van érvényben Nem tudom

Van vészhelyzeti hozzáférési eljárásotok (emergency access / "break-the-glass") kritikus helyzetekre, és ezen hozzáféréseket naplózzátok és auditáljátok?

HIPAA Security Rule 164.312(a)(2)(ii): Vészhelyzeti hozzáférési eljárás (Emergency Access Procedure). Kötelező egy mechanizmus biztosítása a PHI-hoz való sürgősségi hozzáférésre (pl. életveszélyes helyzetekben).

Nincs vészhelyzeti hozzáférési eljárás Van eljárás, de a hozzáférést nem naplózzák vagy auditálják Dokumentált "break-the-glass" eljárás, teljes körű naplózással Nem tudom

Naplóz az MI rendszer (audit controls) minden PHI-hoz való hozzáférést és módosítást (Ki? Mikor? Milyen PHI-t látott/módosított)?

HIPAA Security Rule 164.312(b): Naplózás (Audit Controls). Minden PHI hozzáférési/módosítási eseményt rögzíteni kell (felhasználó, időbélyeg, művelet, adat).

Nincs hozzáférés-naplózás Részleges naplózás (pl. hiányos adatokkal) Teljes körű naplózás: felhasználó, idő, művelet, PHI Nem tudom

MI Modell Adatvédelem és De-identifikáció

A PHI de-identifikációja (anonimizálása) "Safe Harbor" vagy "Expert Determination" módszerrel, valamint az újra-azonosítás (re-identification) kockázatának kezelése.

Az MI tanító adatai de-identifikálva (anonimizálva) vannak a HIPAA "Safe Harbor" (18 azonosító eltávolítása) vagy az "Expert Determination" (szakértői megállapítás) módszerével?

HIPAA Privacy Rule 164.514(b): "Safe Harbor" = 18 meghatározott azonosító törlése. "Expert Determination" = statisztikai szakértő igazolja, hogy az újraazonosítás (re-ID) kockázata elenyésző.

Nem, azonosítható PHI-t használunk Részleges de-identifikáció (nem felel meg a Safe Harbor-nak) Safe Harbor (18 azonosító eltávolítva) Expert Determination (szakértői igazolás)

Végeztetek újra-azonosítási kockázatértékelést (re-identification risk assessment) az MI modell kimeneteire (outputjaira) vonatkozóan (azonosíthatnak-e egyéneket az MI válaszai)?

Az MI modell következtetése (inference) során nem hozhat létre olyan kimenetet, amely lehetővé teszi egyének újra-azonosítását. Időszakos tesztelés szükséges.

Nem, nem volt újra-azonosítási kockázatértékelés Csak egyszeri értékelés volt az induláskor Rendszeres (legalább évente végzett) újra-azonosítási tesztelés Nem tudom

Ha korlátozott adatkészletet (Limited Data Set) használtok (amely nem teljesen de-identifikált), van érvényes Adatfelhasználási Megállapodásotok (Data Use Agreement - DUA) minden adatfogadóval (recipient)?

HIPAA 164.514(e): A korlátozott adatkészlet (Limited Data Set) megtarthat bizonyos dátumokat/irányítószámokat, de kutatási/népegészségügyi célú felhasználásához kötelező a DUA megléte.

Limited Data Set-et használunk DUA nélkül (nem megfelelő) Van DUA, de nem minden adatfogadóval Minden Limited Data Set adatfogadóval van DUA Nem használunk korlátozott adatkészletet (Limited Data Set)

Teszteltétek az MI modellt a tanító adatok "megjegyzése" (PHI memorization) ellen (pl. tanító adatok kinyerésére irányuló támadásokkal)?

A nagy nyelvi modellek (LLM) képesek "megjegyezni" és reprodukálni a tanító adatkészletben szereplő PHI-t. A "memorizáció" ellen ajánlott pl. a "differential privacy" vagy a "membership inference" támadások tesztelése.

Nem, nem volt ilyen tesztelés Alapvető "prompt" tesztelés, de nem szisztematikus Fejlett tesztelés (pl. Membership Inference, Differential Privacy) Nem tudom

Üzletitárs-megállapodás (BAA) és Felhő Alapú MI

Üzletitárs-megállapodások (BAA) külső (third-party) MI szolgáltatókkal, a felhőszolgáltatók megfelelősége és az alvállalkozók kezelése.

Rendelkeztek aláírt Üzletitárs-megállapodással (Business Associate Agreement - BAA) minden olyan külső MI szolgáltatóval (pl. OpenAI, Google, AWS, Azure), amely PHI-hoz fér hozzá?

HIPAA 164.502(e): Kötelező BAA-t kötni minden Üzletitárssal (Business Associate) - pl. szolgáltató, felhőszolgáltató -, amely PHI-t tárol, dolgoz fel vagy továbbít.

Nincs BAA (kritikus megfelelési hiba!) Néhány szolgáltatóval van BAA, de nem mindegyikkel Minden PHI-t kezelő szolgáltatóval van aláírt BAA Nem tudom

Tartalmazzák a BAA megállapodások a HIPAA által megkövetelt záradékokat (pl. megfelelő védelmi intézkedések, adatsértés bejelentése 60 napon belül, alvállalkozókra vonatkozó kötelezettségek, auditálási jogok)?

HIPAA 164.504(e)(2): A BAA-nak tartalmaznia kell többek között: biztonsági védelmi intézkedéseket, adatsértés bejelentési kötelezettséget, az alvállalkozói láncra vonatkozó szabályokat, és az audit/ellenőrzési jogokat.

Általános (generic) BAA, nem HIPAA-specifikus Van BAA, de hiányoznak belőle kötelező HIPAA záradékok Teljes körű, HIPAA-kompatibilis BAA minden szolgáltatóval Nem tudom

Tudjátok és dokumentáljátok, hogy a felhő alapú MI szolgáltatók fizikailag hol tárolják a PHI-t (fontos pl. az USA OCR joghatósága miatt)?

Az OCR (Office for Civil Rights - Polgárjogi Hivatal) jogérvényesítése szempontjából fontos lehet a PHI tárolásának helye. Bár a HIPAA globálisan alkalmazandó, az USA-ban bejegyzett entitások az OCR felügyelete alá tartoznak.

Nem tudjuk, hol tárolják a PHI-t Tudjuk, de nincs dokumentálva Dokumentált adatközpont-lokációk + megfelelőségi felülvizsgálat Nem tudom

Rendszeresen (legalább évente) felülvizsgáljátok vagy auditáljátok az Üzletitársak (Business Associates) HIPAA megfelelőségét és biztonsági felkészültségét?

HIPAA 164.308(b)(1): Az Üzletitársak felügyelete (monitoring) kötelező. Átvilágítás (Due diligence) lépései lehetnek: megfelelőségi nyilatkozatok, biztonsági kérdőívek, SOC 2 riportok bekérése.

Nincs szolgáltatói felülvizsgálat Alkalomszerű felülvizsgálat, de nem szisztematikus Évenkénti megfelelőségi audit + pl. SOC 2 riportok bekérése Nem tudom

Adatsértés Bejelentése és Megfelelőségi Audit

HIPAA adatsértés bejelentési folyamat (Breach Notification) (OCR értesítése 60 napon belül), incidenskezelés, kockázatértékelés és auditra való felkészültség.

Van dokumentált adatsértés-bejelentési eljárásotok (breach notification procedure) az MI rendszert érintő PHI incidensekre (pl. OCR értesítése 60 napon belül, páciensek értesítése)?

HIPAA Breach Notification Rule (164.404-408): Kötelező az OCR értesítése (60 napon belül), az érintett egyének tájékoztatása, és (500+ érintett esetén) a média értesítése.

Nincs adatsértés-bejelentési eljárás Van incidenskezelési terv, de nem HIPAA-specifikus HIPAA-kompatibilis eljárás (pl. 60 napos OCR határidő) Nem tudom

Végeztetek HIPAA Biztonsági Kockázatértékelést (Security Risk Assessment - SRA) kifejezetten az MI rendszerre vonatkozóan (a 45 CFR 164.308(a)(1)(ii)(A) szerint)?

HIPAA Security Rule 164.308(a)(1)(ii)(A): A Biztonsági Kockázatértékelés (SRA) elvégzése kötelező. Azonosítani kell a PHI-t érintő összes fenyegetést (threats) és sebezhetőséget (vulnerabilities).

Nem, nem készült biztonsági kockázatértékelés Van SRA, de 1 évnél régebbi (elavult) Naprakész (évente frissített) SRA, MI-specifikus fenyegetésekkel Nem tudom

Minden érintett munkatárs (pl. adattudósok, ML mérnökök) kap évente HIPAA adatvédelmi és biztonsági képzést (training)?

HIPAA Security Rule 164.308(a)(5): A biztonságtudatossági és képzési program (Security Awareness and Training) kötelező. Évenkénti ismétlő oktatás (refresher training) ajánlott, MI-specifikus forgatókönyvekkel.

Nincs HIPAA képzés Csak belépéskor (onboarding), de évente nincs ismétlő képzés Évenkénti HIPAA képzés, MI-specifikus tartalommal kiegészítve Nem tudom

Minden megfelelőséget igazoló dokumentumot naprakészen tartotok és megőriztek (pl. irányelvek, eljárásrendek, kockázatelemzések, képzési naplók, BAA-k) a kötelező 6 évig?

HIPAA 164.316(b): A dokumentáció megőrzése (Documentation) kötelező 6 évig. Egy OCR audit során képesnek kell lenni bemutatni az összes HIPAA irányelvet, eljárásrendet és képzési nyilvántartást.

Nincs írásos dokumentáció Részleges dokumentáció (hiányos vagy elavult) Átfogó dokumentáció, 6 éves megőrzéssel Nem tudom

Az AI Biztonsági Értékelésed

/100

📧 Kérem a részletes eredményeket emailben

Elküldjük a teljes riportot minden válasszal és javaslattal

Elfogadom a Felhasználási feltételeket.

Szeretnél mélyebb elemzést?

Szakértőink segítenek egy részletes AI Red Team audit elvégzésében

Ingyenes konzultáció foglalása →

Biztonságosan kezeli az AI rendszered a páciensek adatait (PHI)?

Töltsd ki 3 perces HIPAA és AI Ellenőrző Listánkat! Az AI használata az egészségügyben forradalmi, de óriási kockázatot jelent a védett egészségügyi információkra (PHI) nézve. Ez a gyors audit segít felmérni, hogy az AI rendszereid – a tanítóadatoktól a diagnosztikai modellekig – megfelelnek-e a szigorú HIPAA előírásoknak. Lefedjük a kulcsterületeket: adatok anonimizálása, hozzáférés-kezelés, AI beszállítók (BAA) és a modell adatvédelme. Töltsd ki 3 perc alatt, és kapj egy azonnali pontszámot a megfelelési hiányosságaidról! Kerüld el a súlyos bírságokat!

Az eredményeket e-mailben küldjük.