O que é Conformidade com a HIPAA: Diretrizes para se Tornar Conforme

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma lei dos EUA criada para proteger a privacidade individual, estabelecendo padrões nacionais para a manutenção de informações de saúde sensíveis e registros médicos dos pacientes. As regras de conformidade com a HIPAA incorporam requisitos de vários outros atos legislativos, incluindo a Lei de Serviço de Saúde Pública e a Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH).

Neste artigo, oferecemos uma visão aprofundada dos requisitos da HIPAA e fornecemos todos os detalhes que sua organização precisa saber do ponto de vista da segurança da TI para garantir a conformidade com a HIPAA. Para saber mais sobre as melhores práticas de conformidade, confira a HIPAA Compliance Checklist.

O que é conformidade com a HIPAA?

Os requisitos de conformidade com a HIPAA estabelecem padrões para a proteção de dados eletrônicos de saúde e médicos dos pacientes. Os legisladores criaram a HIPAA para atender a vários objetivos principais:

• Melhore a assistência à saúde
• Proteja a privacidade dos pacientes.
• Exigir que as entidades forneçam prontuários médicos aos pacientes mediante solicitação.
• Melhore a portabilidade do seguro de saúde.
• Certifique-se de que os pacientes sejam notificados no caso de violação de dados de saúde.

O Departamento de Saúde e Serviços Humanos dos EUA (HHS) supervisiona o HIPAA, e o Escritório de Direitos Civis do HHS (OCR) realiza periodicamente auditorias do HIPAA para avaliar a conformidade.

O que é Informação de Saúde Protegida (PHI)?

Para cumprir com o HIPAA, uma organização deve ter medidas de Segurança de Dados Segurança de Dados apropriadas como HIPPA Compliance Software em vigor para informações de saúde protegidas.

Informações de saúde protegidas (PHI) são quaisquer informações de saúde pessoalmente identificáveis que são transmitidas ou armazenadas eletronicamente, em papel ou verbalmente. PHI inclui qualquer informação sobre um indivíduo que se relaciona com a sua saúde passada, presente ou futura; detalhes de tratamentos de saúde; e informações de pagamento que podem identificar o indivíduo. Exemplos de PHI incluem:

• Número de Segurança Social
• Nome
• Datas de nascimento, óbito ou tratamento e outras datas relacionadas ao cuidado do paciente
• Fotografias
• Informações de contato
• Números de prontuário médico

Quem deve cumprir com o HIPAA?

HIPAA regula informações para dois grupos que lidam com dados de saúde dos pacientes: entidades cobertas e associados comerciais.

O que é uma Entidade Coberta?

Uma entidade coberta é uma pessoa ou organização que processa e mantém PHI para clientes. Exemplos incluem médicos, farmácias, lares de idosos, clínicas e companhias de seguro saúde.

No entanto, nem toda organização que lida com informações de saúde é considerada uma entidade coberta. Um exemplo são as organizações de pesquisa que não fornecem serviços de saúde e não transmitem informações de saúde em conexão com quaisquer transações cobertas por uma regulamentação HIPAA.

O que é um Associado de Negócios?

Um associado comercial é uma organização que presta serviços a entidades cobertas para auxiliar em atividades e funções relacionadas à área da saúde. As entidades cobertas podem divulgar informações de saúde protegidas (PHI) aos associados comerciais para obter assistência em funções de saúde, mas não para fins ou usos independentes do próprio associado comercial.

Em geral, um contrato ou acordo de associado comercial é necessário ao estabelecer uma relação entre uma entidade coberta e um associado comercial. Em alguns casos, no entanto, um acordo não é necessário, portanto, é necessário que as organizações façam sua própria pesquisa.

Como o HIPAA Protege a Privacidade do Paciente

A principal forma de proteção ao paciente da HIPAA é a sua Privacy Rule. A HIPAA Privacy Rule estabelece padrões para o uso e divulgação das informações de saúde dos indivíduos. Também define padrões para os direitos de privacidade dos pacientes e controle sobre o uso de suas informações de saúde.

Direito dos pacientes de acessar seu PHI

Pacientes individuais têm o direito de acessar suas próprias informações de saúde sob a Regra de Privacidade. Os indivíduos também podem designar quem mais pode ver suas informações de saúde protegidas (PHI) com documentação escrita e assinada.

Quando um paciente solicita PHI, as informações são normalmente entregues em um conjunto de registros designado, que contém:

• Registros de faturamento e médicos como resultados de exames laboratoriais, registros de tratamento e raios-X
• Reivindicações, inscrição e informações de pagamento para o plano de saúde do paciente
• Outros registros utilizados para tomar decisões sobre o paciente

Algumas informações são excluídas do conjunto de registros designado, pois as informações não foram utilizadas para tomar decisões. Isso inclui dados a respeito de:

• Registros de segurança do paciente
• Informações de controle de qualidade
• Informações coletadas para processos legais

Atendendo a solicitações de PHI

Uma entidade coberta pode exigir solicitações de PHI por escrito ou por meio de comunicações eletrônicas, como e-mail ou um portal na web. As entidades cobertas não podem criar medidas irracionais para solicitações ou verificação, nem podem atrasar de forma razoável um paciente a obter acesso.

Os pedidos podem ser atendidos em formato de papel ou eletrônico, dependendo das informações solicitadas. Uma entidade coberta deve fornecer as informações solicitadas dentro de 30 dias corridos após o pedido.

Uma entidade coberta pode cobrar taxas para recuperar custos incorridos com:

• Criando cópias
• Comprando suprimentos para o pedido
• Franquia postal
• Preparando resumos de PHI, se concordado pelo indivíduo

Em certos casos, uma entidade coberta negará um pedido de PHI. Estas circunstâncias podem incluir:

• Notas de psicoterapia
• PHI que faz parte de um estudo de pesquisa em andamento
• Situações em que o acesso tem uma probabilidade razoável de causar dano a alguém

Segurança e Privacidade de EHR

Em setembro de 2013, os legisladores incorporaram o HITECH Act ao HIPAA com a Regra Omnibus. O HITECH Act foi criado para incentivar os prestadores de serviços de saúde a usar registros eletrônicos de saúde (EHRs), também conhecidos como informações de saúde protegidas eletrônicas (ePHI). O HITECH Act também estipulou que entidades que não estivessem em conformidade com o HIPAA poderiam estar sujeitas a multas substanciais.

Transações Padrão HIPAA

HITECH aborda transações padrão na Regra de Transações e Conjunto de Códigos (TCS). A regra TCS adota padrões para a transmissão eletrônica de dados de saúde entre provedores, seguradoras de saúde e clientes de seguros de saúde.

Gestão de Segurança para HIPAA

A Regra de Segurança HIPAA

Para garantir a segurança dos dados para os prontuários eletrônicos, a HIPAA Security Rule estabeleceu padrões de segurança para entidades cobertas e associados de negócios. De acordo com a regra, as entidades cobertas devem:

• Garanta a confidencialidade, integridade e disponibilidade de todas as e-PHI que criam, recebem, mantêm ou transmitem.
• Identifique e proteja contra ameaças razoavelmente antecipadas à segurança ou integridade da informação.
• Proteja-se contra usos ou divulgações impermissíveis e razoavelmente previsíveis.
• Garanta a conformidade por parte da sua força de trabalho.

Para garantir a conformidade com a Regra de Segurança HIPAA, uma organização pode seguir as diretrizes estabelecidas pelo National Institute of Standards and Technology (NIST), que incluem controles e recomendações de políticas para as organizações implementarem para a conformidade com o HIPAA.

Salvaguardas HIPAA

O NIST define três categorias de salvaguardas de EHR:

• Salvaguardas administrativas
• Salvaguardas técnicas
• Salvaguardas físicas

Estas salvaguardas podem ser obrigatórias (devem ser implementadas) ou endereçáveis (devem ser implementadas se razoáveis e apropriadas para o ambiente).

Salvaguardas Administrativas

• Processo de gestão de segurança: Utilize sistemas para detectar, prevenir, conter e corrigir violações de segurança.
• Responsabilidade de segurança atribuída: Indicar o oficial responsável pela implementação e desenvolvimento de políticas e procedimentos.
• Segurança da força de trabalho: Conceda acesso ao ePHI apenas aos funcionários que precisam dele e impeça que usuários não autorizados obtenham acesso.
• Gestão de acesso à informação: Utilize sistemas de segurança para autorizar o acesso ao ePHI.
• Conscientização e treinamento de segurança: Treine todos os funcionários sobre práticas de segurança de dados e conscientização.
• Procedimentos de incidente de segurança: Estabeleça protocolos para incidentes de segurança.
• Planos de contingência: Desenvolver planos de gestão de emergência para danos no sistema.
• Avaliação: Realize avaliações periódicas do sistema para medir a segurança dos dados e a confiabilidade.

Salvaguardas Técnicas

• Controle de acesso: Permitir acesso apenas a indivíduos ou programas de software que receberam direitos de acesso.
• Controles de auditoria: Utilize sistemas que registram e examinam atividades relacionadas ao ePHI.
• Integridade: Estabeleça formas de prevenir o mau uso de
• Autenticação de pessoa ou entidade: Utilize sistemas de segurança com medidas robustas de verificação.
• Segurança na transmissão: Implemente medidas de segurança para proteger contra o acesso não autorizado ao ePHI durante a transmissão eletrônica.

Salvaguardas Físicas

• Controle de acesso às instalações: Limite o acesso físico ao ePHI.
• Uso da estação de trabalho: Estabeleça fluxos de trabalho e requisitos de configuração para estações de trabalho onde o ePHI é acessado.
• Segurança da estação de trabalho: Restrinja o uso da estação de trabalho a usuários autorizados.
• Controle de dispositivos e mídias: Gerencie o recebimento e a remoção de hardware e mídias que contenham ePHI.

Análise de Risco de Dados

De acordo com as diretrizes do Processo de Gestão de Segurança, a Regra de Segurança exige risk analysis, ou risk assessment and management.

Orientação do NIST sobre análise de risco de dados possui várias etapas, que incluem:

1. Identificando vulnerabilidades e ameaças.
2. Avaliando a segurança atual dos dados.
3. Determinando a probabilidade de ameaças e os impactos potenciais.

Custo das Violações da HIPAA

Notificação de Violação

Uma violação é qualquer uso ou divulgação não autorizada de PHI sob a Regra de Privacidade. Em alguns casos, uma organização pode demonstrar uma baixa probabilidade de PHI comprometido com base em uma análise de risco.

Se ocorrer uma violação de dados, a organização deve notificar os indivíduos afetados por correio ou e-mail, alertar a mídia e apresentar um relatório ao Secretário do HHS através de um formulário online — tudo isso em até 60 dias.

Penalidades e Multas da HIPAA

Quando violações resultam em infrações da HIPAA, a HIPAA Enforcement Rule rege investigações, audiências e penalidades. Causas comuns de penalidades da HIPAA incluem dispositivos não criptografados sendo perdidos ou roubados, falta de treinamento de funcionários, violações de banco de dados e fofocas no consultório sobre informações de pacientes.

A Lei HITECH estabelece quatro níveis de multas para violações:

• Nível A: Violação na qual uma pessoa ou entidade não sabia que cometeu uma violação.
• Tier B: Violação de causa razoável, mas sem negligência intencional.
• Nível C: Violação devido a negligência intencional, mas a pessoa ou entidade pode corrigir a situação.
• Tier D: Violação do Tier C onde a situação não é corrigida dentro de 30 dias.

O HHS OCR publica violações em seu site “Wall of Shame”. Outros sites publicam multas e links para acordos. Exemplos recentes incluem:

• Em setembro de 2020, a Premera Blue Cross foi multada em $6.850.000 para resolver um vazamento de dados que afetou mais de 6 milhões de indivíduos.
• Em julho de 2020, o Lifespan Health System foi multado em mais de $1 milhão por um laptop roubado que não estava criptografado.

Em outubro de 2019, a Elite Dental Associates foi multada em $10.000 por divulgação de informações de pacientes nas redes sociais.

FAQ

Com que frequência é necessário o treinamento em HIPAA?

A formação em HIPAA deve ser realizada pelo menos anualmente para todos os membros da força de trabalho que manuseiam informações de saúde protegidas (PHI). No entanto, as organizações de saúde não se limitam a cumprir a exigência uma vez por ano. Você vai querer sessões de treinamento adicionais quando novos funcionários começarem, quando as políticas mudarem, após incidentes de segurança e quando novas tecnologias forem implementadas. A chave para a conformidade com a HIPAA não é apenas atender aos requisitos mínimos – é criar uma cultura consciente de segurança onde proteger os dados dos pacientes se torne uma segunda natureza.

Qual a melhor descrição para a Regra de Segurança HIPAA?

A Regra de Segurança HIPAA é o seu roteiro técnico para proteger as informações de saúde eletrônicas (ePHI). Ao contrário da Regra de Privacidade, que se concentra em quem pode acessar os dados, a Regra de Segurança detalha como proteger esses dados eletronicamente. Ela exige que as entidades cobertas implementem salvaguardas administrativas, físicas e técnicas que garantam a confidencialidade, integridade e disponibilidade do ePHI. É o guia de 'como fazer' para transformar princípios de privacidade em controles de segurança reais que realmente funcionam.

Qual é a chave para a conformidade com o HIPAA?

A chave para a conformidade com a HIPAA é entender que a segurança dos dados começa com a identidade. Você não pode proteger o que não pode ver, e não pode controlar o que não gerencia. A conformidade bem-sucedida com a HIPAA requer três elementos fundamentais: saber quem tem acesso ao PHI, monitorar o que estão fazendo com esse acesso e manter registros de auditoria detalhados de todas as atividades. Não se trata de segurança perfeita – trata-se de diligência devida demonstrável e a capacidade de detectar e responder a ameaças antes que se tornem violações.

A HIPAA exige criptografia?

A HIPAA não exige explicitamente a criptografia, mas ela é considerada "endereçável" sob as salvaguardas técnicas da Regra de Segurança. A realidade prática: se você armazenar ou transmitir ePHI sem criptografia e sofrer uma violação, enfrentará penalidades mais severas e requisitos de notificação. A abordagem prática é tratar a criptografia como essencial, não opcional. Criptografe dados em repouso, em trânsito e até mesmo em uso quando possível. Quando implementada corretamente, a criptografia pode reduzir suas obrigações de notificação de violação e demonstrar seu compromisso com a proteção da privacidade do paciente.

Como garantir a conformidade com o HIPAA?

Garantir a conformidade com a HIPAA exige uma abordagem sistemática que vai além de políticas e procedimentos. Comece com uma avaliação de risco abrangente para identificar vulnerabilidades no seu ambiente. Implemente o princípio do menor privilégio – dê às pessoas acesso apenas às PHI de que precisam para suas funções de trabalho específicas. Implemente monitoramento contínuo para rastrear quem está acessando quais dados e quando. Estabeleça procedimentos claros de resposta a incidentes e pratique-os regularmente. Mais importante, lembre-se de que a conformidade não é um destino – é um processo contínuo que exige atenção constante e atualizações regulares à medida que sua organização e a paisagem de ameaças evoluem.