Desde que entrou em vigor em 1996, o Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) teve como objetivo garantir os direitos de privacidade dos pacientes e proteger seus dados de saúde sensíveis e pessoais. ameaças e ataquesModernizar o fluxo de dados de saúde, simplificar a administração da saúde e prevenir fraudes na área da saúde.
As disposições da HIPAA passam por atualizações frequentes para se adaptarem às novas tecnologias e condições em mudançaMesmo as empresas que priorizam a conformidade com a HIPAA e a proteção de PHI — ou “informações de saúde protegidas” — enfrentam múltiplos obstáculos que exigem atenção constante e a capacidade de agir rapidamente em relação aos procedimentos e práticas de dados.
Além das frequentes atualizações da legislação, esses desafios incluem ameaças constantes de ataques a dados altamente valiosos, problemas de interoperabilidade, um influxo gigantesco de dados de pacientes todos os dias e muitos outros.
O que é a conformidade com a HIPAA?
HIPAA É uma regulamentação federal que se aplica a organizações da área da saúde, suas afiliadas e subcontratadas. Regulamentada e aplicada pela Departamento de Saúde e Serviços Humanos (HHS) Escritório de Direitos Civis (OCR) — assim como alguns órgãos governamentais estaduais — a HIPAA se refere a essas organizações como “entidades cobertas”.
As entidades abrangidas podem incluir:
- Planos de saúdeInclui companhias de seguro saúde, organizações de manutenção da saúde, programas governamentais que subsidiam programas como o Medicare e programas de saúde para militares e veteranos.
- profissionais de saúdeInclui hospitais, clínicas, médicos, psicólogos, dentistas, quiropráticos, lares de idosos, farmácias, agências de saúde domiciliar e qualquer prestador de serviços que transmita informações de saúde eletronicamente.
- Centros de compensação de saúdeOrganizações que processam informações de saúde não padronizadas e convertem dados.
O que são informações de saúde protegidas (PHI)?
Informações de saúde protegidas (PHI, na sigla em inglês) é o termo usado pela HIPAA para descrever qualquer informação sobre o estado de saúde ou tratamento passado ou presente de um indivíduo que possa ser usada para identificá-lo. Isso inclui todos os registros, documentos e outras informações relacionadas ao diagnóstico de um indivíduo, histórico de pagamentos, processos de prestação de cuidados, processamento de sinistros, análise de sinistros e atividades de resolução de disputas; informações sobre ensaios clínicos; resultados de exames; informações sobre saúde mental; informações genéticas; identificadores biométricos usados para identificação e muito mais.
A Lei HIPAA exige que todas as entidades abrangidas — incluindo planos de saúde e consultórios médicos, bem como qualquer empresa envolvida com assistência médica — protejam quaisquer dados de saúde protegidos (PHI) que entrem em sua posse ou controle.
Os dados de PHI (Informações de Saúde Protegidas) sob a HIPAA podem se enquadrar em uma categoria diferente de informações pessoais sob outras regulamentações. Por exemplo, enquanto um número de seguro social pode se qualificar como Informações de identificação pessoal (PII, na sigla em inglês) de acordo com o Regulamento Geral de Proteção de Dados (RGPD) da UE. e PI (informações pessoais) de acordo com o Lei de Privacidade do Consumidor da Califórnia (CCPA), seria considerado um identificador PHI de acordo com a HIPAA.
Para lidar eficazmente com dados sensíveis — especialmente aquilo que é abrangido por mais de uma regulamentação — as organizações precisam de Adotar tecnologia que possa encontrar, classificar, mapear e catalogar automaticamente todos os dados sensíveis e informações de saúde protegidas (PHI). em todo um ecossistema de dados, com cobertura abrangente de todos os sistemas e fontes de dados.
Solução de plataforma da BigID Adota uma abordagem baseada em aprendizado de máquina para classificar e etiquetar automaticamente todas as informações de saúde protegidas (PHI), informações de saúde eletrônicas protegidas (ePHI), informações de segurança de dados (HIPAA) e dados sensíveis — por regulamentação, tipo de documento, política, atributos, indivíduo e muito mais.
Quais são as três regras da HIPAA?
Regra de Privacidade HIPAA
A Norma de Privacidade da HIPAA garante aos indivíduos direitos sobre suas informações de saúde. Os pacientes têm o direito legal de acessar e obter cópias de seus registros médicos — e solicitar a correção de informações imprecisas ou desatualizadas.
A Norma de Privacidade também exige que as organizações de saúde abrangidas tomem medidas razoáveis para garantir a confidencialidade do paciente, rastrear as divulgações, divulgar apenas a quantidade mínima de informações necessárias para desempenhar uma função específica e notificar os indivíduos sobre o uso de suas informações de saúde protegidas (PHI).
Os requisitos da HIPAA também estipulam que as entidades abrangidas devem treinar seus funcionários sobre como lidar com informações de saúde protegidas (PHI, na sigla em inglês) e nomear um responsável pela privacidade para receber reclamações sobre o manuseio inadequado de PHI.
Embora a maioria das divulgações exija autorização por escrito do indivíduo, a HIPAA permite que as entidades cobertas divulguem informações de saúde protegidas (PHI) sem consentimento expresso nos casos em que isso seja necessário para facilitar o tratamento, o pagamento ou as operações de assistência médica.
Para divulgar dados adequadamente às pessoas certas no momento certo, garantindo ao mesmo tempo a confidencialidade do paciente, as organizações precisam de cobertura completa de todos os seus dados, em todos os lugares.
O BigID permite que as organizações conhecem seus dados — tudo isso, de todos os tipos, em qualquer idioma, no centro de dados ou no nuvemDados estruturados ou não estruturados, em repouso ou em movimento, em escala de petabytes — e permitem que fluxos de trabalho excluam dados redundantes, obsoletos ou triviais (ROT). Isso abrange arquivos e documentos, imagens e e-mails, Big Data e muito mais — não importa o quão isolados, ocultos, legados ou difíceis de encontrar os dados estejam.
Regra de segurança HIPAA
A Norma de Segurança da HIPAA abrange três áreas e exige que as entidades cobertas utilizem as melhores práticas para proteger as PHI (Informações de Saúde Protegidas) e as ePHI (Informações Eletrônicas de Saúde Protegidas) nas seguintes áreas:
- Segurança administrativaAs entidades abrangidas devem ter políticas e procedimentos escritos que demonstrem claramente como cumprem a HIPAA — e essas políticas devem abranger tudo, desde supervisão, treinamento de funcionários, controles de acesso e o manuseio e monitoramento seguros dos dados que terceirizam. A lei também regulamenta a documentação específica de auditorias de rotina e pontuais, bem como o uso de planos de contingência.
- Segurança físicaAs entidades abrangidas devem implementar controles e monitoramento de acesso físico — incluindo a remoção de hardware e software e a segurança das estações de trabalho — para evitar a exposição não autorizada de dados sensíveis. As medidas de segurança física abrangem planos de segurança das instalações, protocolos para visitantes e acompanhantes e acesso de contratados — e incluem treinamento de terceiros sobre responsabilidades e restrições de acesso físico.
- Segurança técnicaAs entidades abrangidas devem ter medidas de segurança técnicas em vigor para impedir o acesso não autorizado a informações de saúde protegidas (PHI) transmitidas eletronicamente. Isso inclui a manutenção da integridade dos dados, controles de autenticação e práticas adequadas de documentação e relatórios, bem como o uso de criptografia em dados transmitidos por redes abertas.
Em essência, a Norma de Segurança exige que as organizações protejam registros, criptografem dados, protejam-se contra violações e ataques maliciosos, previnam a perda ou roubo de dispositivos, treinem os funcionários em boas práticas de segurança, protejam as informações de saúde protegidas (PHI) com terceiros e descartem registros quando apropriado — entre outros requisitos.
Com a funcionalidade de proteção de dados escalável e extensível do BigID, as organizações de saúde podem reduzir os riscos, protegendo eficazmente as informações de saúde confidenciais em todos os requisitos das regras de segurança. aproveitar os fluxos de trabalho de remediação Para agir em relação a dados de alto risco e superexpostos. Obtenha análises de alto nível de permissões para conjuntos de dados específicos com base em categoria e tipo, e monitore usuários com acesso a grandes conjuntos de dados sensíveis.
Regra de Notificação de Violação da HIPAA
A norma de notificação de violação de dados da HIPAA exige que as entidades abrangidas que sofrerem uma violação de dados relatem o incidente. Os requisitos da HIPAA variam de acordo com o número de pacientes afetados.
- Violações que afetem 500 ou mais pacientes devem ser comunicadas ao OCR, aos pacientes afetados e à mídia em até 60 dias após a detecção da violação. Essas violações também são divulgadas publicamente pelo OCR.
- Violações que afetem 499 pacientes ou menos devem ser comunicadas ao OCR e aos pacientes afetados no prazo de 60 dias a partir do final do ano civil em que a violação foi detectada.
O aplicativo de investigação de violações de dados da BigID permite que organizações de saúde determinem o alcance total de uma violação. violação de dados, saber cujos dados foram afetados, implementar um plano de resposta a incidentes e manter os padrões de notificação tanto para os órgãos reguladores quanto para os indivíduos afetados — tudo dentro dos prazos necessários para a conformidade com a HIPAA.
Regra de Necessidade Mínima da HIPAA
Esta regra estabelece que, ao divulgar informações de saúde protegidas (PHI, na sigla em inglês), essas organizações devem tomar medidas para limitar a quantidade de informações compartilhadas ao mínimo necessário para atingir a finalidade pretendida da divulgação.
Na prática, isso significa que os profissionais de saúde e outras entidades abrangidas devem fazer um esforço razoável para minimizar a quantidade de informações de saúde protegidas (PHI) divulgadas, seja em formato eletrônico ou em papel. Isso é particularmente importante na era digital atual, em que as informações pessoais são facilmente compartilhadas e transmitidas.
É essencial que as organizações de saúde estejam cientes da Regra de Necessidade Mínima da HIPAA e implementem as medidas necessárias para garantir a conformidade e a proteção das informações sensíveis de seus pacientes.
Atualizações das regulamentações do HIPAA de 2023
As alterações propostas à Regra de Privacidade do HIPAA incluem permitir que os pacientes inspecionem suas Informações de Saúde Protegidas (PHI) pessoalmente, reduzir o tempo máximo para fornecer acesso às PHI, limitar as solicitações de transferência de PHI eletrônicas para terceiros, permitir que os indivíduos solicitem que suas PHI sejam transferidas para um aplicativo de saúde pessoal e exigir que as entidades cobertas informem os indivíduos sobre seu direito de obter ou direcionar cópias de suas PHI.
Além disso, as entidades abrangidas serão obrigadas a publicar tabelas de taxas estimadas para acesso e divulgação de informações de saúde protegidas (PHI), fornecer estimativas individualizadas de taxas para fornecer a um indivíduo uma cópia de suas próprias PHI e responder a determinadas solicitações de registros quando solicitadas por um indivíduo.
A exigência de confirmação por escrito do Aviso de Práticas de Privacidade foi eliminada, e as entidades abrangidas poderão divulgar informações de saúde protegidas (PHI) para evitar ameaças à saúde ou segurança sob certas condições. Uma exceção padrão de necessidade mínima foi adicionada para usos e divulgações relacionados à coordenação de cuidados e gerenciamento de casos em nível individual.
O que é considerado uma violação da HIPAA?
Quando as entidades abrangidas não cumprem uma ou mais disposições da HIPAA, podem incorrer em multas e penalidades elevadas. As violações da HIPAA são classificadas em quatro níveis. que dependem de:
- a gravidade da ofensa
- a extensão do dano causado pela violação
- o grau de negligência intencional
- o histórico da empresa em relação à conformidade
- outros fatores que o OCR possa considerar relevantes
Dependendo do nível, as penalidades financeiras variam de uma multa mínima de $100 por violação a uma multa de $50.000 por violação. Existem centenas de possíveis motivos para uma violação, mas alguns dos mais comuns incluem:
Com o BigID, Organizações de saúde podem manter registros detalhados de sistemas de informação e informações atualizadas sobre auditorias. — e poder relatar a conformidade com a HIPAA.
O que desencadeia uma auditoria HIPAA?
Auditorias internas e autorrelatos revelam muitas coisas. violações da HIPAAAlém disso, o OCR — principal órgão fiscalizador do HIPAA — prioriza a investigação de entidades abrangidas que relatam violações de 500 ou mais registros. O OCR também realiza auditorias periódicas de entidades abrangidas pelo HIPAA e seus parceiros comerciais.
Os procuradores-gerais estaduais também podem investigar violações. Essas investigações são frequentemente conduzidas devido a denúncias de possíveis violações da HIPAA e em resposta a relatos de violação de registros de pacientes.
A abordagem da BigID para a conformidade com a HIPAA
Para alcançar e manter a conformidade com a HIPAA, incluindo regulamentações como a Regra de Privacidade da HIPAA, a Regra de Segurança da HIPAA e a Regra de Notificação de Violação da HIPAA, as organizações de saúde e suas afiliadas podem implementar uma plataforma única de inteligência de dados para obter visibilidade completa de seus dados.
Plataforma de gerenciamento de dados do BigID — oferece soluções personalizadas, descoberta de dados e automação escalável — permitindo que as organizações de saúde comecem a atender aos requisitos da HIPAA imediatamente.
Com o BigID, você pode:
Conheça seus dados: Com o BigID, as empresas podem descobrir, gerenciar e catalogar todas as suas informações de saúde protegidas (PHI) e informações eletrônicas de saúde protegidas (ePHI) em toda a organização — independentemente de quão isoladas estejam — e aplicar políticas a todos os seus dados, em qualquer lugar.
Obtenha cobertura completa de dados.: As empresas precisam de visibilidade completa de todos os seus dados — não apenas de uma parte deles. O BigID oferece ampla cobertura de dados não estruturados, estruturados e semiestruturados, big data, dados em movimento e muito mais — tudo em um único painel.
Monitorar a qualidade dos dados: Mantenha um mapa abrangente de todas as informações de saúde protegidas (PHI) — locais e na nuvem — alerte sobre riscos de violação e seja capaz de gerar relatórios sobre todos os dados sensíveis do paciente para fins de conformidade com a HIPAA.
Reduzir o risco — em todos os lugares: Reduza os riscos relacionados à informação de saúde protegida (PHI) com pontuação de risco, sinalização de fluxos de dados e padrões de acesso, e monitoramento contínuo do acesso a arquivos.
Ativar correção: Tome medidas rápidas para remediar dados de alto risco, dados sensíveis, dados ocultos e todas as suas informações de saúde regulamentadas.
Agende uma demonstração gratuita individual. Descubra como o BigID pode capacitar sua organização a alcançar resultados contínuos. Conformidade com a HIPAA.
Autor
