Desde que entrou em vigor em 1996, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) tem como objetivo fornecer direitos de privacidade aos pacientes, proteger os dados de saúde pessoais e sensíveis dos pacientes ameaças e ataques, modernizar o fluxo de dados de saúde, simplificar a administração dos cuidados de saúde e prevenir fraudes no setor.
As disposições da HIPAA passam por atualizações frequentes para se adaptarem novas tecnologias e condições em mudança. Mesmo as empresas que priorizam a conformidade com a HIPAA e a proteção de PHI — ou “informações de saúde protegidas” — enfrentam vários obstáculos que exigem atenção constante e a capacidade de agir rapidamente em procedimentos e práticas de dados.
Além das atualizações frequentes da lei, esses desafios incluem ameaças constantes de ataque a dados altamente cobiçados, problemas de interoperabilidade, um fluxo gigantesco de dados de pacientes todos os dias e muito mais.
O que é conformidade com a HIPAA?
HIPAA é uma regulamentação federal que se aplica a organizações na área da saúde e suas afiliadas e subcontratadas. Regulamentada e aplicada pela Departamento de Saúde e Serviços Humanos (HHS) Escritório de Direitos Civis (OCR) — assim como alguns órgãos governamentais estaduais — a HIPAA se refere a essas organizações como “entidades cobertas”.
As entidades cobertas podem incluir:
- Planos de saúde: Inclui empresas de seguro saúde, organizações de manutenção da saúde, programas governamentais que subsidiam programas como o Medicare e programas de saúde para militares e veteranos.
- Prestadores de cuidados de saúde: Inclui hospitais, clínicas, médicos, psicólogos, dentistas, quiropráticos, casas de repouso, farmácias, agências de saúde domiciliar e qualquer provedor que transmita informações de saúde eletronicamente.
- Centros de compensação de saúde: Organizações que processam informações de saúde não padronizadas e convertem dados.
O que são informações de saúde protegidas (PHI)?
Informações de saúde protegidas (PHI) é o termo usado pela HIPAA para descrever qualquer informação sobre o estado de saúde ou tratamento passado ou presente de um indivíduo que possa ser usada para identificá-lo. Isso inclui todos os registros, documentos e outras informações relacionadas ao diagnóstico, histórico de pagamentos, processos de prestação de cuidados, processamento de reivindicações, adjudicação de reivindicações e atividades de resolução de disputas de um indivíduo; informações sobre ensaios clínicos; resultados de testes; informações sobre saúde mental; informações genéticas; identificadores biométricos usados para identificação e muito mais.
A Lei HIPAA exige que todas as entidades cobertas — o que inclui planos de saúde e práticas médicas, bem como qualquer empresa envolvida com assistência médica — protejam quaisquer dados de PHI que entrem em sua posse ou controle.
Os dados de PHI sob a HIPAA podem se enquadrar em uma categoria diferente de informações pessoais sob outras regulamentações. Por exemplo, embora um número de previdência social possa se qualificar como PII (informações de identificação pessoal) de acordo com o Regulamento Geral de Proteção de Dados (GDPR) da UE e PI (informações pessoais) sob o Lei de Privacidade do Consumidor da Califórnia (CCPA), seria considerado um identificador PHI de acordo com a HIPAA.
Para lidar eficazmente dados confidenciais — especialmente aquilo que é abrangido por mais de um regulamento — as organizações precisam adotar tecnologia que possa localizar, classificar, mapear e catalogar automaticamente todos os dados confidenciais e PHI em todo um ecossistema de dados, com cobertura abrangente de todos os sistemas e fontes de dados.
Solução de plataforma da BigID adota uma abordagem baseada em aprendizado de máquina para classificar e marcar automaticamente todos os PHI, ePHI, HIPAA e dados confidenciais — por regulamentação, tipo de documento, política, atributos, indivíduo e muito mais.
Quais são as três regras da HIPAA?
Regra de privacidade da HIPAA
A Norma de Privacidade da HIPAA concede aos indivíduos direitos sobre suas informações de saúde. Os pacientes têm o direito legal de acessar e obter cópias de seus registros médicos — e solicitar que informações imprecisas ou desatualizadas sejam corrigidas.
A Regra de Privacidade também exige que as organizações de saúde cobertas tomem medidas razoáveis para garantir a confidencialidade do paciente, rastrear divulgações, divulgar apenas a quantidade mínima de informações necessárias para executar uma função específica e notificar os indivíduos sobre o uso de suas PHI.
Os requisitos da HIPAA também determinam que as entidades cobertas devem treinar a equipe sobre como lidar com PHI — e nomear um responsável pela privacidade para receber reclamações sobre PHI maltratadas.
Embora a maioria das divulgações exija autorização por escrito do indivíduo, a HIPAA permite que entidades cobertas divulguem PHI sem consentimento expresso nos casos de facilitação de tratamento, pagamento ou operações de assistência médica.
Para divulgar dados adequadamente às pessoas certas, no momento certo e, ao mesmo tempo, garantir a confidencialidade do paciente, as organizações precisam de cobertura total de todos os seus dados, em qualquer lugar.
O BigID permite que as organizações conheça seus dados — tudo isso, em todos os tipos, em qualquer idioma, no data center ou no nuvem, estruturados ou não estruturados, em repouso ou em movimento, em escala de petabytes — e permitem fluxos de trabalho para excluir dados redundantes, obsoletos ou triviais (ROT). Isso abrange arquivos e documentos, imagens e e-mails, Big Data e muito mais — não importa quão isolados, ocultos, legados ou difíceis de encontrar os dados estejam.
Regra de segurança da HIPAA
A Regra de Segurança da HIPAA abrange três áreas — e determina que as entidades cobertas usem as melhores práticas para proteger PHI e ePHI (informações eletrônicas de saúde protegidas) nas áreas de:
- Segurança administrativa: As entidades abrangidas devem ter políticas e procedimentos escritos que demonstrem claramente como cumprem a HIPAA — e essas políticas devem abranger tudo, desde a supervisão, o treinamento de funcionários, os controles de acesso e o manuseio e monitoramento seguros dos dados que terceirizam para terceiros. A HIPAA também regulamenta a documentação específica de auditorias de rotina e baseadas em eventos, bem como o uso de planos de contingência.
- Segurança física: As entidades abrangidas devem implementar controles e monitoramento de acesso físico — incluindo remoções de hardware e software e segurança de estações de trabalho — para evitar a exposição não autorizada de dados confidenciais. As salvaguardas físicas abrangem planos de segurança das instalações, protocolo de visitantes e acompanhantes e acesso de contratados — e incluem treinamento de terceiros sobre responsabilidades e restrições de acesso físico.
- Segurança técnica: As entidades abrangidas devem dispor de salvaguardas técnicas para impedir o acesso não autorizado a PHI transmitidas eletronicamente. Isso inclui a manutenção da integridade dos dados, controles de autenticação e práticas adequadas de documentação e relatórios, bem como o uso de criptografia em dados transmitidos por redes abertas.
Em essência, a Regra de Segurança determina que as organizações protejam registros, criptografem dados, protejam contra violações e ataques maliciosos, previnam a perda ou roubo de dispositivos, treinem funcionários sobre práticas de segurança sólidas, protejam PHI com terceiros e descartem registros quando apropriado — entre outros requisitos.
Com a funcionalidade de proteção de dados escalável e extensível do BigID, as organizações de saúde podem reduzir os riscos protegendo efetivamente PHI confidenciais em todos os requisitos da Regra de Segurança — e alavancar fluxos de trabalho de remediação para tomar medidas em relação a dados de alto risco e superexpostos. Obtenha análises de permissões de alto nível sobre conjuntos de dados segmentados com base em categoria e tipo, e monitore usuários com acesso a conjuntos de dados grandes e sensíveis.
Regra de notificação de violação da HIPAA
A Regra de Notificação de Violação da HIPAA exige que as entidades cobertas que sofram uma violação de dados relatem o incidente. Os requisitos da HIPAA variam de acordo com o número de pacientes afetados.
- Violações que afetem 500 ou mais pacientes devem ser reportadas ao OCR, aos pacientes afetados e à mídia em até 60 dias após a detecção da violação. Essas violações também são publicadas publicamente pelo OCR.
- Violações que afetam 499 pacientes ou menos devem ser relatadas ao OCR e aos pacientes afetados dentro de 60 dias a partir do final do ano civil em que a violação foi detectada.
O aplicativo Breach Data Investigation da BigID capacita organizações de saúde a determinar o escopo completo de uma violação de dados, saber quais dados foram impactados, promulgar um plano de resposta a incidentes e manter os padrões de relatórios para reguladores e indivíduos impactados — tudo dentro dos prazos necessários para a conformidade com a HIPAA.
Regra Mínima Necessária da HIPAA
Esta regra estabelece que, ao divulgar informações de saúde protegidas (PHI), essas organizações devem tomar medidas para limitar a quantidade de informações compartilhadas ao mínimo necessário para atingir o propósito pretendido da divulgação.
Na prática, isso significa que os prestadores de serviços de saúde e outras entidades cobertas devem envidar esforços razoáveis para minimizar a quantidade de PHI divulgada, seja em formato eletrônico ou impresso. Isso é particularmente importante na era digital atual, em que informações pessoais são facilmente compartilhadas e transmitidas.
É essencial que as organizações de saúde estejam cientes da Regra Mínima Necessária da HIPAA e implementem as medidas necessárias para garantir que estejam em conformidade e protegendo as informações confidenciais de seus pacientes.
Atualizações dos Regulamentos HIPAA de 2023
As mudanças propostas para a Regra de Privacidade da HIPAA incluem permitir que os pacientes inspecionem suas PHI pessoalmente, encurtar o tempo máximo para fornecer acesso às PHI, limitar solicitações para transferir ePHI para terceiros, permitir que indivíduos solicitem que suas PHI sejam transferidas para um aplicativo de saúde pessoal e exigir que as entidades cobertas informem os indivíduos sobre seu direito de obter ou direcionar cópias de suas PHI.
Além disso, as entidades cobertas serão obrigadas a publicar tabelas de preços estimadas para acesso e divulgação de PHI, fornecer estimativas individualizadas de taxas para fornecer a um indivíduo uma cópia de seu próprio PHI e responder a determinadas solicitações de registros quando instruído por um indivíduo.
A exigência de confirmação por escrito do Aviso de Práticas de Privacidade foi eliminada, e as entidades cobertas poderão divulgar PHI para evitar uma ameaça à saúde ou à segurança sob determinadas condições. Uma exceção padrão mínima necessária foi adicionada para usos e divulgações em coordenação de cuidados individuais e gerenciamento de casos.
O que é considerado uma violação da HIPAA?
Quando as entidades cobertas não cumprem uma ou mais disposições da HIPAA, elas podem incorrer em multas e penalidades pesadas. As violações da HIPAA se dividem em quatro níveis que dependem de:
- a gravidade da infração
- a quantidade de dano causado pela violação
- o grau de negligência intencional
- o histórico anterior da empresa com conformidade
- outros fatores que o OCR pode considerar relevantes
Dependendo do nível, as penalidades financeiras variam de uma multa mínima de $100 por violação a uma multa de $50.000 por violação. Há centenas de motivos possíveis para uma violação, mas alguns comuns incluem:
Com BigID, as organizações de saúde podem manter registros detalhados dos sistemas de informação e informações atualizadas sobre auditorias — e ser capaz de relatar a conformidade com a HIPAA.
O que aciona uma auditoria HIPAA?
As auditorias internas e os auto-relatórios revelam muitas Violações da HIPAAAlém disso, o OCR — o principal órgão de fiscalização da HIPAA — prioriza a investigação de entidades cobertas que relatam violações de 500 ou mais registros. O OCR também realiza auditorias periódicas de entidades cobertas pela HIPAA e parceiros comerciais.
Os procuradores-gerais estaduais também podem investigar violações. Essas investigações são frequentemente conduzidas devido a reclamações sobre potenciais violações da HIPAA e em reação a relatos de violação de registros de pacientes.
Abordagem da BigID para conformidade com a HIPAA
Para atingir e manter a conformidade com a HIPAA com regulamentações como a Regra de Privacidade da HIPAA, a Regra de Segurança da HIPAA e a Regra de Notificação de Violação da HIPAA, as organizações de saúde e suas afiliadas podem implementar uma única plataforma de inteligência de dados para obter visibilidade total de seus dados.
Plataforma de gerenciamento de dados do BigID — oferece serviços personalizados, descoberta de dados e automação escalável — permitindo que organizações de saúde comecem a atender aos requisitos da HIPAA agora mesmo.
Com o BigID, você pode:
Conheça seus dados: Com o BigID, as empresas podem descobrir, gerenciar e catalogar todos os seus PHI e ePHI confidenciais em toda a organização — não importa quão isolados eles sejam — e aplicar políticas em todos os seus dados, em qualquer lugar.
Obtenha cobertura completa de dados: As empresas precisam de visibilidade total de todos os seus dados — não apenas de parte deles. O BigID oferece ampla cobertura de dados não estruturados, estruturados e semiestruturados, big data, dados em movimento e muito mais — tudo em um único painel.
Monitorar a qualidade dos dados: Mantenha um mapa abrangente de todas as PHI — no local e na nuvem — alerte sobre riscos de violação e seja capaz de relatar todos os dados confidenciais do paciente para conformidade com a HIPAA.
Reduza o risco — em todos os lugares: Reduza o risco em PHI com pontuação de risco, sinalizando fluxos de dados e padrões de acesso e monitorando continuamente o acesso aos arquivos.
Habilitar correção: Tome medidas rápidas para corrigir dados de alto risco, dados confidenciais e obscuros, além de todas as suas informações de saúde regulamentadas.
Agende uma demonstração individual gratuita para ver como o BigID pode capacitar sua organização a alcançar resultados contínuos Conformidade com a HIPAA.
Autor
