Nosso artigo HIPAA Explicado fornece informações sobre a Lei de Portabilidade e Prestação de Contas do Seguro de Saúde (HIPAA), as mais recentes alterações à Lei em 2013, e como as disposições da Lei afetam atualmente os pacientes, a indústria da saúde como um todo, e os indivíduos que trabalham dentro dela.
- HIPAA História Simplificada
- HIPAA Explicado em Termos Simples
- HIPAA para Chupetas
- Quem é Coberto pela HIPAA?
- HIPAAA Explicação Pós 2013
- As Salvaguardas Necessárias e Endereçáveis da HIPAA Explicada
- As implicações da HIPAA para os pacientes
- Como explicar a HIPAA aos pacientes
- As Implicações da HIPAA para as Organizações de Saúde
- Como explicar a HIPAA aos funcionários
- Nova Tecnologia e Regras de Privacidade e Segurança HIPAA
HIPAA História Simplificada
Originalmente proposto em 1996 para que os trabalhadores pudessem transportar seguros e direitos de saúde entre empregos, nossa história simplificada da HIPAA mostra que a Lei desde então se expandiu para uma lei que também governa a fraude em seguros de saúde e provisões fiscais para contas de poupança médica, e garante a aceitação de trabalhadores com condições preexistentes em regimes de seguro de saúde ocupacional. No entanto, principalmente, a HIPAA diz respeito à privacidade e segurança das informações de saúde dos pacientes.
HIPAA (através da Lei HITECH) também foi utilizada para incentivar a indústria da saúde a informatizar os registros em papel. Isto levou a preocupações sobre a divulgação não autorizada de “Informação de Saúde Protegida” (PHI) e resultou no desenvolvimento de mais regulamentos de privacidade e segurança em 2013. Os regulamentos abordaram os avanços tecnológicos na indústria da saúde desde que a legislação original foi aprovada, e expandiram a responsabilidade pela integridade dos PHI para os Business Associates.
Os regulamentos HIPAA são aplicados pelo Departamento de Saúde dos EUA & Gabinete de Serviços Humanos para os Direitos Civis, enquanto que os Procuradores-Gerais do estado também podem tomar medidas contra as partes descobertas como não estando em conformidade com a HIPAA. O Gabinete para os Direitos Civis tem autoridade para impor multas às Entidades Cobertas e aos Associados Comerciais por violações dos DCC, a menos que a parte infractora possa demonstrar uma probabilidade baixa de que a informação de saúde do paciente tenha sido comprometida.
HIPAA Explicado em Termos Simples
O texto combinado de todos os Regulamentos de Simplificação Administrativa da HIPAA foi combinado num único documento de 115 páginas pelo HHS, o que o torna uma leitura muito longa, mas é possível resumir a HIPAA em algumas frases e explicar a HIPAA em termos simples.
HIPAA foi uma tentativa do Congresso para melhorar a eficiência na saúde, eliminar desperdícios, combater fraudes e garantir que as informações de saúde que podem ser vinculadas a um indivíduo e permitiriam identificá-las fossem protegidas e mantidas privadas e confidenciais.
HIPAAA introduziu um conjunto de novos padrões a serem seguidos pelas organizações de saúde para garantir que todos estivessem cantando a partir da mesma folha de hino. Os códigos e identificadores padrão foram criados para facilitar a troca de informações de saúde e os provedores de saúde, seguradoras de saúde e seus associados comerciais foram obrigados a usar os mesmos códigos para transações eletrônicas para garantir que os dados pudessem ser trocados eficientemente. Isso economizou muito tempo, esforço e resultou em economias substanciais de custos.
HIPAA estipulou os usos e divulgações permitidos de informações de saúde, restringindo quem pode acessar informações de saúde e sob quais circunstâncias. A HIPAA deu aos americanos o direito de obter cópias dos seus dados de saúde para verificar se existem erros nos seus registos de saúde e para partilhar os seus registos com quem desejarem. A HIPAA também estabeleceu normas para proteger os dados de saúde para dificultar o acesso à informação de saúde por indivíduos que não tinham o direito de ver a informação.
HIPAA para Chupetas
Embora possa ser considerado indelicado dar direito a uma secção deste artigo “HIPAA para Chupetas”, ainda há algumas pessoas que desconhecem qual a informação de saúde do paciente que é “protegida”. Para esclarecer o que é considerado “Informação de Saúde Protegida”, listamos abaixo os dezoito “identificadores pessoais” que individualmente – ou ligados a qualquer outro identificador pessoal – poderiam revelar a identidade de um indivíduo, seu histórico médico ou histórico de pagamento:
| Nomes ou parte de nomes | Outra característica identificadora única |
| Identificadores geográficos | Datas directamente relacionado com um indivíduo |
| Números de telefone | Números de fax |
| Endereços de correio | Números de segurança social |
| Números de registos médicos | Números de beneficiários de seguros de saúde |
| Números de contas | Números de certificados ou licenças |
| Números das matrículas dos veículos | Identificadores e números de série dos dispositivos |
| URLs Web | Endereços IP |
| Impressões digitais, Retina e impressões de voz | Faces completas ou qualquer imagem fotográfica comparável |
Quem é Coberto pela HIPAA?
Antes de lançar no HIPAA explicou que é melhor esclarecer a quem se aplica a legislação. Praticamente todos os planos de saúde, câmaras de compensação de cuidados de saúde, prestadores de cuidados de saúde e patrocinadores endossados do cartão de desconto de medicamentos prescritos pelo Medicare são considerados como “Entidades Cobertas pelo HIPAA” nos termos da Lei. Normalmente, estas são entidades que entram em contato com Informações de Saúde Protegidas regularmente.
“Associados de Negócios” também são cobertas pela HIPAA. Estas são entidades que não criam, recebem, mantêm ou transmitem Informação de Saúde Protegida na sua ocupação primária, mas que fornecem serviços e actividades de terceiros para Entidades Cobertas durante o curso do qual irão encontrar DCC. Antes de empreender um serviço ou actividade em nome de uma Entidade Coberta, um Associado Empresarial deverá assinar um Acordo de Associado Empresarial garantindo a integridade de qualquer DCC a que tenha acesso.
Existem planos de saúde de grupo de empregador único com seguro próprio e empregadores que actuam como intermediários entre empregados e prestadores de cuidados de saúde. A HIPAA declara que os empregadores não são Entidades Cobertas a menos que a natureza do seu negócio esteja dentro dos critérios para ser uma Entidade Coberta (ou seja, um Centro Médico empregadora seria uma Entidade Coberta). No entanto, como empregadores auto-segurosos e intermediários lidam com PHI que são protegidos pela Regra de Privacidade HIPAA, eles são considerados “Entidades Virtuais” e sujeitos à conformidade HIPAA.
HIPAAA Explicação Pós 2013
Please Note: Para informações relacionadas à HIPAA antes de 2013, e sua relação com a Lei HITECH de 2009, por favor consulte nossa página “HIPAA História”. Maiores detalhes das Regras de Privacidade e Segurança HIPAA estão contidos em nossa “Lista de Verificação de Conformidade HIPAA”.
Desde a introdução da Regra Final Omnibus, que promulgou novos regulamentos dentro da HIPAA em 2013, novas diretrizes foram emitidas sobre como os PHI devem ser acessados e comunicados em um ambiente relacionado à medicina. A Lei revista dá aos pacientes mais direitos para conhecer e controlar como a sua informação de saúde é usada e estende os controlos sobre entidades cobertas pela HIPAA e Business Associates à forma como a informação do paciente é acedida e comunicada.
As entidades cobertas pela HIPAA e Business Associates devem implementar mecanismos para restringir o fluxo de informação dentro de uma rede privada, monitorizar a actividade na rede e tomar medidas para prevenir a divulgação não autorizada de DCC para além dos limites da rede. Deve ser dada mais atenção à realização de avaliações de risco, e novos procedimentos de relatórios foram desenvolvidos para cobrir violações de dados.
Revisões à Regra de Segurança HIPAA ditam as condições (“salvaguardas”) que devem estar em vigor para o armazenamento compatível com a HIPAA e a comunicação de ePHI. Estas “salvaguardas” são descritas na Regra de Segurança HIPAA como “necessárias” ou “endereçáveis”. Na verdade, todas as salvaguardas são geralmente necessárias – independentemente de como são descritas – como explica a seção seguinte.
O Escritório de Direitos Civis realiza auditorias em entidades cobertas pela HIPAA para garantir que elas estejam em conformidade com os regulamentos. Quando são descobertas violações evitáveis do ePHI, o Gabinete dos Direitos Civis tem autoridade para impor penalidades financeiras e apresentar queixa criminal contra a entidade negligente.
As Salvaguardas Necessárias e Endereçáveis da HIPAA Explicada
Uma área da HIPAA que levou a alguma confusão é a diferença entre as salvaguardas “necessárias” e “endereçáveis”. Com efeito, toda salvaguarda do HIPAA é “necessária”, a menos que haja uma razão justificável para não implementar a salvaguarda ou que seja implementada uma alternativa apropriada à salvaguarda que atinja o mesmo objetivo.
Um cenário no qual a implementação de uma salvaguarda endereçável poderia ser desnecessária é a criptografia do e-mail. E-mails contendo PHI – seja no corpo ou como anexo – só têm de ser encriptados se forem enviados para além de um servidor interno, com firewall. Se uma instituição de saúde só usa e-mail como uma forma interna de comunicação – ou tem uma autorização de um paciente para enviar suas informações sem criptografia – não há necessidade de implementar esta salvaguarda endereçável.
A decisão de não implementar a criptografia de e-mail terá que ser suportada por uma avaliação de risco e documentada por escrito. Outros fatores que podem ter que ser levados em consideração são a estratégia de mitigação de riscos da organização e outras salvaguardas implementadas para proteger a integridade dos DCC. Como uma nota de rodapé desta seção específica da HIPAA explicada, a criptografia dos PHI em repouso e em trânsito é recomendada.
As implicações da HIPAA para os pacientes
As implicações da HIPAA para os pacientes são que as suas informações de saúde sejam tratadas de forma mais sensível e possam ser acessadas mais rapidamente pelos seus provedores de saúde. As informações de saúde armazenadas eletronicamente estão agora melhor protegidas do que os registros em papel jamais foram, e as organizações de saúde que implementaram mecanismos para cumprir os regulamentos HIPAA estão testemunhando uma maior eficiência. Isso se manifesta – no que diz respeito aos pacientes – como um padrão mais elevado de saúde.
No lado negativo, as organizações de saúde não estão apenas preocupadas com o padrão de saúde que podem fornecer aos pacientes individuais. As organizações de saúde querem aumentar os serviços que podem prestar, querem elevar a qualidade dos cuidados de saúde e melhorar a segurança dos pacientes através da investigação. Entretanto, a pesquisa é restrita pela HIPAA e o acesso restrito aos PHI tem o potencial de diminuir o ritmo a que as melhorias podem ser feitas nos cuidados de saúde.
Há também um preço a pagar para melhorar a segurança dos dados, e embora a promulgação do programa Uso Significativo tenha fornecido incentivos financeiros para os provedores de cuidados de saúde informatizarem os registros em papel, a implementação dos controles necessários para garantir o ePHI pode acarretar um custo substancial. O aumento do financiamento para a conformidade tem o potencial de reduzir o nível de atendimento ao paciente, enquanto a carga administrativa que a conformidade com a HIPAA coloca nas organizações de saúde aumenta os limitados recursos disponíveis.
Como explicar a HIPAA aos pacientes
Como os prestadores de serviços de saúde são agora obrigados por lei a dar aos pacientes um aviso de sua Política de Privacidade, será necessário explicar a HIPAA aos pacientes, pois eles têm de assinar uma cópia da política para dizer que a receberam. A melhor maneira de explicar a HIPAA aos pacientes é colocar as informações relevantes na Política de Privacidade e, em seguida, dar aos pacientes uma sinopse do que a política contém. Por exemplo, explique ao paciente:
- Têm o direito de solicitar seus registros médicos sempre que quiserem.
- Têm o direito de solicitar que você altere seus registros médicos quando apropriado.
- Têm o direito de limitar quem tem acesso às suas informações pessoais de saúde.
- Têm o direito de escolher como os profissionais de saúde se comunicam com eles.
- Têm também o direito de reclamar sobre a divulgação não autorizada dos seus PHI.
A menos que o paciente tenha sofrido um dano físico ou financeiro devido à divulgação não autorizada dos seus PHI, não poderão intentar uma acção civil contra a parte negligente. No entanto, Entidades Cobertas e Associados Comerciais que violem a HIPAA para ganho pessoal, falsas pretensões ou outros ganhos pessoais terão penalidades criminais impostas pelo Escritório dos Direitos Civis que podem resultar em até dez anos de prisão.
As Implicações da HIPAA para as Organizações de Saúde
Se a privacidade e segurança dos dados não for abordada, o Escritório dos Direitos Civis pode emitir multas por não cumprimento. As violações de dados evitáveis são passíveis de sanções financeiras consideráveis. Sob a estrutura de penalidades introduzida pela HITECH, as violações podem resultar em multas de até US$ 1,5 milhão emitidas pelo OCR, enquanto processos podem ser movidos tanto por procuradores gerais quanto – como mencionado acima – pelas vítimas de violações de dados.
A alta probabilidade de organizações de saúde se tornarem alvos de cibercriminosos e o custo exorbitante de lidar com as violações de dados – emitindo cartas de notificação de violação, oferecendo serviços de monitoramento de crédito e cobrindo as multas do OCR – é muito superior ao custo de alcançar a conformidade total. Mas, embora o custo inicial do investimento nas salvaguardas técnicas, físicas e administrativas necessárias para assegurar os dados dos pacientes possa ser alto, as melhorias podem resultar em economia de custos ao longo do tempo, como resultado de uma maior eficiência.
As organizações que já implementaram mecanismos para cumprir com a HIPAA viram os fluxos de trabalho dos seus funcionários simplificados, menos tempo é desperdiçado jogando “phone tag” e a força de trabalho tornou-se mais produtiva – permitindo às organizações de saúde reinvestir as suas poupanças e fornecer um padrão mais elevado de cuidados de saúde aos pacientes.
Como explicar a HIPAA aos funcionários
Explicar a HIPAA aos funcionários de Entidades Cobertas e Associados de Negócios requer muito mais esforço do que explicar a HIPAA aos pacientes. Para cumprir a HIPAA, as Entidades Cobertas e os Empresários Associados têm de compilar políticas de privacidade e segurança para as suas forças de trabalho e uma política de sanções para os funcionários que não cumpram com os requisitos. Portanto, é necessário explicar a HIPAA aos funcionários com mais detalhes.
A melhor maneira de explicar a HIPAA aos funcionários é em sessões especiais de treinamento de conformidade. Embora os regulamentos HIPAA estabeleçam que o treinamento deve ser oferecido anualmente, sugerimos que haja muito para os funcionários se preocuparem com a segurança e privacidade das informações pessoais de saúde, as sessões de treinamento de conformidade devem ser curtas e freqüentes. Tentar explicar a HIPAA aos funcionários em uma sessão de treinamento de quatro horas provavelmente não será bem sucedido.
Muita da explicação vai girar em torno da manutenção da integridade dos PHI, mas como isto é implementado provavelmente terá um impacto sobre os próprios funcionários. Por exemplo, os funcionários não poderão discutir os cuidados de saúde dos pacientes através do seu dispositivo móvel, a menos que as comunicações sejam criptografadas. Devido ao número de estabelecimentos de saúde implementando políticas BYOD, isso significará que os funcionários terão que baixar aplicativos de comunicação segura para seus dispositivos móveis pessoais.
Nova Tecnologia e Regras de Privacidade e Segurança HIPAA
Nova tecnologia está constantemente sendo desenvolvida para proteger a integridade dos PHI. A conformidade com as Regras de Privacidade e Segurança HIPAA está se tornando mais fácil a cada dia devido a inovações como filtragem web, arquivamento seguro de e-mail e soluções de mensagens seguras.
A filtragem web é um excelente mecanismo para mitigar os riscos de malware – particularmente malware de vigilância que pode gravar toques de teclas para obter nomes de usuário e senhas. Várias violações de dados recentes foram o resultado de downloads de malware – incluindo várias que não teriam ocorrido com a implementação de um mecanismo de filtragem da web.
Arquivamento seguro de e-mails é outra área na qual as organizações de saúde podem melhorar a sua postura de segurança online. A manutenção de seis anos de e-mails pode criar um problema de armazenamento. Entretanto, ao usar um serviço de arquivamento seguro de e-mails de terceiros, as organizações de saúde liberam recursos dentro de sua própria estrutura de TI enquanto cumprem com as Regras de Privacidade e Segurança HIPAA.
Foi mencionado anteriormente neste artigo HIPAA Explained que algumas das mais recentes mudanças na conta HIPAA são responsáveis pelos riscos das políticas “Traga seu próprio dispositivo”. Algumas organizações de saúde eliminaram os riscos através da implementação de soluções seguras de mensagens. Essas soluções permitem que usuários autorizados acessem e comuniquem ePHI de seus dispositivos móveis pessoais com segurança através de aplicativos de mensagens seguras.
Como todos os provedores de serviços de terceiros, o ônus é uma das organizações de saúde para garantir que o Business Associate seja compatível com a HIPAA. Os custos da falha para garantir a conformidade podem ser substanciais, como demonstra nosso Infográfico Explicado HIPAA abaixo.