HIPAA explicado: definição, conformidade e violações.

Resumo HIPAA: O que é HIPAA?

HIPAA ( o Ato de Portabilidade e Responsabilidade de Seguro Saúde) é uma lei aprovada em 1996 que transformou muitas das maneiras como o setor de saúde operava nos Estados Unidos. A lei teve muitos efeitos importantes e de longo alcance, mas do ponto de vista dos profissionais de TI, suas disposições mais importantes são as exigências para que os provedores de saúde mantenham todas as informações médicas de identificação pessoal privadas e seguras. Essas exigências tornaram o mundo moderno dos registros médicos eletrônicos mais seguro para os pacientes, mas também impõem uma série de regulamentações às vezes onerosas aos provedores de serviços médicos e seus parceiros de TI, com custos de conformidade anuais estimados em US $8,3 bilhões por ano.

Quais são os principais componentes da HIPAA?

A HIPAA é dividida em seções, chamadas de títulos, sendo os Títulos I e II os mais importantes. O Título I cobre a parte da portabilidade do nome da lei; garante que, na maioria dos casos, as pessoas que mudam de um plano de seguro saúde coletivo para outro não podem ter os benefícios negados com base em condições pré-existentes.

Para a maioria das pessoas, essa portabilidade de seguro saúde teve o maior impacto em suas vidas. Para aqueles que trabalham em TI ou administração de saúde, entretanto, é o Título II, que cobre a parte da responsabilidade do nome da lei, que os mantém acordados à noite. O Título II determina que qualquer pessoa que lide com dados médicos de indivíduos tome medidas ativas para manter esses dados privados e seguros. As pessoas e organizações que estão sob o guarda-chuva da lei — entidades cobertas no idioma HIPAA — incluem não apenas candidatos óbvios, como consultórios médicos e hospitais, mas qualquer pessoa que toque nas informações do paciente, como serviços de cobrança de terceiros e fornecedores de TI.

História da HIPAA

Como muitas leis federais abrangentes dos EUA, a HIPAA descreve princípios gerais para orientar os regulamentos governamentais, mas deixa os detalhes desses regulamentos para a agência relevante no ramo executivo — o Departamento de Saúde e Serviços Humanos (SSH), neste caso. Embora a lei tenha sido aprovada em 1996, os conjuntos de regulamentos cobrindo os tópicos da lei — chamados de regras — foram implementados pelo SSH nos anos seguintes. Segue abaixo um curto cronograma.

• Em 1998, o SSH propôs a Regra de Segurança, que visa melhorar a proteção de informações relacionadas à saúde que são compartilhadas entre diferentes prestadores de cuidados de saúde e outras entidades. Essa regra só foi finalizada em 2003 e entrou em vigor em 2005.

• Em 1999, o SSH propôs a Regra de Privacidade, que especifica os padrões necessários para manter a privacidade das informações de saúde, definia quais informações protegidas de saúde (IPS) eram cobertas pela lei e dava aos indivíduos o direito de acessar suas próprias informações relacionadas à saúde. Essa regra foi implementada, com algumas modificações em 2003.

• Em 2005, para tratar dos casos em que as entidades cobertas não cumpriam as Regras de Segurança e Privacidade, o SSH propôs a Regra de Execução, que permitia ao departamento investigar reclamações e emitir multas.

• Em 2009, o Congresso aprovou a Lei HITECH, com o objetivo de incentivar os profissionais de saúde a fazerem mais uso dos registros eletrônicos de saúde (RES). Mais tarde naquele ano, o SSH lançou a Regra de Execução HITECH para proteger esses registros dentro da estrutura existente da HIPAA, o que aumentou drasticamente os custos de não conformidade.

• Também em 2009, o SSH emitiu a Regra de Notificação de Violação, que estabeleceu regras de notificação de divulgação para entidades cobertas cujos sistemas foram invadidos.

• Em 2013, a Regra Omnibus HIPAA entrou em vigor, fazendo uma série de ajustes nas regras existentes, sendo mais importante o ajuste de extensão das disposições da Regra de Privacidade e Segurança para associados comerciais de entidades cobertas. Os parceiros de negócios não lidam diretamente com os pacientes, mas ainda têm acesso às IPS e podem variar de fornecedores de software a transcritores, advogados e contadores.

De longe, os desenvolvimentos mais importantes aqui são as regras de privacidade e segurança, uma vez que as outras regras principalmente aplicam ou estendem essas regras. Abaixo vamos aprofundar nessas regras com mais detalhes.

A Regra de Segurança: Como a HIPAA fornece segurança?

Para cumprir a regra de segurança da HIPAA, as entidades cobertas devem manter métodos de proteção “razoáveis e apropriados” para proteger as IPS. Estes métodos devem incluir medidas administrativas, como análises de risco e treinamento da força de trabalho, métodos de segurança físicos como controles de acesso ao local de trabalho e implementações técnicas, como controles de software de segurança cibernética. Os objetivos gerais devem ser:

• Garantir a confidencialidade, integridade e disponibilidade de todas as IPS manipuladas ou transmitidas

• Proteger contra ameaças razoavelmente antecipadas à segurança ou integridade das informações

• Proteger contra divulgações ou usos razoavelmente antecipados, mas não permitidos

• Garanta a conformidade do local de trabalho

A regra não obriga a nenhuma medida específica a ser tomada para implementar esses objetivos e dá às entidades cobertas alguma flexibilidade para determinar a melhor maneira de fazer tudo isso com base em seu tamanho, ambiente e meios técnicos. No entanto, essa flexibilidade também traz consigo a ambiguidade para as entidades cobertas quanto ao fato de seus planos de segurança realmente atenderem aos padrões da HIPAA.

A regra de privacidade da HIPAA

A Regra de Privacidade da HIPAA impõe um ato de equilíbrio às entidades cobertas. Por um lado, reconhece que, para que o sistema de saúde funcione, as IPS precisam ser distribuídas entre vários indivíduos, organizações e empresas. Por outro lado, exige que os pacientes tenham o direito de manter a privacidade de suas informações médicas e de identificação pessoal.

A solução da regra de privacidade para esse enigma é o padrão mínimo necessário. Em essência, qualquer indivíduo que trabalhe para uma entidade coberta deve ter acesso ao IPS de que precisa para realizar seu trabalho — mas nada além disso. Obviamente, isso é mais fácil de dizer do que implementar na prática e, novamente, essa ambiguidade gera ansiedade quanto à conformidade.

Uma das principais exigências da regra de privacidade da HIPAA é que os próprios pacientes tenham o direito de acessar suas próprias informações médicas. Além disso, eles podem contestar dados ou solicitar proativamente restrições ao compartilhamento desses dados.

Conformidade HIPAA

Quando você ouve a frase conformidade HIPAA usada na indústria de tecnologia, geralmente se refere às medidas técnicas e administrativas necessárias para cumprir com o Título II da HIPAA, e a maior parte desse trabalho envolve o cumprimento dos requisitos das Regras de Segurança e Privacidade, conforme descrito acima. Existem alguns outros requisitos menores também: todas as entidades cobertas devem ter um Identificador de Provedor Nacional e aderir aos Padrões de Transação e Conjunto de Códigos para intercâmbio eletrônico de dados.

Na prática, a natureza complexa e ambígua das Regras de Segurança e Privacidade gerou uma pequena indústria de fornecedores dispostos a oferecer ajuda para conformidade. Uma ampla variedade de pacotes de software promete ajudá-lo a manter sua empresa em conformidade com a lei e, se você precisar de mais controle, também existe um negócio de consultoria em expansão. Frequentemente, os dois são combinados, com fornecedores de software personalizando soluções de acordo com as necessidades de sua empresa e fornecendo recursos como treinamento ou verificação junto com eles.

Lembre-se de que, devido à extensão do alcance do HIPAA para parceiros comerciais de prestadores de planos de saúde, não são apenas os médicos e as seguradoras que precisam estar em conformidade com o HIPAA. Se você estiver vendendo produtos ou serviços para qualquer pessoa do setor de saúde, precisará garantir a seus clientes que suas ofertas estão em conformidade com a HIPAA. É por isso que todos, desde programadores de computador a provedores de serviços em nuvem, precisam estar cientes dos mandatos da HIPAA.

Treinamento HIPAA

Conseguir que os funcionários cumpram suas funções HIPAA é outro requisito que gerou todo um ecossistema de fornecedores. Há várias coisas que o treinamento de conformidade HIPAA deve cobrir. Primeiro, ele deve incluir uma visão geral do que é conformidade com a HIPAA e como ela se aplica às organizações. Deve também abranger as responsabilidades das entidades cobertas e associados comerciais. Este treinamento também deve explicar o que é classificado como informação protegida de saúde (IPS) e como lidar com as informações de pacientes menores de idade.

Uma vez que os fundamentos são cobertos, o treinamento de conformidade da HIPAA deve abordar as regras e regulamentações atuais da HIPAA para manter sua organização atualizada. Por fim a tecnologia entrará em ação e o treinamento de conformidade da HIPAA deve abranger o papel da tecnologia, ameaças à privacidade dos pacientes e políticas de senha.

Embora essas informações não estejam diretamente relacionadas à conformidade, também é importante para sua organização saber as consequências de não estar em conformidade com a HIPAA. Isso inclui os impactos nos negócios para a organização, tempo de prisão e taxas que podem ocorrer.

Outra consideração a ter em mente antes de iniciar o treinamento de conformidade da HIPAA é o estado da sua organização. Por exemplo, se você encontrou preocupações durante sua avaliação de risco ou lacunas de conhecimento em que os indivíduos poderiam se beneficiar do treinamento HIPAA, vale a pena gastar tempo em áreas específicas para colocar sua organização no ritmo.

Violação HIPAA

As violações da HIPAA podem vir à luz de várias maneiras. Idealmente, eles seriam detectados e retificados pelos processos de auditoria interna de uma organização. (Na verdade, a HIPAA exige auditorias e avaliações de risco precisamente por esse motivo.) Mas muitas vezes podem se tornar públicas de maneiras mais catastróficas para a organização — reveladas por um denunciante interno ou reclamação do cliente, por exemplo, ou farejadas por reguladores estaduais ou federais. (O Escritório de Direitos Civis do SSH é o principal aplicador dos regulamentos da HIPAA).

O HIPAA Journal fornece uma lista de vários tipos comuns de violações do HIPAA, com exemplos do mundo real, o que torna a leitura instrutiva. Muitos deles são bastante diretos — um sistema de saúde filmou pacientes sem seu consentimento, por exemplo, e outro divulgou a IPS de um paciente em um comunicado à imprensa. Existem também casos como a multa de US$ 16 milhões da Anthem por falha em proteger seus sistemas de maneira adequada após um ataque massivo.

Um pouco mais obscuras são as violações de “processo”dos regulamentos da HIPAA que vêm à tona apenas após uma violação de dados, ponto em que a punição por quebrar as regras da HIPAA é acumulada no topo da crise causada pelas consequências da violação. Por exemplo, um par de incidentes em 2013 — um laptop não criptografado de um médico em férias sendo roubado e uma planilha com os dados do paciente carregados em um servidor em nuvem não compatível — expôs o IPS de mais de 7.000 pacientes na Oregon Health and Science University (OHSU) . Em um acordo com a SSH, a OHSU pagou US$ 2,7 milhões em multas da HIPAA porque não havia implementado uma análise de risco em toda a empresa que pudesse ter evitado os dois incidentes.

Os riscos são muito altos, por isso você precisa ter certeza de fazer as coisas corretamente. Esteja preparado!

Informações obtidas/adaptadas de: https://www.csoonline.com/article/3602903/hipaa-explained-definition-compliance-and-violations.html#tk.rss_all