O que é HIPAA? Veja como garantir que você está em conformidade com a HIPAA

Publicados: 2023-01-23

Ninguém deve comprometer a saúde e a segurança, e é isso que a HIPAA garante.

O Health Insurance Portability and Accountability Act (HIPAA) foi promulgado em 1996 para fornecer aos pacientes um melhor acesso às suas informações de saúde e para regulamentar sua proteção. Ao longo dos anos, a HIPAA evoluiu para criar requisitos de notificação de violação de dados e determinar as entidades às quais se aplica.

Se você trabalha na área da saúde, as pessoas costumam falar sobre o HIPAA, mas o que é e como você pode atender aos seus requisitos?

O que é a Lei de Portabilidade e Responsabilidade do Seguro de Saúde?

O Health Insurance Portability and Accountability Act (HIPAA) descreve o uso adequado e a divulgação de informações de saúde protegidas (PHI), como elas devem ser protegidas e o que fazer em caso de violação. O Departamento de Saúde e Serviços Humanos (HHS) regula a HIPAA, enquanto o Escritório de Direitos Civis (OCR) impõe a conformidade.

Quando uma reclamação de não conformidade é registrada contra uma organização de assistência médica, o OCR investiga a organização para determinar se as alegações são verdadeiras. Se for descoberto que a organização violou o HIPAA, multas e ações corretivas podem ser impostas.

As três regras da Lei de Portabilidade e Responsabilidade de Seguro Saúde

O regulamento HIPAA consiste em três regras principais. As regras de notificação de violação, segurança e privacidade da HIPAA fornecem diretrizes para organizações de saúde compartilharem informações, proteger informações confidenciais de pacientes e responder e relatar uma violação.

Regra de privacidade da HIPAA

A regra de privacidade da HIPAA se concentra principalmente no uso e divulgação de informações de saúde protegidas. O uso e a divulgação de PHI são permitidos apenas por motivos específicos, como tratamento, pagamento e assistência médica. Qualquer outro uso ou divulgação requer consentimento prévio por escrito do paciente.

O padrão mínimo HIPAA também exige que o acesso a PHI seja restrito. O acesso ao PHI deve ser concedido apenas aos funcionários que precisam dele para o trabalho. Esse acesso também deve ser limitado às informações necessárias para o desempenho de suas funções.

Por exemplo, um assistente administrativo pode precisar acessar algumas informações do paciente para agendar uma consulta. Esse funcionário provavelmente precisaria saber o nome do paciente, contato, informações sobre o seguro e, em alguns casos, informações básicas sobre procedimentos para determinar a duração da consulta. Eles não precisarão acessar o arquivo completo do paciente.

Seu Aviso de Práticas de Privacidade (NPP) deve descrever claramente como sua organização usa e divulga as informações do paciente. Também deve discutir os direitos dos pacientes em relação às suas informações. Os pacientes devem receber um NPP para revisão após a ingestão.

Os direitos dos pacientes (direito de acesso HIPAA) também são abordados em detalhes na Regra de Privacidade. O padrão HIPAA de direito de acesso exige que os profissionais de saúde forneçam aos pacientes acesso aos seus registros médicos mediante solicitação. Os registros solicitados devem ser disponibilizados ao paciente em até 30 dias após a solicitação. Os pacientes também têm o direito de receber seus registros no formato solicitado quando aplicável.

Regra de segurança HIPAA

A regra de segurança da HIPAA exige que a confidencialidade, integridade e disponibilidade das PHI sejam mantidas. Essencialmente, isso significa que as organizações de saúde devem proteger a privacidade das PHI e impedir sua alteração ou destruição sem autorização. As proteções HIPAA ajudam a obter a segurança ideal dos dados.

Quais são as salvaguardas da HIPAA?

As proteções da HIPAA são medidas administrativas, técnicas e físicas tomadas para impedir o acesso, uso ou divulgação não autorizados de PHI.

Salvaguardas administrativas são políticas e procedimentos que fornecem aos funcionários diretrizes para o uso e divulgação adequados de PHI. Eles também descrevem os requisitos de avaliação de risco de segurança e treinamento HIPAA para os funcionários.

As salvaguardas técnicas são medidas para proteger as PHI eletrônicas (ePHI). Exemplos comuns de proteções técnicas incluem criptografia, autenticação de usuário, controles de acesso e controles de auditoria.

  • Criptografia: codifica os dados para que entidades não autorizadas não possam ler as informações.
  • Autenticação do usuário: fornece a cada usuário um ID de usuário exclusivo para acessar a rede da sua organização.
  • Controles de auditoria: permitem que os administradores monitorem facilmente atividades suspeitas em uma rede, como um usuário acessando uma rede de um local suspeito ou várias tentativas de login malsucedidas de um usuário individual.
  • Controles de acesso: permitem que os administradores designem diferentes níveis de acesso às informações do paciente com base na função do funcionário.

Proteções físicas, como fechaduras e sistemas de alarme, protegem a localização física de uma organização.

Regra de notificação de violação HIPAA

A Regra de Notificação de Violação da HIPAA exige que empresas cobertas e parceiros de negócios denunciem violações de PHI.

Nem todos os incidentes são violações. Exemplos comuns de violações incluem incidentes de hacking, acesso não autorizado a PHI, divulgação de PHI a uma parte não autorizada, roubo ou perda de registros em papel e roubo ou perda de dispositivos eletrônicos portáteis não criptografados.

Por exemplo, roubo ou perda de um laptop criptografado não é uma violação, pois as informações não podem ser acessadas. Se as informações no laptop não fossem seguras e se tornassem acessíveis a pessoas não autorizadas, seria uma violação.

Violações de dados de pacientes são de notificação obrigatória. A organização violada deve notificar os pacientes afetados por escrito dentro de 60 dias após a descoberta do incidente. As organizações também devem relatar a violação ao Departamento de Saúde e Serviços Humanos (HHS).

Se o incidente afetar menos de 500 pacientes, as organizações têm até sessenta dias após o final do ano civil para denunciá-lo ao HHS. Se o incidente afetar 500 ou mais pacientes, as organizações devem comunicá-lo ao HHS 30 dias após a descoberta. Violações que afetem 500 ou mais pacientes também devem ser denunciadas à mídia.

Quais informações o HIPAA protege?

A HIPAA protege as informações do paciente, conhecidas como Informações de Saúde Protegidas (PHI). PHI é definido como qualquer informação de saúde identificável individualmente associada à prestação de cuidados de saúde passada, presente ou futura.

Informações de saúde eletronicamente protegidas (ePHI) são PHI armazenadas em formato eletrônico, como em um laptop ou em uma plataforma de registros eletrônicos de saúde. A ePHI também deve ser protegida pela HIPAA.

18 identificadores HIPAA

O Departamento de Saúde e Serviços Humanos (HHS) classifica as informações de saúde protegidas em 18 identificadores exclusivos. Cada um dos 18 identificadores é considerado uma PHI se estiver associado à prestação de serviços de saúde.

18 identificadores HIPAA

Fonte: Grupo de Conformidade

A seguir estão os 18 identificadores HIPAA:

  1. Nomes dos pacientes
  2. Elementos geográficos, como endereço, cidade, município ou código postal
  3. Datas relacionadas à saúde ou identidade de indivíduos, incluindo datas de nascimento, data de admissão, data de alta, data de óbito ou idade exata de um paciente com mais de 89 anos
  4. Números de telefone
  5. números de fax
  6. Endereço de e-mail
  7. números de segurança social
  8. Números de registros médicos
  9. Números de beneficiários do seguro de saúde
  10. Números de conta
  11. Números de certificado ou licença
  12. Identificadores de veículos
  13. Atributos do dispositivo ou números de série
  14. Identificadores digitais, como URLs de sites
  15. endereços IP
  16. Elementos biométricos, incluindo dedo, retinal e impressões de voz
  17. Imagens fotográficas de rosto inteiro
  18. Outros números ou códigos de identificação

Quem precisa ser compatível com HIPAA?

Um equívoco comum é que a HIPAA se aplica quando informações de saúde são acessadas ou divulgadas. Embora a HIPAA restrinja o uso e a divulgação de PHI, a HIPAA se aplica apenas a organizações envolvidas em operações de tratamento, pagamento ou assistência médica. Essas organizações são chamadas de "entidades cobertas" e "associados de negócios".

Organizações com potencial para acessar PHI ou ePHI devem ser compatíveis com HIPAA.

Entidades cobertas

As entidades abrangidas incluem prestadores de cuidados de saúde, seguradoras e câmaras de compensação. Médicos, dentistas, profissionais de saúde mental, quiropráticos e provedores de seguros de saúde são entidades cobertas.

Parceiros de negócios

Parceiros de negócios são fornecedores contratados por uma entidade coberta que pode ter acesso a PHI. Plataformas de registros eletrônicos de saúde (EHR), provedores de serviços de e-mail, agendadores de consultas on-line e provedores de serviços gerenciados são exemplos comuns de parceiros de negócios.

Como ser compatível com HIPAA

A conformidade com a HIPAA envolve várias etapas. É mais um passe ou reprovação. Você está em conformidade ou não está. Você precisa atender aos requisitos de cada etapa para estar em conformidade com a HIPAA e concluir alguns desses requisitos anualmente.

conformidade com hipaa

Fonte: Grupo de Conformidade

Realizar avaliações de riscos de segurança, identificar lacunas e incorporar planos de correção

As avaliações de risco de segurança (SRAs) são essenciais para atender aos requisitos da HIPAA. Para estar em conformidade com a HIPAA, você deve concluir uma avaliação de riscos de segurança da HIPAA anualmente. Isso ocorre porque os SRAs medem suas proteções atuais contra os padrões HIPAA. Uma lacuna ocorre quando seu trabalho atual não é suficiente para atender aos padrões da HIPAA.

“Lacunas” são deficiências que podem resultar em violações da HIPAA. É aqui que os planos de remediação entram em jogo. Os planos de correção criam etapas acionáveis ​​para fechar as lacunas de conformidade. Para serem eficazes, os planos de remediação devem ser específicos, incluindo o que será feito para preencher a lacuna, quem é o responsável pela remediação e um cronograma para a remediação.

Implementar políticas e procedimentos

As políticas e os procedimentos devem ser elaborados tendo em mente as três regras da HIPAA. As políticas e procedimentos devem se adaptar ao tipo e tamanho de uma organização e ser revisados ​​e atualizados anualmente para serem eficazes.

Políticas e procedimentos descritos:

  • Os usos e divulgações adequados de PHI por sua organização e funcionários
  • Como sua organização protege as PHI
  • O que fazer em caso de violação ou suspeita de violação

No passado, as organizações usavam manuais HIPAA para suas políticas e procedimentos. No entanto, como os manuais HIPAA são prontos para uso, eles falham em abordar as nuances de como sua organização opera.

As políticas e procedimentos apropriados para uma pequena prática médica podem não ser eficazes para um grande grupo hospitalar, assim como as políticas e procedimentos escritos para uma entidade coberta podem não ser aplicáveis ​​a um parceiro de negócios.

Realizar treinamento HIPAA para funcionários

Funcionários com acesso potencial a PHI ou ePHI precisam ser treinados anualmente. O treinamento deve incluir práticas recomendadas da HIPAA, uma visão geral das políticas e procedimentos de sua organização e práticas recomendadas de segurança cibernética.

A HIPAA aconselha que os funcionários sejam treinados quando são contratados, portanto, realizar um curso de treinamento uma vez por ano não é suficiente. Um programa flexível de treinamento de funcionários da HIPAA é essencial para atender às necessidades de treinamento.

Usar uma ferramenta de treinamento online é a melhor maneira de conseguir isso. Com um programa de treinamento online, os funcionários podem receber treinamento quando necessário, concluí-los em seu próprio ritmo e os administradores podem acompanhar o progresso dos funcionários.

Dica: usar um programa de treinamento HIPAA independente pode ajudá-lo a atender a alguns requisitos de treinamento HIPAA, mas certifique-se de que os funcionários também sejam treinados nas políticas e procedimentos de sua organização.

Assine acordos de parceiros de negócios

Os acordos HIPAA de associados comerciais (HIPAA BAAs) são contratos legais que devem ser assinados entre uma entidade coberta e seu parceiro comercial (ou entre dois parceiros comerciais). HIPAA BAAs devem ser assinados antes de trocar PHI ou ePHI. Nem todo fornecedor deseja ou pode atuar como parceiro de negócios; se o provedor não assinar um BAA, ele não poderá cumprir nenhuma obrigação de associado comercial.

Digamos que você esteja procurando um agendador de consultas online que permita aos pacientes agendar suas próprias consultas. Você encontra um fornecedor que atende às suas necessidades administrativas, mas ele não quer assinar um contrato de afiliado. Você não pode contratar esse provedor para agendamento de pacientes até que ele assine um BAA.

Gerenciamento e resposta a incidentes

Parte da conformidade com a HIPAA está implementando um plano de resposta a incidentes testado. Você pode identificar, responder e relatar incidentes rapidamente com um plano de resposta a incidentes. As organizações com um plano de resposta a incidentes testado reduzem drasticamente o tempo necessário para se recuperar de um incidente e, ao mesmo tempo, reduzir seus custos.

Violações e multas da HIPAA

Embora muitas violações resultem em violações da HIPAA, a violação em si nunca é o motivo pelo qual uma empresa é multada. As violações da HIPAA ocorrem quando uma organização não cumpre os padrões da HIPAA. As multas da HIPAA podem ser impostas com base na gravidade da violação.

violações de hipaa

Fonte: Grupo de Conformidade

Exemplos comuns de violações da HIPAA incluem falha em:

  • Realize uma avaliação de risco precisa e completa
  • Fornecer aos pacientes acesso oportuno aos seus registros médicos
  • Responda adequadamente às avaliações on-line dos pacientes
  • Ter um contrato de associação comercial assinado com um parceiro comercial
  • Descarte corretamente os registros médicos do paciente

Então, quando uma organização seria multada por uma violação?

As multas da HIPAA são emitidas com base no nível de negligência percebida.

  • O nível 1 é para as infrações menos graves. As penalidades de Nível 1 são impostas quando ocorre uma violação da HIPAA porque uma entidade coberta ou um parceiro de negócios desconhecia a regra que violou. Para se qualificar como uma penalidade de Nível 1, a violação também deve ser uma violação que não poderia ter sido evitada se uma organização tivesse usado diligência razoável para cumprir a HIPAA. As multas nesse nível variam de US$ 120 a US$ 60.226 por violação.
  • As violações de Nível 2 ocorrem quando uma entidade coberta ou parceiro de negócios está ciente da violação cometida. Para se qualificar como uma violação de Nível 2, a violação é aquela que poderia ter sido evitada mesmo com um grau razoável de cuidado. As multas neste nível variam de $ 12.045 a $ 60.226 por violação.
  • As violações de Nível 3 são consideradas mais graves do que as de Nível 1 ou Nível 2 e estão sujeitas a multas mais caras. As violações de nível 3 decorrem da negligência intencional do HIPAA. Para ser considerada uma infratora de Nível 3, a organização deve saber que violou a HIPAA durante a devida diligência. Essas violações devem ser corrigidas dentro de 30 dias para se qualificarem como violações de Nível 3. As multas nesse nível variam de US$ 1.205 a US$ 12.045 por violação.
  • As violações de nível 4 envolvem negligência intencional das regras da HIPAA. O OCR impõe penalidades de Nível 4 quando a entidade ou parceiro de negócios coberto não tentou remediar a violação. As multas nesse nível variam de $ 60.226 a $ 1.806.757 por violação.

As organizações que violam o HIPAA geralmente estão sujeitas ao monitoramento de OCR e à ação corretiva. Os planos de ação corretiva são desenvolvidos pelo OCR após a conclusão das investigações de violação da HIPAA quando as organizações identificam deficiências. Eles são projetados para evitar outras violações e incidentes, alinhando o programa de conformidade da organização com os padrões HIPAA.

Fique em conformidade; fique seguro

A Lei de Portabilidade e Responsabilidade de Seguro de Saúde deve ser uma prioridade para qualquer organização envolvida em assistência médica (entidade coberta ou parceiro comercial). Simplificando, para trabalhar na área da saúde, você deve estar em conformidade com a HIPAA.

Sem o HIPAA, os dados do paciente ficam vulneráveis ​​ao uso e divulgação não autorizados. Quando ocorre uma violação, os pacientes não apenas perdem a confiança na capacidade de uma organização de proteger suas informações confidenciais, mas também podem resultar em violações da HIPAA e multas caras.

Ao implementar um programa de conformidade HIPAA eficaz que atenda a todos os padrões HIPAA, você melhora sua postura geral de segurança e reduz a probabilidade de violações.

Os pacientes agora estão mais conscientes da HIPAA e de seus direitos. A conformidade com a HIPAA dá a eles a tranquilidade de saber que podem confiar em você com suas informações confidenciais.

O gerenciamento de privacidade não termina com a obtenção de um tipo de conformidade. Saiba tudo sobre gerenciamento de privacidade de dados e como manter sua organização segura.