A HIPAA é uma lei federal que regulamenta a forma como determinadas organizações envolvidas na prestação de serviços de saúde tratam e protegem as informações de saúde.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA) é uma lei federal que regula como as informações de saúde são tratadas e protegidas. A HIPAA ajuda a garantir a proteção das informações de saúde exigindo controles de segurança para informações eletrônicas de saúde e impondo práticas de privacidade.
A HIPAA afeta dois tipos principais de organizações: "entidades cobertas", como provedores de saúde, planos de saúde e câmaras de compensação de saúde; e “associados de negócios” de entidades cobertas, como empresas de cobrança, fornecedores de registro eletrônico de saúde (RES), consultores ou provedores de TI.
Informações de Saúde Protegidas (PHI) são quaisquer informações de saúde individualmente identificáveis relacionadas à prestação de atendimento de saúde que entidades cobertas e associados de negócios criam, recebem, armazenam ou transmitem. PHI é um tipo de informação de identificação pessoal (PII), que são dados que podem ser usados para identificar um indivíduo.
Abaixo estão os campos de dados que podem ser PHI se processados por uma entidade coberta ou associado comercial e na medida em que os dados estejam associados à prestação de atendimento de saúde:
Uma observação importante é que as PHIs podem ocorrer em várias formas, desde escritas até orais e dados eletrônicos.
Suponha que Michael vá a uma consulta com um clínico geral pela primeira vez, e o consultório do médico registre o nome e o endereço de Michael, pegue suas informações de seguro de saúde e solicite verbalmente seus registros médicos de seu médico anterior. Todos esses dados escritos e orais são considerados PHI e devem ser protegidos.
Agora suponha que Michael tenha uma consulta de telessaúde com esse mesmo médico na próxima semana. As informações sobre as atividades on-line de Michael que revelam detalhes sobre sua consulta de telessaúde também podem ser consideradas PHI, mesmo que sejam eletrônicas, em vez de informações escritas ou orais.
A regra de privacidade da HIPAA exige que entidades cobertas e associados de negócios criem proteções e políticas de privacidade apropriadas para proteger as PHIs. Existem regulamentos rígidos sobre o que uma organização pode fazer com as PHIs sem o consentimento de um indivíduo, e a regra de privacidade concede aos indivíduos o direito de saber como seus dados estão sendo usados e/ou solicitar correções.
A regra de segurança da HIPAA exige salvaguardas administrativas, físicas e técnicas para lidar adequadamente com as PHIs eletronicamente, desde garantir o acesso seguro às instalações e o controle de dispositivos, designar equipes de segurança e implementar o treinamento da força de trabalho até a realização de análises de risco.
As regras de segurança e privacidade da HIPAA são importantes para garantir que as informações de saúde dos indivíduos sejam devidamente protegidas, permitindo o fluxo de informações de saúde necessárias para fornecer e promover atendimento de saúde de alta qualidade e proteger a saúde e o bem-estar do público. Essas regras são particularmente importantes dada a diversidade do mercado de saúde, a variedade de usos e divulgações que precisam ser abordadas e a entrada de novas tecnologias inovadoras no campo da saúde, incluindo telessaúde, terapia remota, registros eletrônicos de saúde, dispositivos baseados em monitoramento de saúde e atendimentos assistidos por IA. Em particular, cada uma dessas novas tecnologias inovadoras vem com seus próprios desafios exclusivos de segurança e privacidade que as organizações devem enfrentar de acordo com as regras de segurança e privacidade da HIPAA.
As violações da HIPAA podem resultar em penalidades substanciais e ações legais. Algumas das violações mais comuns incluem:
Imagine que o médico deixou o formulário do paciente com nome do Michael, data de nascimento, número do Seguro Social e questões médicas na sala de espera por 24 horas, onde poderia ser acessado por qualquer paciente ou membro da equipe.Em seguida, imagine que o médico fez o upload das informações de saúde do Michael em um portal on-line, que não era protegido por senha. Ambas as situações são exemplos de violações de conformidade com a HIPAA.
As multas por não conformidade com a HIPAA são significativas e podem variar de US$ 100 por violação a US$ 1,5 milhão por provisão anualmente. O Escritório de Direitos Civis (OCR) categoriza as violações da HIPAA com base na gravidade e na negligência intencional.
Os provedores de nuvem devem firmar um contrato de associação comercial (BAA) compatível com a HIPAA com seus clientes para criar, receber, manter ou transmitir PHIs. Um BAA exige que o provedor de serviços em nuvem forneça proteções adequadas para PHIs e realize análises de risco para identificar possíveis vulnerabilidades. Ele também pode incluir instruções específicas sobre disponibilidade de dados, backups, recuperação de desastres e retenção de dados.
Os provedores de serviços de nuvem também são responsáveis por quaisquer divulgações não autorizadas de PHIs ou por falhas na proteção delas ou em notificar as autoridades relevantes sobre uma violação de dados.
Aqui estão seis recomendações para garantir a conformidade com a HIPAA:
A Cloudflare fornece serviços de segurança em nuvem para redes, aplicativos e empresas que podem auxiliar as organizações a atender aos rigorosos requisitos técnicos da regra de segurança da HIPAA e evitar divulgações acidentais ou uso indevido de PHIs em violação à regra de privacidade da HIPAA. Esses serviços incluem:
Os produtos da Cloudflare também cumprem os padrões de segurança e privacidade reconhecidos pelo setor, incluindo ISO 27001, ISO 27701, SOC 2 e o EU Cloud Code of Conduct. Embora a HIPAA não forneça validação formal de conformidade, a rede, a infraestrutura de gerenciamento e os processos da Cloudflare são consistentes com as regras de segurança e privacidade da HIPAA e regulamentos relacionados.
Saiba mais sobre as funções integradas de segurança, privacidade e conformidade de uma nuvem de conectividade.