O que é conformidade com a HIPAA?

A HIPAA é uma lei federal que regulamenta a forma como determinadas organizações envolvidas na prestação de serviços de saúde tratam e protegem as informações de saúde.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Explicar o que é conformidade com a HIPAA
  • Entender por que a HIPAA é importante
  • Explorar recomendações para manter a conformidade com a HIPAA

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é HIPAA?

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA) é uma lei federal que regula como as informações de saúde são tratadas e protegidas. A HIPAA ajuda a garantir a proteção das informações de saúde exigindo controles de segurança para informações eletrônicas de saúde e impondo práticas de privacidade.

A HIPAA afeta dois tipos principais de organizações: "entidades cobertas", como provedores de saúde, planos de saúde e câmaras de compensação de saúde; e “associados de negócios” de entidades cobertas, como empresas de cobrança, fornecedores de registro eletrônico de saúde (RES), consultores ou provedores de TI.

O que são informações de saúde protegidas (PHI)?

Informações de Saúde Protegidas (PHI) são quaisquer informações de saúde individualmente identificáveis relacionadas à prestação de atendimento de saúde que entidades cobertas e associados de negócios criam, recebem, armazenam ou transmitem. PHI é um tipo de informação de identificação pessoal (PII), que são dados que podem ser usados para identificar um indivíduo.

Abaixo estão os campos de dados que podem ser PHI se processados por uma entidade coberta ou associado comercial e na medida em que os dados estejam associados à prestação de atendimento de saúde:

  • Nome
  • Endereço
  • Impressões digitais
  • Reconhecimento facial
  • Número de seguro social
  • Data de nascimento
  • Informações sobre seguro de saúde
  • Números de registros médicos
  • Números de contas
  • Endereços de IP
  • Registros de cobrança

Uma observação importante é que as PHIs podem ocorrer em várias formas, desde escritas até orais e dados eletrônicos.

Suponha que Michael vá a uma consulta com um clínico geral pela primeira vez, e o consultório do médico registre o nome e o endereço de Michael, pegue suas informações de seguro de saúde e solicite verbalmente seus registros médicos de seu médico anterior. Todos esses dados escritos e orais são considerados PHI e devem ser protegidos.

Agora suponha que Michael tenha uma consulta de telessaúde com esse mesmo médico na próxima semana. As informações sobre as atividades on-line de Michael que revelam detalhes sobre sua consulta de telessaúde também podem ser consideradas PHI, mesmo que sejam eletrônicas, em vez de informações escritas ou orais.

O que é regra de privacidade e regra de segurança da HIPAA?

A regra de privacidade da HIPAA exige que entidades cobertas e associados de negócios criem proteções e políticas de privacidade apropriadas para proteger as PHIs. Existem regulamentos rígidos sobre o que uma organização pode fazer com as PHIs sem o consentimento de um indivíduo, e a regra de privacidade concede aos indivíduos o direito de saber como seus dados estão sendo usados e/ou solicitar correções.

A regra de segurança da HIPAA exige salvaguardas administrativas, físicas e técnicas para lidar adequadamente com as PHIs eletronicamente, desde garantir o acesso seguro às instalações e o controle de dispositivos, designar equipes de segurança e implementar o treinamento da força de trabalho até a realização de análises de risco.

Por que a HIPAA é importante?

As regras de segurança e privacidade da HIPAA são importantes para garantir que as informações de saúde dos indivíduos sejam devidamente protegidas, permitindo o fluxo de informações de saúde necessárias para fornecer e promover atendimento de saúde de alta qualidade e proteger a saúde e o bem-estar do público. Essas regras são particularmente importantes dada a diversidade do mercado de saúde, a variedade de usos e divulgações que precisam ser abordadas e a entrada de novas tecnologias inovadoras no campo da saúde, incluindo telessaúde, terapia remota, registros eletrônicos de saúde, dispositivos baseados em monitoramento de saúde e atendimentos assistidos por IA. Em particular, cada uma dessas novas tecnologias inovadoras vem com seus próprios desafios exclusivos de segurança e privacidade que as organizações devem enfrentar de acordo com as regras de segurança e privacidade da HIPAA.

Quais são as violações de conformidade com a HIPAA mais comuns?

As violações da HIPAA podem resultar em penalidades substanciais e ações legais. Algumas das violações mais comuns incluem:

  • Violação de dados resultante de uma falha em proteger adequadamente as PHIs, como roubo de PHI para lucro ou ganho pessoal.
  • Acesso não autorizado, divulgação ou uso inadequado de dados de PHIs
  • Treinamento inadequado e deficiente dos funcionários que lidam com PHIs
  • Não notificar adequadamente as autoridades e os pessoas relevantes após uma violação de dados
  • Falta de proteções físicas, técnicas e administrativas necessárias

Imagine que o médico deixou o formulário do paciente com nome do Michael, data de nascimento, número do Seguro Social e questões médicas na sala de espera por 24 horas, onde poderia ser acessado por qualquer paciente ou membro da equipe.Em seguida, imagine que o médico fez o upload das informações de saúde do Michael em um portal on-line, que não era protegido por senha. Ambas as situações são exemplos de violações de conformidade com a HIPAA.

Quais são as multas para violações da HIPAA?

As multas por não conformidade com a HIPAA são significativas e podem variar de US$ 100 por violação a US$ 1,5 milhão por provisão anualmente. O Escritório de Direitos Civis (OCR) categoriza as violações da HIPAA com base na gravidade e na negligência intencional.

  • Nível I: Desconhece a violação. A entidade não tem conhecimento de sua não conformidade com os regulamentos da HIPAA, e as multas variam de US$ 100 a US$ 50 mil por violação, com a multa máxima de US$ 25.000 por ano.
  • Nível II: Causa razoável. A entidade defesa em profundidade não agiu com negligência intencional. As multas para violações de Nível II variam de US$ 1.000 a US$ 50 mil por instância, com uma multa máxima de US$ 100 mil por ano.
  • Nível III: Negligência intencional que é corrigida em até 30 dias após a descoberta. As multas podem variar de US$ 10 mil a US$ 50 mil por violação e podem chegar a um máximo de US$ 250 mil por ano.
  • Nível IV: Negligência intencional que não é corrigida em 30 dias. Como o nível mais severo, as multas para violações de Nível IV podem chegar a US$ 1,5 milhão por provisão a cada ano.

Como os provedores de nuvem mantêm a conformidade com a HIPAA?

Os provedores de nuvem devem firmar um contrato de associação comercial (BAA) compatível com a HIPAA com seus clientes para criar, receber, manter ou transmitir PHIs. Um BAA exige que o provedor de serviços em nuvem forneça proteções adequadas para PHIs e realize análises de risco para identificar possíveis vulnerabilidades. Ele também pode incluir instruções específicas sobre disponibilidade de dados, backups, recuperação de desastres e retenção de dados.

Os provedores de serviços de nuvem também são responsáveis por quaisquer divulgações não autorizadas de PHIs ou por falhas na proteção delas ou em notificar as autoridades relevantes sobre uma violação de dados.

Práticas recomendadas para conformidade com a HIPAA

Aqui estão seis recomendações para garantir a conformidade com a HIPAA:

  1. Identificar riscos exclusivos e criar políticas para gerenciar esses riscos, incluindo programas de treinamento e políticas de notificação de violação estabelecidas.
  2. Monitorar o uso de PHIs e minimizar o acesso a dados protegidos sempre que possível.
  3. Realizar análises de risco regulares e abrangentes, incluindo auditorias de segurança e conformidade.
  4. Criar proteções físicas e digitais, como proteção por senha, restrições de uso de dispositivos e mídia e controles de acesso.
  5. Incorporar proteções técnicas, como controles de auditoria, criptografia e políticas de autenticação.
  6. Implementar processos e infraestrutura de segurança para ajudar os fornecedores confiáveis a lidar adequadamente com as PHIs.

Como a Cloudflare ajuda as organizações a se adequarem à HIPAA?

A Cloudflare fornece serviços de segurança em nuvem para redes, aplicativos e empresas que podem auxiliar as organizações a atender aos rigorosos requisitos técnicos da regra de segurança da HIPAA e evitar divulgações acidentais ou uso indevido de PHIs em violação à regra de privacidade da HIPAA. Esses serviços incluem:

  • Cloudflare Zero Trust. O conjunto de produtos Zero Trust da Cloudflare inclui recursos de controle de acesso e prevenção contra perda de dados que permitem que as organizações restrinjam de forma granular o acesso a PHIs em sua rede e impeçam a divulgação não autorizada delas fora de sua rede.
  • Serviços de rede da Cloudflare. O conjunto de produtos de Serviços de rede da Cloudflare permite que as organizações estabeleçam um limite de rede seguro para sua organização em conformidade com a regra de segurança da HIPAA.
  • Serviços de aplicativos da Cloudflare. O conjunto de produtos de Serviços de aplicativos da Cloudflare oferece proteção robusta para sites e aplicativos de pacientes.

Os produtos da Cloudflare também cumprem os padrões de segurança e privacidade reconhecidos pelo setor, incluindo ISO 27001, ISO 27701, SOC 2 e o EU Cloud Code of Conduct. Embora a HIPAA não forneça validação formal de conformidade, a rede, a infraestrutura de gerenciamento e os processos da Cloudflare são consistentes com as regras de segurança e privacidade da HIPAA e regulamentos relacionados.

Saiba mais sobre a Cloudflare e a lei de privacidade dos EUA aqui.