A Health Insurance Portability and Accountability Act (HIPAA) de 1996 é a lei federal que criou normas nacionais para proteger informação sensível de saúde dos pacientes contra a divulgação sem o conhecimento ou consentimento do paciente. Saiba mais sobre esta regulamentação dos EUA e descubra como cumprir.
A Health Insurance Portability and Accountability Act (HIPAA) tinha como objetivo principal resolver a cobertura do seguro para indivíduos que se encontravam entre empregos. Sem esta lei, os colaboradores teriam corrido o risco de perder a sua cobertura de seguro durante o período entre empregos.
Outro objetivo era assegurar que todos os dados estão devidamente protegidos e que nenhum indivíduo não autorizado pode aceder a dados de saúde.
A HIPAA aplica-se nos Estados Unidos e é regulada pelo Office for Civil Rights (OCR) do Department of Health and Human Services.
A HIPAA foi criada para modernizar o fluxo de informação de saúde e para garantir que a informação pessoal identificável recolhida em empresas de saúde e seguros é protegida contra fraude e roubo e não pode ser divulgada sem consentimento.
A informação de saúde dos pacientes é tratada com mais sensibilidade e pode ser rapidamente acedida por vários prestadores de cuidados de saúde. Os regulamentos da HIPAA exigem que os registos sejam mais bem protegidos contra fugas. O HIPAA Journal, uma excelente fonte de regulamentos e informação de conformidade da HIPAA, tem uma checklist abrangente para empresas durante o seu percurso para a conformidade.
Qualquer empresa ou indivíduo que trabalhe com Protected Health Information (PHI) tem de cumprir a HIPAA. A PHI é criada quando quaisquer dados de saúde são combinados com informação pessoal identificável, como por exemplo:
Quando a PHI é armazenada eletronicamente, chama-se ePHI.
Existem várias entidades que trabalham regularmente com Protected Health Information e, por isso, têm de seguir a Health Insurance Portability and Accountability Act:
A HIPAA é composta pelas seguintes regras:
HIPAA Privacy Rule
A Privacy Rule define como, quando e em que circunstâncias a PHI pode ser utilizada e divulgada. Sem o consentimento prévio do paciente, o uso de informação sobre o paciente é limitado. Os pacientes e os seus representantes podem obter uma cópia dos seus registos de saúde e solicitar correções em caso de erros.
HIPAA Security Rule
A Security Rule estabelece normas para proteger a ePHI. A Security Rule deve ser seguida por qualquer pessoa que trabalhe com ePHI. Os Security Officers e Privacy Officers devem realizar avaliações de risco e auditorias para identificar quaisquer ameaças à integridade da PHI.
Breach Notification Rule
O Department of Health and Human Services tem de ser notificado em caso de violação de dados, assim como os indivíduos afetados. Se forem afetados mais de quinhentos pacientes numa determinada jurisdição, deve ser emitido um comunicado à imprensa num órgão de comunicação social que cubra a área.
Omnibus Rule
A Omnibus Rule é parte do HITECH Act (Health Information Technology for Economic and Clinical Health Act) que entrou em vigor em 2009 e foi criada para incentivar o uso de registos eletrónicos de saúde por parte dos prestadores de cuidados de saúde.
A Omnibus Rule proíbe o uso de PHI para fins de marketing ou angariação de fundos sem autorização.
Enforcement Rule
A Enforcement Rule trata da determinação da coima adequada quando ocorre uma violação. A coima pode ser inferior em caso de negligência; no entanto, se a violação acontecer por negligência intencional, pode ser muito mais elevada.
No âmbito da HIPAA Privacy Rule, os indivíduos têm o direito legal de ver e receber cópias da informação médica.
Os indivíduos têm o direito de:
Embora os pacientes tenham o direito de aceder aos seus registos, alguns tipos de informação estão excluídos do direito de acesso. A informação seguinte está excluída:
A informação excluída é a seguinte:
Uma violação da HIPAA ocorre quando uma entidade abrangida pela HIPAA ou um parceiro de negócio não cumpre qualquer uma das HIPAA Rules. As sanções por violações da HIPAA são emitidas pelo Office for Civil Rights (OCR) do Department of Health and Human Services e pelos procuradores-gerais estaduais. A HIPAA usa quatro categorias de sanções:
A entidade abrangida ou o parceiro de negócio não sabia e não poderia razoavelmente saber que estava a violar a HIPAA; portanto, não poderia ter sido evitada. A sanção por violação é de 137 USD–68 928 USD com um limite anual de 2 067 813 USD por disposição idêntica violada.
A violação ocorreu devido a uma causa conhecida mas razoável, não por negligência intencional. A sanção por violação é de 1,41 USD–71 162 USD com um limite anual de 35 581 USD (segundo o critério de aplicação do OCR).
A violação resulta de negligência intencional, mas o problema foi corrigido prontamente (em 30 dias). A sanção por violação é de 14 232 USD – 71 162 USD com um limite anual de 355 808 USD.
A violação resulta de negligência intencional e permanece por corrigir para além de 30 dias. A sanção por violação é de 71 162 USD – 2 134 831 USD com um limite anual de 2 134 831 USD.
Manter registos não protegidos
Os colaboradores deixam documentos sensíveis nas suas secretárias ou não usam palavras-passe para aceder a dados digitais. Certifique-se de que o local de trabalho está seguro e que se usam palavras-passe na sua empresa.
Dados não encriptados
A encriptação dos seus dados não é obrigatória pela HIPAA, mas é altamente recomendada. Mesmo que os dados sejam divulgados, quando estão encriptados não podem ser acedidos sem autorização.
Hacking ou campanhas de phishing
Mantenha o seu software antivírus atualizado, mude regularmente as palavras-passe e use uma solução DLP para proteger os seus dados contra fugas.
Perda ou roubo de dispositivos
Dispositivos valiosos podem perder-se num piscar de olhos. Encripte os seus dados, para que, mesmo que um dispositivo se perca, ninguém não autorizado possa aceder a ele.
Partilha de PHI
Tenha sempre em mente que as pessoas gostam de falar. Muitas vezes, os colaboradores nem se apercebem de que têm partilhado informação sensível entre si. Eduque-os sobre o tratamento de dados sensíveis e certifique-se de que apenas indivíduos autorizados podem aceder aos dados.
Falta de formação dos colaboradores
Os colaboradores podem nem sequer aperceber-se de que têm trabalhado com PHI e a violação pode ser prejudicial tanto para a empresa como para os pacientes. Eduque-os regularmente e certifique-se de que percebem o que são a PHI e a HIPAA, bem como as consequências da violação.
Acesso não autorizado
Colaboradores que não estão autorizados a processar informação sensível podem ainda assim aceder a ela e consultar os documentos. Defina as políticas de segurança adequadas e certifique-se de que os seus colaboradores estão cientes delas.
Como pode ver acima, as violações resultam frequentemente de erros cometidos pelos colaboradores, seja porque perdem um dispositivo, clicam numa campanha de phishing ou simplesmente conversam com colegas sobre pacientes. As violações da HIPAA podem acontecer com facilidade. As ameaças internas podem ser involuntárias ou maliciosas. No entanto, 56 % dos incidentes de ameaças internas são causados por colaboradores negligentes.
E, segundo o Ponemon Institute, o custo total médio de uma violação de dados para empresas de saúde aumentou 29 %, atingindo 9,23 milhões USD. A saúde e a indústria farmacêutica estão entre os setores com os custos anuais mais elevados de ameaças internas, ultrapassando os 10 milhões USD por ano (Ponemon Institute, 2022).
Saiba mais sobre ameaças internas aqui.
Como a Safetica protege os seus dados para cumprir a HIPAA?
A Gyncentrum Clinic protege os dados sensíveis dos seus clientes com a Safetica. Saiba mais aqui.
O nosso pessoal, tanto administrativo como médico, tem acesso a dados sensíveis dos nossos pacientes diariamente. Estes incluem informação pessoal e médica, resultados de exames e avaliações psicológicas. Graças à Safetica, eu, como pessoa responsável pela proteção de dados na clínica, posso decidir quem tem acesso, como os dados são processados e se podem ser partilhados com terceiros ou não. As atividades dos colaboradores são reportadas e os dados dos pacientes protegidos.
Diz Paweł Czerwiński, proprietário da Gyncentrum.