O que é conformidade com HIPAA e por que é importante?

Publicados: 2021-06-22

O que significa HIPAA?

O que é exatamente HIPAA e o que você, como empresa, precisa fazer para ficar do lado certo de seus regulamentos associados?

HIPAA significa a Lei de Portabilidade e Responsabilidade do Seguro de Saúde, que foi aprovada pelo Congresso em 1996.

A HIPAA foi desde então atualizada e construída, principalmente com o ato HITECH de 2009 (Tecnologia da Informação em Saúde para Saúde Econômica e Clínica) e a Regra Omnibus de 2013.

Juntos, eles estendem a responsabilidade para com os Parceiros de Negócios e seus subcontratados, bem como proteções mais rígidas sobre como as PHI podem ser usadas em relação a marketing e vendas.

Embora a HIPAA abranja várias áreas, incluindo cobertura de saúde para pessoas que perdem ou mudam de emprego e disposições relacionadas a impostos, nosso foco principal será o Título II da lei, que trata da troca, segurança e privacidade de dados de saúde e o que preocupa a grande maioria das empresas quando se trata de compliance.

Vamos direto ao assunto e ver tudo o que você precisa saber sobre HIPAA e quais são as chaves para o sucesso da conformidade com a HIPAA.

Impacto assine o banner do blog

Qual é o objetivo da HIPAA?

Como acabamos de observar, a HIPAA tem vários propósitos fora da proteção de dados – especificamente relacionados à reforma da lei de seguros de saúde.

Para a maioria das organizações que pesquisam a HIPAA, no entanto, seu objetivo principal é saber o que precisam fazer para permanecer em conformidade com seus regulamentos e evitar as multas decorrentes da não conformidade.

Esta área da HIPAA tem tudo a ver com proteção de dados e privacidade em relação à divulgação e uso de informações de saúde protegidas, ou PHI.

A conformidade com HIPAA e a segurança das PHI são essenciais para as organizações de saúde hoje.

Imagem do homem com a mão e a palavra HIPAA acima | O que é HIPAA?

Quem deve cumprir a HIPAA?

As entidades que precisam cumprir a conformidade com HIPAA são conhecidas como entidades cobertas.

As entidades cobertas são pessoas ou empresas que armazenam, manipulam e processam PHI.

As entidades abrangidas, além de se manterem em conformidade com a HIPAA, também são responsáveis ​​por relatar violações relacionadas a ela.

Os seguintes indivíduos e organizações constituem entidades cobertas:

Prestadores de cuidados de saúde

  • Médicos
  • Clínicas
  • Psicólogos
  • Dentistas
  • Quiropráticos
  • Asilo
  • Farmácias
  • Planos de Saúde

Companhias de Seguros de Saúde

  • HMOs
  • Planos de saúde da empresa
  • Planos de saúde fornecidos pelo governo

Câmaras de Saúde

  • São entidades que facilitam o processamento de informações de saúde não padronizadas em elementos de dados padrão. Estes são efetivamente intermediários entre prestadores de serviços de saúde e pagadores de seguros.

Parceiros de negócios

  • Um “parceiro de negócios” cria, recebe, mantém ou transmite informações de saúde protegidas (PHI) em nome de uma entidade coberta ou outro parceiro de negócios atuando como subcontratado.

Subcontratados

  • Um subcontratado que cria, mantém ou transmite informações de saúde protegidas (PHI) em nome de um parceiro de negócios tem as mesmas responsabilidades legais que um parceiro de negócios sob HIPAA. Em outras palavras, as responsabilidades legais relacionadas à privacidade e segurança fluem “a jusante” para os subcontratados que realizam trabalho para um parceiro de negócios.

Entidades híbridas

  • Uma entidade híbrida desempenha funções cobertas e não cobertas pela HIPAA como parte de seus negócios. Uma grande corporação que tenha um plano de saúde auto-segurado para seus funcionários pode optar por ser tratada como uma entidade híbrida. Outros exemplos são uma universidade com um centro médico ou uma mercearia que tenha uma farmácia.

O que o PHI abrange?

Informações pessoais de saúde (PHI) referem-se a qualquer informação demográfica que pode ser usada para identificar um paciente, cliente ou outra entidade.

São 18 identificadores que tornam as informações relativas à saúde consideradas PHI. Estes são:

  1. Nomes
  2. Datas, exceto ano
  3. Dados geográficos
  4. Números de fax
  5. Números de Previdência Social
  6. Endereço de e-mail
  7. Números do prontuário médico
  8. Números de conta
  9. Números de beneficiários do plano de saúde
  10. Números de certificado/licença
  11. Identificadores de veículos e números de série, incluindo números de placas
  12. Números de telefone
  13. URLs da Web
  14. Identificadores de dispositivo e números de série
  15. Endereços de protocolo de Internet (IP)
  16. Fotos de rosto inteiro e imagens comparáveis
  17. Identificadores biométricos (impressões digitais, por exemplo)
  18. Quaisquer números ou códigos que identifiquem exclusivamente alguém

Esses são os tipos de dados e informações que devem ser protegidos para permanecer em conformidade com HIPAA.

O que é considerado uma violação da HIPAA?

Uma violação da HIPAA ocorre quando a conformidade não é respeitada por uma entidade, e existem literalmente centenas de maneiras pelas quais indivíduos e organizações podem infringir a conformidade com a HIPAA.

As violações comuns da HIPAA normalmente envolvem um dos seguintes:

  • Divulgação não autorizada, inadmissível ou desnecessária de PHI
  • Acesso não autorizado de PHI
  • Descarte incorreto de PHI
  • Falta de avaliação de risco conduzida pela entidade
  • Falta de gerenciamento de risco em relação a PHI
  • Falha em estabelecer acordo de conformidade HIPAA com terceiros ao fornecer acesso a PHI
  • Falha em fornecer conscientização de segurança do treinamento HIPAA aos funcionários
  • roubo de PHI
  • Compartilhamento de PHI sem permissão prévia
  • Manuseio incorreto/envio injustificado de PHI
  • Falha em notificar o indivíduo sobre um incidente de segurança envolvendo PHI dentro de 60 dias da descoberta da violação
  • Nenhuma documentação de protocolos de conformidade, procedimentos e gerenciamento

O que acontece se a HIPAA for violada?

Uma violação da HIPAA ocorre quando qualquer aspecto das normas e disposições da HIPAA são violados.

Você pode encontrar um resumo completo de todos os regulamentos da HIPAA, publicados pelo Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis, aqui.

Se uma violação for relatada, a entidade coberta estará sujeita a penalidades, sejam elas civis ou criminais – as penalidades podem variar significativamente, dependendo da violação.

Normalmente, o Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA investigará violações – e investigará todas as entidades cobertas que relatam violações de mais de 500 registros.

Se o OCR determinar que um caso específico é criminal e não civil, ele o encaminhará ao Departamento de Justiça.

Na maioria dos casos, os indivíduos podem esperar pagar US$ 100 por violação; violações repetidas podem causar multas de até US$ 25.000.

Nos casos em que os indivíduos demonstraram negligência intencional dos regulamentos da HIPAA e não fizeram nenhuma tentativa de corrigir suas políticas e procedimentos, uma multa mínima de US$ 50.000 pode ser incorrida, até um máximo de US$ 1,5 milhão.

Em casos criminais, sentenças menores de US$ 50.000 e até um ano de prisão são possíveis – com uma multa de US$ 250.000 e até 10 anos de prisão sendo o máximo.

Para processos civis, as violações são categorizadas em níveis, sendo 4 o mais grave.

Eles são os seguintes:

  • Nível 1: Uma violação que a entidade coberta não tinha conhecimento e não poderia ter evitado.
  • Nível 2: Uma violação da qual a entidade coberta deveria estar ciente, mas não pôde evitar.
  • Nível 3: Uma violação que ocorreu como resultado direto de negligência intencional, mas onde foi feita uma tentativa de retificar a violação.
  • Nível 4: Uma violação que constitui negligência intencional onde nenhuma tentativa foi feita para corrigir a violação.

As penalidades por não conformidade com HIPAA para cada nível são as seguintes:

  • Nível 1: multa mínima de US$ 100 por violação até US$ 50.000
  • Nível 2: Multa mínima de US$ 1.000 por violação até US$ 50.000
  • Nível 3: Multa mínima de US$ 10.000 por violação até US$ 50.000
  • Nível 4: Multa mínima de $ 50.000

Os processos criminais são um pouco diferentes, com três níveis e punições muito mais severas do que os processos civis.

Eles são os seguintes:

  • Nível 1: causa razoável ou nenhum conhecimento de violação
  • Nível 2: Obtenção de PHI sob falsos pretextos
  • Nível 3: Obtenção de PHI para ganho pessoal ou com intenção maliciosa

Penalidades criminais:

  • Tier 1: Até um (1) ano de prisão
  • Nível 2: Até cinco (5) anos de prisão
  • Nível 3: até 10 anos de prisão

Imagem do homem com a mão e a palavra HIPAA acima | O que é HIPAA?

Posso ser certificado pela HIPAA?

No momento em que escrevo isso, não existe certificação ou verificação de conformidade com HIPAA.

Terceiros podem oferecer uma forma de “certificação HIPAA”, mas não há uma certificação oficialmente endossada ou obrigatória oferecida pelo HHS.

Não há padrão ou especificação de implementação que exija que uma entidade coberta “certifique” a conformidade. O padrão de avaliação § 164.308(a)(8) exige que as entidades cobertas realizem uma avaliação técnica e não técnica periódica que estabeleça até que ponto as políticas e procedimentos de segurança de uma entidade atendem aos requisitos de segurança. Escritório de Direitos Civis (OCR)

Portanto, embora não haja certificação HIPAA, muitos MSSPs de terceiros podem realizar avaliações periódicas quando necessário e garantir que você esteja em conformidade com a HIPAA.

O que é um oficial HIPAA?

Um oficial HIPAA é um oficial de conformidade.

Sejam eles próprios ou contratados como terceiros, seu trabalho principal será garantir sua conformidade com HIPAA, certificando-se de que seus protocolos de segurança e privacidade para dados PHI sejam aplicados corretamente.

Nos casos em que não houver tal política em vigor, o funcionário da HIPAA será responsável por desenvolver e implementar um plano de conformidade para o indivíduo ou organização.

Eles serão responsáveis ​​por manter e monitorar o programa, investigar e relatar quando legalmente necessário e garantir que os dados do paciente ou do cliente estejam sendo protegidos conforme exigido pelas leis estaduais e federais.

Qual é a chave para o sucesso da conformidade com HIPAA?

Se você está lendo este artigo (ou folheando) e sentiu seu pulso subir um pouco olhando para as penalidades por não conformidade, então não se preocupe.

Não é preciso muito para garantir que você esteja em conformidade com a HIPAA, mas certamente existem algumas chaves para o sucesso da conformidade com a HIPAA que as organizações fariam bem em seguir.

Primeiro, você deve procurar um provedor de serviços de segurança gerenciados que realize avaliações HIPAA para auditar seus sistemas quanto à conformidade com HIPAA.

Depois de realizar a avaliação de risco, eles poderão recomendar e realizar as implementações necessárias para garantir que você esteja fazendo todo o possível para manter a conformidade.

O que é uma avaliação de risco HIPAA?

Post relacionado: O que acontece durante uma auditoria de risco de segurança cibernética?

Uma auditoria de conformidade HIPAA é a avaliação realizada por um responsável pela conformidade que fará um mergulho profundo em seus sistemas e protocolos de segurança.

Primeiro, eles precisarão colaborar com você para determinar o escopo da auditoria – principalmente relacionada às suas obrigações (neste caso, a HIPAA é a principal prioridade, embora você também precise estar em conformidade com outros regulamentos).

Eles então elaborarão um cronograma para a auditoria e passarão para a próxima etapa; execução. Esta parte envolve verificação de vulnerabilidades, testes de penetração e uma análise de lacunas.

No caso de uma avaliação de risco para conformidade com a HIPAA, uma análise de lacunas será essencial, pois é aqui que o responsável pela conformidade da HIPAA detalhará o que precisa ser feito para que você ou sua empresa estejam em conformidade.

Assim que a auditoria de conformidade HIPAA for concluída, o responsável pela conformidade fará suas recomendações e você poderá obter uma compreensão clara do que precisa ser feito.

Você também pode aproveitar esta oportunidade para delegar a implementação dessas recomendações ao MSSP, caso em que você pode assinar um contrato de longo prazo com eles, permitindo que você continue e administre seus negócios enquanto o provedor de serviços de segurança gerenciado cuida da conformidade .

Se você quiser saber mais sobre a conformidade com HIPAA e o que um provedor de serviços de segurança gerenciada pode fazer por você, consulte nossa página de Serviços de conformidade.