This post is also available in: Português Español
Se no Brasil a LGPD ainda carrega um certo ar de novidade, em outros países algumas legislações já fizeram bodas de prata. É o caso da HIPAA dos Estados Unidos, que entrou em vigor no ano de 1996 e, desde então, define o padrão para proteção de dados confidenciais de pacientes. Ou seja, é voltada exclusivamente à área médica.
Em inglês, HIPAA significa Ato de Portabilidade e Responsabilidade dos Seguros de Saúde (Health Insurance Portability and Accountability Act). Assim, as empresas que lidam com Informações de Saúde Protegidas (PHI, na sigla em inglês) devem ter medidas de segurança física, de rede e de processo implementadas e segui-las para garantir a conformidade com o HIPAA.
Dessa maneira, devem atender à conformidade com a HIPAA qualquer empresa que forneça tratamento, pagamento e operações na área da saúde, bem como parceiros de negócios e qualquer um que tenha acesso às informações do paciente e forneça suporte ao tratamento, pagamento ou operações. Outras entidades, como subcontratados e quaisquer outros associados de negócios relacionados, também devem estar em conformidade.
De acordo com o Departamento de Saúde e Serviços Humanos dos EUA (HHS), as regras estabelecem padrões nacionais para a proteção de determinadas informações de saúde. Além disso, a regra estabelece um conjunto nacional de padrões de segurança para proteger informações de saúde específicas, que são mantidas ou transferidas em formato eletrônico.
Por isso, a HIPAA operacionaliza as proteções da Regra de Privacidade, abordando as salvaguardas técnicas e não técnicas que as entidades cobertas devem implementar para proteger as PHI eletrônicas dos indivíduos (e-PHI).
O HHS aponta que, à medida que os prestadores de serviços de saúde e outras entidades que lidam com PHI migram para operações informatizadas, a conformidade com a HIPAA vai se tornando cada vez mais importante. Da mesma forma, os planos de saúde oferecem acesso a sinistros, gestão de atendimento e aplicativos de autoatendimento. Embora todos esses métodos eletrônicos forneçam maior eficiência e mobilidade, eles também aumentam drasticamente os riscos de segurança enfrentados pelos dados de saúde.
Portanto, a legislação foi criada para proteger a privacidade das informações de saúde dos indivíduos, ao mesmo tempo em que permite que as entidades cobertas adotem novas tecnologias para melhorar a qualidade e a eficiência do atendimento ao paciente. As regras são flexíveis o suficiente para permitir que uma entidade coberta implemente políticas, procedimentos e tecnologias adequadas ao tamanho da instituição, estrutura organizacional e riscos para e-PHI de pacientes e consumidores.
Conformidade
O HHS exige proteções físicas e técnicas para empresas que armazenam dados confidenciais de pacientes. Essas proteções físicas incluem o acesso e o controle limitado das instalações com acesso autorizado no local, bem como políticas de uso e acesso a estações de trabalho e mídia eletrônica. Entram na lista também determinadas restrições para transferir, remover, descartar e reutilizar mídia eletrônica e ePHI.
Na mesma linha, as salvaguardas técnicas da HIPAA exigem controle de acesso, permitindo que apenas pessoal autorizado acesse ePHI. O controle de acesso contempla a utilização de IDs de usuário exclusivo, procedimentos de acesso de emergência, logoff automático e criptografia e descriptografia. As exigências também englobam relatórios de auditoria ou logs de rastreamento que registram a atividade em hardware e software.
Outras políticas técnicas para conformidade com a HIPAA tratam de controles de integridade ou medidas implementadas para confirmar que o ePHI não é alterado ou corrompido. A recuperação de incidentes de TI e o backup externo são componentes-chave que garantem que erros e falhas de mídia eletrônica sejam corrigidos rapidamente, para que as informações de saúde do paciente sejam recuperadas com precisão.
Uma proteção técnica final é a rede ou segurança de transmissão que garante que os hosts compatíveis com HIPAA protejam contra acesso não autorizado ao ePHI. Essa proteção aborda todos os métodos de transmissão de dados, incluindo e-mail, internet ou redes privadas, como uma nuvem privada.
Nesse contexto, para ajudar a garantir a conformidade com a HIPAA, o governo dos EUA aprovou uma lei complementar, a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), que aumenta as penalidades para organizações de saúde que violam as regras de privacidade e segurança da HIPAA. A Lei HITECH foi implementada devido ao desenvolvimento da tecnologia de saúde e ao aumento do uso, armazenamento e transmissão de informações eletrônicas no setor.
Proteção de dados
A necessidade de segurança de dados cresceu com o aumento do uso e compartilhamento de dados eletrônicos de pacientes. Hoje, o atendimento de alta qualidade exige que as organizações de saúde atendam a essa demanda acelerada, cumprindo as regulamentações da HIPAA e protegendo as PHI.
Ter uma estratégia de proteção de dados em vigor permite que as organizações de saúde garantam a segurança e disponibilidade de PHI para manter a confiança de profissionais e pacientes. Além disso, permite atender aos regulamentos HIPAA e HITECH para acesso, auditoria, controles de integridade, transmissão de dados e segurança de dispositivos – mantendo maior visibilidade e controle de dados confidenciais em toda a empresa.
As melhores soluções de proteção de dados reconhecem e protegem os dados do paciente em todas as formas, incluindo dados estruturados e não estruturados, e-mails, documentos e digitalizações, permitindo que os profissionais de saúde compartilhem dados com segurança para garantir o melhor atendimento possível ao paciente.
Assim, os pacientes confiam seus dados a organizações de saúde, e é dever dessas organizações zelar por tais informações.
Lei Geral de Proteção de Dados
A HIPAA ficou famosa por ser pioneira, trazendo orientações sobre privacidade específicas para o setor de saúde. Nos EUA, o sigilo entre médico e paciente sempre foi uma prioridade, e a informatização do país aconteceu muito antes do Brasil.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), traz orientações sobre privacidade de dados pessoais, sem fazer distinção entre os ramos de atividade.
Saiba mais sobre a LGPD clicando no link.
This post is also available in: Português Español
