Saiba o que é a Lei HITECH - OSTEC | Segurança digital de resultados

This post is also available in: Português

Os temas envolvendo saúde e segurança digital nos Estados Unidos são tão relevantes naquele país que a HIPAA ganhou uma legislação para tornar as proteções ainda mais abrangentes. Trata-se da HITECH, que é a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica. Criada em 2009, surgiu para estimular a adoção de registros eletrônicos de saúde (EHR) e a tecnologia de suporte envolvida.

Nesse contexto, o Escritório do Coordenador Nacional (ONC) para Tecnologia da Informação em Saúde foi estabelecido dentro do Departamento de Saúde e Serviços Humanos (HHS). Assim, a HITECH deu ao ONC autoridade para gerenciar e estabelecer padrões para o programa de estímulo.

Além disso, estabeleceu subsídios para centros de treinamento com o intuito de apoiar novas infraestruturas de TI de saúde em organizações de saúde. E mais: criou um Comitê de Política de TI de Saúde para fazer recomendações ao chefe da ONC relacionadas à implementação de uma infraestrutura nacional de TI de saúde.

A criação da Lei HITECH e seus motivos

Além de estimular a adoção do EHR nos Estados Unidos, a Lei HITECH foi aprovada para expandir ainda mais as notificações de violação de dados e a proteção de informações de saúde protegidas eletrônicas (ePHI).

A HITECH também aumentou o número de penalidades por violações repetidas ou não corrigidas da HIPAA.

Dessa maneira, um dos principais impactos é que a taxa de adoção dos registros eletrônicos (EHR) em hospitais qualificados aumentou de 3,2% para 14,2% de 2008 a 2015 nos Estados Unidos. Antes, a taxa de adoção era baixa, com apenas 17% dos médicos adotando a tecnologia, de acordo com um relatório da revista especializada Health Affairs.

A Lei HITECH também expandiu as disposições de privacidade e segurança que foram incluídas na HIPAA, responsabilizando não apenas as organizações de saúde pela divulgação de violações, mas também seus parceiros de negócios e provedores de serviços.

HITECH versus HIPAA

As duas siglas representam um conjunto de leis separadas e não necessariamente relacionadas, mas que se reforçam em determinados pontos de vista. Por exemplo, a HITECH estipula que as tecnologias e padrões de tecnologia criados sob a HITECH não comprometerão as leis de privacidade e segurança da HIPAA.

A HITECH também exige que qualquer médico ou hospital que ateste o uso significativo tenha realizado uma avaliação de risco de segurança HIPAA conforme descrito na Regra Omnibus, ou a atualização digital de 2013 da lei original de 1996.

Outro exemplo: a HITECH determinou regras de notificação de violação de dados. Portanto, a atualização Omnibus da HIPAA ecoa essas regras e adiciona detalhes, como responsabilizar os parceiros de negócios dos provedores de assistência médica pela mesma responsabilidade por violações de dados dos próprios provedores.

Detalhamento da Lei HITECH

A Lei HITECH contém quatro grandes objetivos, também chamados de subtítulos:

Subtítulo A: Promoção da Tecnologia da Informação em Saúde. Está dividida em duas partes, com a primeira focada na melhoria da qualidade, segurança e eficiência dos cuidados de saúde. Enquanto isso, a segunda determina a aplicação e uso de padrões de tecnologia da informação em saúde e relatórios.
Subtítulo B: aborda os temas envolvendo os testes de tecnologia da informação em saúde.
Subtítulo C: trata do financiamento de subsídios e empréstimos
Subtítulo D: dedica-se à privacidade, e também é dividido em duas partes. A primeira engloba as disposições de privacidade e de segurança aprimoradas, enquanto a segunda trata da relação com outras leis, bem como referências regulamentares e relatórios.

A Lei HITECH instruiu o chefe do Escritório do Coordenador Nacional (ONC) a publicar os recursos necessários para atingir a meta de uso do EHR por todas as pessoas nos EUA. O ato também autorizou o ONC a impor uma taxa aos prestadores de serviços de saúde que adotam essa tecnologia certificada. Mas para isso o órgão deve disponibilizar uma tecnologia EHR certificada, por meio de codificação de código aberto.

Além disso, a HITECH estipulou que, a partir de 2011, os prestadores de serviços de saúde receberiam incentivos financeiros para demonstrar o uso significativo de EHRs até 2015. Depois disso, seriam aplicadas penalidades por não demonstrar tal uso.

Os provedores então puderam começar a usar os EHRs em 2014 e evitar multas, mas o pagamento de incentivo que eles estavam qualificados para receber era menor do que o dos adotantes anteriores.

A implantação do uso significativo acontece em três etapas, sendo que os provedores devem passar dois anos em cada estágio antes de passar para o próximo.

Como a adoção do estágio 2 tem sido lenta, os Centros de Serviços Medicare e Medicaid (CMS) anunciaram em meados de 2014 que adiariam o estágio 3 até 2017. O estágio 3 de uso significativo era uma opção para os provedores naquele ano, mas tornou-se obrigatório para todos os participantes em 2018. No entanto, vários grupos solicitaram que o estágio 3 fosse cancelado, ou pelo menos pausado até 2019, devido a preocupações com a prontidão do fornecedor e do fornecedor.

Nesse contexto, a MACRA (Medicare Access and CHIP Reauthorization Act) incluiu uma categoria chamada de Advancing Care Information, que efetivamente substituiu o uso significativo, mantendo certos aspectos do programa. Os profissionais de saúde ainda são obrigados a relatar as medidas de uso significativo do estágio 3, mas poderão escolher quais medidas são mais adequadas à sua prática.

Regra Final

O HITECH Act Enforcement Interim Final Rule entrou em vigor em 30 de novembro de 2009, e alterou uma seção do Social Security Act (SSA) para incluir as quatro categorias de violações do HITECH Act que tratam a respeito das responsabilidades de cada entidade.

A regra final também incorporou penalidades escalonadas correspondentes para violações, e revisou as limitações do secretário do HHS para impor penalidades por violações das regras da HIPAA.

Além disso, foi adicionada uma nova subseção no SSA sobre descumprimento devido a negligência intencional, exigindo que o HHS investigue quaisquer reclamações que indiquem que uma violação ocorreu devido a negligência intencional – e imponha penalidades a essas violações.

Nesse contexto, a lei HITECH exige que os associados de negócios cumpram a Regra de segurança HIPAA com relação a ePHI – e relatem eventuais violações. Os associados de negócios também devem cumprir os requisitos da Regra de Privacidade da HIPAA que se aplicam às entidades cobertas quando os associados atuam em nome dessas entidades.

De acordo com o HITECH Act, um parceiro de negócios é diretamente responsável por usos e divulgações de PHI que não estejam de acordo com as regras da HIPAA – ou seu contrato com uma entidade coberta. Assim, o que se vê são legislações diferentes que atuam de forma colaborativa, tudo em prol da segurança dos dados de todos os envolvidos.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

A criação da Lei HITECH e seus motivos

HITECH versus HIPAA

Detalhamento da Lei HITECH

Regra Final

O impacto causado pela distração digital na performance do seu time

Falsas atualizações do Windows infectam vítimas com ransomware Magniber

Cadastre-se em nossa newsletter