Tabela de conteúdo

O que são as regras de segurança da HIPAA?

Tabela de conteúdo

A Regra de Segurança da Lei de Portabilidade e Contabilidade de Seguros de Saúde (HIPAA) foi promulgada em 2005, nove anos após a aprovação da HIPAA pelo Congresso dos EUA. De acordo com o U.S. Department of Health and Human Services (Departamento de Saúde e Serviços Humanos dos EUA), a Regra de Segurança estabelece padrões nacionais para proteger as informações eletrônicas pessoais de saúde dos indivíduos criadas, recebidas, usadas ou mantidas por uma entidade coberta.

A Regra de Segurança é um subconjunto da Regra de Privacidade da HIPAA, que fornece padrões para a proteção de informações de saúde protegidas (PHI).

 

Por que a regra de segurança da HIPAA é importante?

Antes de a HIPAA ser promulgada, não havia padrões, requisitos ou processos para proteger as informações de saúde dos pacientes. À medida que a prestação de cuidados se tornava cada vez mais digitalizada, os provedores precisavam capturar, armazenar, compartilhar e proteger volumes cada vez maiores de dados eletrônicos de saúde em seus sistemas.

A Regra de Segurança foi um passo importante para proteger as informações digitais, o que é essencial para garantir a confidencialidade e estabelecer a confiança entre pacientes e provedores.

Vídeo 1: Segurança cibernética para o mundo em transformação do setor de saúde

Vídeo 1: Segurança cibernética para o mundo em transformação do setor de saúde

 

Visão geral da regra de segurança da HIPAA

A Regra de Segurança estabelece padrões para a proteção das PHI e das informações de identificação pessoal (PII) dos pacientes. Também cria uma estrutura de conformidade regulatória para proteger as PII e regras relativas à notificação dos indivíduos afetados no caso de uma violação.

Objetivo e escopo

De acordo com o HHS, a Regra de Segurança foi criada para garantir que as entidades cobertas estabeleçam as proteções necessárias para proteger os dados de saúde e as PII dos pacientes. Isso ocorre em resposta ao crescimento exponencial de PHI entre entidades cobertas e não cobertas.

O escopo da Regra de Segurança é bastante amplo, abrangendo planos de saúde, câmaras de compensação de saúde e qualquer prestador de serviços de saúde que transmita informações de saúde.

44 Objetivos principais

1. Garantir a confidencialidade do PHI eletrônico (ePHI).

À medida que mais dados de pacientes se tornam disponíveis em formatos digitais, proteger o ePHI é um requisito absoluto.

2. Identificar e proteger contra ameaças razoavelmente previstas.

Embora nem todas as ameaças cibernéticas possam ser identificadas com antecedência, as entidades cobertas são responsáveis por proteger as informações dos pacientes contra ameaças já em andamento.

3. Proteger contra usos ou divulgações não permitidos.

Isso é importante para os provedores porque abrange ferramentas tecnológicas, pessoas e processos.

4. Garantir a conformidade da força de trabalho da entidade coberta.

Todos os membros das entidades cobertas devem tomar as devidas precauções para garantir a privacidade e a segurança dos dados dos pacientes. Isso significa que as entidades cobertas precisam instruir os funcionários sobre os requisitos da Regra de Segurança e treiná-los para garantir a conformidade.

 

Requisitos da regra de segurança da HIPAA

A Regra de Segurança exige proteções administrativas, físicas e técnicas adequadas para garantir a confidencialidade, a integridade e a segurança das informações eletrônicas de saúde protegidas (PHI).

1. Salvaguardas administrativas

As proteções administrativas destinam-se a identificar e determinar os possíveis riscos para as PHI e a implementar medidas que reduzam os riscos e as vulnerabilidades de segurança. Eles também exigem que um funcionário de segurança desenvolva e implemente as regras e os procedimentos de segurança da entidade coberta. Os provedores também são obrigados a avaliar regularmente a eficácia do desempenho de suas diretrizes de segurança no cumprimento das diretrizes da Regra de Segurança da HIPAA.

2. Salvaguardas físicas

As proteções físicas abrangem questões como a limitação do acesso físico não autorizado às instalações, permitindo, ao mesmo tempo, que o acesso autorizado ocorra. As entidades cobertas também são obrigadas a implantar políticas e procedimentos que abranjam o manuseio adequado de dados armazenados eletronicamente e mídias eletrônicas que contenham PII e PHI.

3. Salvaguardas técnicas

As proteções técnicas são projetadas para implementar as políticas técnicas corretas que garantem que somente pessoas devidamente autorizadas possam acessar registros digitais e outras informações eletrônicas. Isso abrange não apenas o hardware, o software e os serviços necessários para capturar, armazenar e gerenciar registros médicos e de saúde, mas também as credenciais de segurança e os procedimentos de autenticação que regem o acesso.

Eles também incluem criptografia e outras tecnologias projetadas para proteger contra acesso indevido a PHI e ePHI em uma rede digital.

 

A regra de notificação de violação da HIPAA

O HHS define uma violação de dados como um uso ou divulgação inadmissível, de acordo com a Privacy Rule, que compromete a segurança ou a privacidade de PHI. A prevenção de violações é uma prioridade inquestionável para as organizações de prestação de cuidados de saúde por uma ampla gama de razões. Entretanto, caso ocorra uma violação, a Regra de Notificação de Violação da HIPAA exige que as entidades cobertas pela HIPAA e seus associados comerciais forneçam notificação após uma violação de PHI não segura.

No caso de uma violação de PHI não segura, as entidades cobertas devem notificar os indivíduos afetados sobre a violação. Essa notificação normalmente é feita por meio do envio de correspondência física ou, se o paciente tiver optado por receber correspondência da entidade coberta por mídia eletrônica, o alerta pode ser feito por e-mail.

As entidades cobertas também devem alertar o secretário do HHS sobre a violação e, em alguns casos, podem ter que notificar os meios de comunicação. Além disso, os associados comerciais terceirizados devem alertar os indivíduos afetados de forma semelhante se a violação ocorrer no ou pelo associado comercial.

 

Conformidade e aplicação da HIPAA

O HHS Office for Civil Rights supervisiona a conformidade e a aplicação da HIPAA para a maioria das entidades cobertas pela HIPAA. Por ser considerado um órgão de aplicação da lei, a maioria das atividades realizadas pelo Office of Civil Rights é privada e, normalmente, não é divulgada.

Os provisionamentos relacionados à conformidade fazem parte da HIPAA Enforcement Rule, que abrange investigações, possíveis penalidades monetárias civis por violações e procedimentos para audiências.

 

Práticas recomendadas para conformidade com a HIPAA

As entidades cobertas devem adotar práticas comerciais, tecnológicas e operacionais inteligentes para garantir que estejam sempre em total conformidade com a HIPAA. Isso deve abranger etapas como avaliação de riscos, monitoramento de atividades potencialmente incomuns do sistema, desenvolvimento de funções e responsabilidades claras e procedimentos de teste no caso de uma violação de dados de ePHI.

Obviamente, implementar as ferramentas, os aplicativos e os serviços tecnológicos corretos é fundamental para criar a estrutura adequada de conformidade com a HIPAA.

O HHS também fornece ferramentas valiosas para ajudar as entidades cobertas a entender as práticas recomendadas de conformidade com a HIPAA. O Office for Civil Rights produziu uma apresentação em vídeo para entidades cobertas pela HIPAA e associados comerciais sobre "práticas de segurança reconhecidas". Os tópicos incluem:

  • A emenda HITECH de 2021 referente às práticas de segurança reconhecidas
  • Como as entidades regulamentadas podem demonstrar que as práticas de segurança reconhecidas estão em vigor
  • Como o OCR está solicitando evidências de práticas de segurança reconhecidas
  • Recursos para obter informações sobre práticas de segurança reconhecidas
  • Respostas do OCR a perguntas sobre práticas de segurança reconhecidas
Apresentação em vídeo das práticas de segurança reconhecidas pelo OCR

Vídeo 2: Apresentação em vídeo das práticas de segurança reconhecidas pelo OCR

O treinamento interno com os funcionários - médicos, equipe médica, TI, segurança cibernética e todos os funcionários da linha de negócios - deve fazer parte de um regime regular para garantir que toda a organização tome as medidas certas para proteger ePHI e PII.

 

Tendências potenciais na regra de segurança da HIPAA

Desde que foi promulgada pela primeira vez, a HIPAA tem sido uma legislação dinâmica, passando regularmente por atualizações e expansões para refletir as mudanças no setor de saúde e seu uso crescente de tecnologia digital. Algumas das principais áreas que os tomadores de decisão das entidades cobertas devem compreender e levar em conta são:

1. Medidas de segurança cibernética reforçadas

Devido ao cenário de ameaças em constante evolução, as organizações de saúde devem implementar orçamentos, processos, conhecimentos e ferramentas para defender a organização contra ameaças que surgem rapidamente.

2. Tecnologias emergentes

Firewalls de próxima geração, ferramentas antiransomware, serviços de inteligência de ameaças, segurança em nuvem, gerenciamento de identidade, detecção e resposta gerenciadas, segurança de endpoint e segurança da Internet das coisas médicas (IoMT) são elementos essenciais de uma estrutura de tecnologia de segurança cibernética mais ampla.

3. Privacidade de dados e consentimento aprimorados

As organizações do setor de saúde estão cada vez mais encarregadas de cumprir normas mais rígidas de privacidade de dados e consentimento, como o Regulamento Geral de Proteção de Dados (GDPR) na UE e normas semelhantes atualmente em vigor nos EUA.

4. Gerenciamento de fornecedores terceirizados

Os associados comerciais - pessoas ou entidades que desempenham funções usando ou divulgando PHI em nome de uma entidade coberta - também devem cumprir a Regra de Segurança. Os provedores devem monitorar regular e rotineiramente como os associados comerciais e outros terceiros estão interagindo com PHI e PII e se estão seguindo as diretrizes apropriadas para o manuseio e a proteção desses dados.

5. Aumento da colaboração e do compartilhamento de informações.

Assim como as normas da HIPAA em geral, e a Regra de Segurança especificamente, estão em constante mudança, o mesmo acontece com as etapas necessárias para garantir a conformidade e a confidencialidade dos dados dos pacientes.

O aumento drástico no uso da prestação de serviços de saúde especializados significa que as informações dos pacientes estão sendo compartilhadas com maior frequência e com uma variedade maior de sistemas. Isso aumenta o potencial de violações e problemas regulatórios, levando as organizações a encontrar mais maneiras de colaborar para proteger os dados dos pacientes, especialmente nos processos interconectados de prestação de assistência médica.

A natureza diversificada da continuidade do atendimento - hospitais, instalações de atendimento agudo, atendimento de urgência, consultórios médicos, atendimento ambulatorial e telemedicina - significa que essa tendência de maior colaboração entre os provedores é especialmente crítica para a missão.

Saiba como a Palo Alto Networks é a líder em segurança cibernética escolhida por hospitais e sistemas de saúde em todo o mundo. Visite https://www.paloaltonetworks.com/industry/healthcare.

 

Perguntas frequentes sobre a regra de segurança da HIPAA

Os ataques cibernéticos às organizações de saúde ameaçam interromper as operações e afetar a privacidade dos pacientes. A Regra de Segurança da HIPAA garante que todos os hospitais e sistemas de saúde tenham um ambiente robusto de segurança cibernética que impeça o comprometimento de informações confidenciais.
A regra de segurança da HIPAA permite que as organizações escolham seus próprios fornecedores e soluções de segurança cibernética, portanto, cada abordagem será diferente. No entanto, sugerimos uma abordagem de ponta a ponta que proteja todo o seu ambiente, como a consolidação da segurança cibernética, que abrange todas as suas bases, incluindo redes, nuvens, endpoints, dispositivos e usuários.
A segurança cibernética é absolutamente essencial para a conformidade com a HIPAA. Porém, o mais importante é que uma abordagem robusta à segurança cibernética garante que não ocorram violações e interrupções, e que as organizações nunca precisem notificar as partes afetadas ou o HHS sobre uma violação.
Conteúdo relacionado
O que é segurança cibernética no setor de saúde?
O cenário de ameaças está mudando, e o setor de saúde é particularmente vulnerável. Aqui está tudo o que o senhor precisa saber sobre segurança cibernética no setor de saúde.
Segurança cibernética no setor de saúde: 3 Tendências a serem observadas em 2024
Do atendimento remoto aos dispositivos conectados, essas tendências de segurança cibernética estão moldando a transformação digital na área da saúde.
3 prioridades para a segurança cibernética no setor de saúde em 2024
Os CISOs do setor de saúde têm a oportunidade de transformar sua segurança cibernética e possibilitar a resiliência cibernética em 2024. Veja como fazer isso.
Transformação digital segura no setor de saúde
O setor de saúde está evoluindo, assim como os ataques cibernéticos. Proteja os dados dos pacientes e fique à frente das ameaças.
Avançar What Is Data Privacy Compliance?

Receba as últimas notícias, convites para eventos e alertas de ameaças