O que são informações de saúde protegidas (PHI)?

Exemplos de informações de saúde protegidas

1. Informações de identificação pessoal (PII)

As informações pessoais identificáveis (PII) abrangem todos os dados que vinculam um paciente a identificadores pessoais, como dados demográficos, carteira de motorista e dados de seguro de saúde.

2. Informações pessoais de saúde (PHI)

PHI é um subconjunto de PII que se refere a informações especificamente compartilhadas com entidades da HIPAA. Isso pode incluir a correspondência entre um paciente e seu provedor, registros de faturamento, digitalizações de equipamentos de diagnóstico e resultados de exames.

Exemplos de identificadores de PHI

O HHS lista 18 identificadores específicos de PHI:

1. Nomes dos pacientes
2. Elementos geográficos (endereços, municípios, código postal)
3. Datas relacionadas à saúde ou à identidade dos indivíduos (datas de nascimento, data de admissão, data de alta, data de óbito)
4. Números de telefone
5. Números de fax
6. Endereços de e-mail
7. Números do seguro social
8. Números de registros médicos
9. Números de beneficiários de planos de saúde
10. Números de contas
11. Números de certificados/licenças
12. Identificadores de veículos
13. Atributos do dispositivo ou números de série
14. Identificadores digitais, como URLs de sites
15. Endereços IP
16. Elementos biométricos, incluindo impressões digitais, de retina e de voz
17. Imagens fotográficas de rosto inteiro
18. Outros números ou códigos de identificação

O que é ePHI?

O PHI eletrônico (ePHI) é simplesmente o PHI em formato eletrônico/digital. Isso pode ser um PDF de um relatório médico ou um banco de dados on-line do histórico médico de um paciente. O ePHI é especificamente mencionado na Regra de Segurança da HIPAA. Dentro da regra, há uma subseção dedicada aos dados eletrônicos de saúde.

Hoje, mais do que nunca, as informações dos pacientes são criadas, armazenadas e compartilhadas em formatos eletrônicos. Os provedores de serviços de saúde devem prestar muita atenção à proteção desses registros digitais de ponta a ponta no ecossistema de saúde.

A Regra de Segurança da HIPAA estabelece requisitos para proteger a confidencialidade, a integridade e a disponibilidade (conhecidas como a tríade CIA) de todos os ePHIs. Isso inclui a identificação e a proteção contra ameaças previstas à segurança e à proteção das informações digitais de saúde. Ela também permite que as entidades cobertas implementem sistemas, procedimentos e políticas destinados a garantir a conformidade com as diretrizes da HIPAA estabelecidas na Regra de Segurança.

Proteção de informações de saúde protegidas

A Regra de Segurança da HIPAA exige que as entidades cobertas tomem medidas específicas para demonstrar conformidade, garantindo assim a confiança entre pacientes e provedores quando se trata de proteger PHI e ePHI. Essas etapas se enquadram em três categorias:

• Salvaguardas administrativas
• Proteções físicas
• Salvaguardas técnicas

1. Salvaguardas administrativas

As proteções administrativas destinam-se a identificar e determinar os possíveis riscos para as PHI e a implementar medidas que reduzam os riscos e as vulnerabilidades de segurança. Eles também exigem que um funcionário de segurança desenvolva e implemente as regras e os procedimentos de segurança da entidade coberta.

Os provedores também são obrigados a avaliar regularmente se suas políticas de segurança atendem aos requisitos da Regra de Segurança da HIPAA.

2. Salvaguardas físicas

As proteções físicas abrangem questões como a limitação do acesso físico não autorizado às instalações e a permissão do acesso autorizado. As entidades cobertas também são obrigadas a implantar políticas e procedimentos que abranjam o manuseio adequado de dados armazenados eletronicamente e mídias eletrônicas que contenham PII e PHI.

3. Salvaguardas técnicas

As proteções técnicas são projetadas para garantir que somente pessoas devidamente autorizadas possam acessar registros digitais e outras informações eletrônicas. Isso abrange não apenas o hardware, o software e os serviços necessários para capturar, armazenar e gerenciar registros médicos e de saúde, mas também as credenciais de segurança e os procedimentos de autenticação que regem o acesso.

Eles também incluem criptografia e outras tecnologias projetadas para proteger contra acesso indevido a PHI e ePHI em uma rede digital.

O que é uma violação de PHI?

Nos últimos anos, o setor de saúde tem visto um aumento nos ataques cibernéticos direcionados às informações pessoais dos pacientes. Os agentes mal-intencionados usam táticas como ransomware e extorsão para obter pagamentos exorbitantes dos provedores - alguns até vendem registros de pacientes para quem der o maior lance.

As organizações do setor de saúde pagam, em média, US$ 1,41 milhão por resgate, de acordo com o Incident Response Report 2022da Unit 42. E uma violação de dados pode custar até US$ 10,10 milhões, de acordo com o relatório Cost of a data breach 2022 da IBM.

O que é considerado uma violação de PHI?

O HHS define amplamente uma violação de PHI como "um uso ou divulgação inadmissível de acordo com a Regra de Privacidade que compromete a segurança ou a privacidade das informações de saúde protegidas". Em um cenário do mundo real, isso pode incluir uma ampla gama de ações que resultam na exposição de PHI.

Por exemplo, os hackers que cometem fraudes no Medicare ou em outros golpes de seguro geralmente utilizam uma variedade de técnicas criadas para obter PHI. Ransomware, roubo de identidade, engenharia social, roubo de credenciais, phishing e malware são todos usados para comprometer dispositivos pessoais não criptografados ou mal protegidos.

De acordo com a HIPAA, há quatro elementos principais para uma violação de PHI:

1. A natureza e a extensão das PHI envolvidas, incluindo os tipos de identificadores e a probabilidade de reidentificação.
2. A pessoa não autorizada que usou as informações de saúde protegidas ou para quem a divulgação foi feita.
3. Se as informações de saúde protegidas foram realmente adquiridas ou visualizadas.
4. A extensão em que o risco para as informações de saúde protegidas foi mitigado.

Na maioria dos casos, as violações de PHI resultantes de ações não intencionais, e não maliciosas, não são consideradas violações da HIPAA. Recomenda-se fortemente que as entidades cobertas verifiquem com seus advogados e equipes de conformidade se a divulgação de PHI é uma violação da HIPAA ou de outras diretrizes de privacidade.

Paisagem em evolução: Tecnologias emergentes e segurança de PHI

O setor de saúde está passando por uma transformação dramática em muitas frentes, incluindo como, quando, onde e por que ocorre o provisionamento de saúde. Tendências como o aumento do atendimento remoto, o aumento do número de dispositivos médicos inteligentes (Internet das coisas médicas) e um ambiente de TI cada vez mais complexo e interconectado se combinaram para criar um cenário em rápida mudança.

Para manter as PHIs seguras, as organizações de saúde e seus parceiros/associados comerciais precisam de um parceiro experiente em segurança cibernética para projetar, criar, confiar e monitorar as operações de segurança cibernética em toda a empresa.

Ao avaliar possíveis parceiros de segurança cibernética, os diretores de segurança da informação e seus colegas devem exigir vários recursos importantes:

• Experiência em Zero Trust, que evita violações ao eliminar a confiança implícita.
• Experiência em uma gama completa de ferramentas de segurança cibernética, desde segurança de rede até SOC de última geração.
• Conhecimento dos procedimentos e estruturas de segurança multinuvem , especialmente para ambientes de nuvem híbrida e multinuvem.
• Acesso aos mais recentes e abrangentes serviços de inteligência de ameaças.

Saiba como a Palo Alto Networks é a líder em segurança cibernética escolhida por hospitais e sistemas de saúde em todo o mundo. Visite www.paloaltonetworks.com/healthcare.

Perguntas frequentes sobre informações de saúde protegidas (PHI)