História da HIPAA

Quando foi estabelecida a HIPAA?

Nossa lição de história HIPAA começa em 21 de agosto de 1996, quando a Lei de Portabilidade e Prestação de Contas do Seguro de Saúde (HIPAA) foi assinada em lei, mas por que foi criada a lei HIPAA? A HIPAA foi criada para “melhorar a portabilidade e a responsabilidade da cobertura do seguro de saúde” para os funcionários entre empregos. Outros objectivos da lei eram o combate ao desperdício, fraude e abuso nos seguros de saúde e na prestação de cuidados de saúde. A lei também continha passagens para promover o uso de contas poupança médicas, introduzindo incentivos fiscais, oferece cobertura para os funcionários com condições médicas preexistentes e simplifica a administração do seguro de saúde.

Os procedimentos para simplificar a administração do seguro de saúde tornou-se um veículo para incentivar a indústria da saúde a informatizar os registros médicos dos pacientes. Esta parte particular da Lei gerou a Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) em 2009, que por sua vez levou à introdução do programa de incentivo ao Uso Significativo – descrito pelos líderes da indústria da saúde como “a mais importante peça da legislação de saúde a ser aprovada nos últimos 20 a 30 anos”.

As Regras de Privacidade e Segurança da HIPAA tomam forma

Após a HIPAA ter sido aprovada por lei, o Departamento de Saúde e Serviços Humanos dos EUA iniciou a criação das primeiras Regras de Privacidade e Segurança da HIPAA. A Regra de Privacidade tinha uma data de cumprimento efectivo de 14 de Abril de 2003, e definiu Informação de Saúde Protegida (PHI) como “qualquer informação detida por uma entidade coberta que diga respeito ao estado de saúde, à prestação de cuidados de saúde, ou ao pagamento de cuidados de saúde que possam ser ligados a um indivíduo”.

Foram emitidas instruções sobre como as PHI devem ser divulgadas e que deve ser pedida permissão aos pacientes antes de usar a sua informação pessoal para marketing, angariação de fundos ou pesquisa. Também deu aos pacientes o direito de reter informações sobre seus cuidados de saúde dos provedores de planos de saúde quando seu tratamento é privado.

A Regra de Segurança HIPAA entrou em vigor dois anos após a legislação original, em 21 de abril de 2005. Lidando especificamente com os PHI armazenados eletronicamente (ePHI), a Regra de Segurança estabeleceu três salvaguardas de segurança – administrativa, física e técnica – que devem ser cumpridas na íntegra a fim de cumprir com a HIPAA. As salvaguardas tinham os seguintes objetivos:

  • Administrativos – para criar políticas e procedimentos destinados a mostrar claramente como a entidade irá cumprir com o ato.
  • Físico – para controlar o acesso físico a áreas de armazenamento de dados para proteger contra acesso inadequado
  • Técnico – para proteger comunicações contendo PHI quando transmitidas eletronicamente através de redes abertas

Quando a HIPAA se tornou efetiva?

Em que ano a HIPAA foi assinada? O HIPAA foi assinado em 21 de agosto de 1996, mas nos últimos 20 anos houve grandes acréscimos ao HIPAA: A introdução da Regra de Privacidade, Regra de Segurança, Regra de Notificação de Violação e a Regra Final Omnibus.

As datas efectivas mais importantes são: 14 de abril de 2003 para a Regra de Privacidade HIPAA, embora houvesse uma extensão de um ano para planos de saúde pequenos, que eram necessários para cumprir as disposições da Regra de Privacidade HIPAA até 14 de abril de 2004.

A data efetiva de cumprimento da Regra de Segurança HIPAA foi 21 de abril de 2005. Como foi o caso da Regra de Privacidade HIPAA, os pequenos planos de saúde receberam um ano adicional para cumprir as disposições da Regra de Segurança HIPAA e tiveram uma data de cumprimento efectivo de 21 de Abril de 2006.

A Regra de Notificação de Violação HIPAA tornou-se efectiva em 23 de Setembro de 2009 e a Regra Final Omnibus tornou-se efectiva em 26 de Março de 2013.

A Introdução da Regra de Execução

A falha de muitas entidades abrangidas no cumprimento integral das Regras de Privacidade e Segurança HIPAA resultou na introdução da Regra de Execução em Março de 2006. A Regra de Aplicação da Lei deu ao Departamento de Saúde e Serviços Humanos o poder de investigar queixas contra entidades cobertas por não cumprimento da Regra de Privacidade, e de multar entidades cobertas por violações evitáveis da ePHI devido ao não cumprimento das salvaguardas estabelecidas pela Regra de Segurança.

O Gabinete de Direitos Civis do Departamento também recebeu o poder de apresentar queixa criminal contra infractores persistentes que não introduziram medidas correctivas no prazo de 30 dias. Os indivíduos também têm o direito de prosseguir com ações civis legais contra a entidade coberta se suas informações pessoais de saúde tiverem sido reveladas sem sua permissão se isso os causar “danos graves”.

HITECH 2009 e a regra de Notificação de Violação

HIPAA história continuou em 2009 com a introdução da Health Information Technology for Economic and Clinical Health Act (HITECH). A HITECH tinha o objetivo principal de obrigar as autoridades de saúde a implementar o uso dos Registros Eletrônicos de Saúde (EHRs) e introduziu o programa de incentivo ao Uso Significativo. A primeira etapa do Programa de Uso Significativo foi implementada no ano seguinte, incentivando as organizações de saúde a manter as Informações de Saúde Protegidas dos pacientes em formato eletrônico, em vez de em arquivos em papel.

Com o programa de incentivo também veio uma extensão das Regras da HIPAA para os associados comerciais e fornecedores terceirizados do setor de saúde, e a introdução da Regra de Notificação de Violação – que estipulava que todas as violações da ePHI que afetam mais de 500 indivíduos devem ser relatadas ao Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis. Os critérios para relatar violações da ePHI foram posteriormente estendidos na Final Omnibus Rule de março de 2013.

A Final Omnibus Rule de 2013

A mais recente lei da história da HIPAA foi a Final Omnibus Rule de 2013. A regra mal introduziu qualquer nova legislação, mas preencheu lacunas nos regulamentos HIPAA e HITECH existentes – por exemplo, especificando os padrões de criptografia que precisam ser aplicados a fim de tornar o ePHI inutilizável, indecifrável e ilegível no caso de uma violação.

Muitas definições foram alteradas ou adicionadas para limpar áreas cinzentas – por exemplo, a definição de “força de trabalho” foi alterada para deixar claro que o termo inclui empregados, voluntários, estagiários e outras pessoas cuja conduta, no desempenho do trabalho para uma entidade coberta ou Associado de Negócios, está sob o controle direto da entidade coberta ou Associado de Negócios.

As Regras de Privacidade e Segurança também foram alteradas para permitir que as informações de saúde dos pacientes sejam mantidas indefinidamente (a legislação anterior estipulava que elas fossem mantidas por cinqüenta anos), enquanto novos procedimentos foram escritos na Regra de Notificação de Infração. Novas penalidades também foram aplicadas – como ditado pela HITECH – às entidades abrangidas que foram afetadas pela Regra de Notificação de Violação da HIPAA.

Alterações também foram incluídas para levar em conta as mudanças nas práticas de trabalho trazidas pelos avanços tecnológicos, abrangendo o uso de dispositivos móveis em particular. Um número significativo de profissionais da saúde está agora usando seus próprios dispositivos móveis para acessar e comunicar ePHI, e a Regra Final Omnibus incluiu novos procedimentos administrativos e políticas para contabilizar isso, e para cobrir cenários que não poderiam ter sido previstos em 1996. O texto completo da Regra Final Omnibus pode ser encontrado aqui.

Após vários atrasos, o prazo final para os Estados Unidos usarem o CID-10-CM de Modificação Clínica para codificação de diagnóstico e Sistema de Codificação de Procedimentos CID-10-PCA para a codificação de procedimentos hospitalares de internação foi finalmente estabelecido em 1 de outubro de 2015. Todas as entidades cobertas pelo HIPAA devem usar o CID-10-CM. Outro requisito é este da Versão EDI 5010.

Datas-chave na História do HIPAA

  • Agosto de 1996 – HIPAA Assinado em Lei pelo Presidente Bill Clinton.
  • Abril de 2003 – Data Efectiva da Regra de Privacidade do HIPAA.
  • Abril de 2005 – Data Efectiva da Regra de Segurança do HIPAA.
  • Março de 2006 – Data Efectiva da Regra de Aplicação da Violação da HIPAA.
  • Setembro de 2009 – Data Efectiva da HITECH e da Regra de Notificação da Violação.
  • Março de 2013 – Data Efectiva da Regra Final Omnibus.

Em determinadas circunstâncias, foi dado um período de tempo às EC e às AA para cumprirem as disposições de cada Regra. Por exemplo, embora a data efectiva da Regra Final Omnibus fosse Março de 2013, foi concedido às EC e às AA um período de 180 dias para cumprir. Outras datas-chave no Histórico HIPAA podem ser encontradas em nosso infográfico abaixo.

Consequências da Regra Final Omnibus

O que a Regra Final Omnibus alcançou mais do que qualquer legislação anterior foi tornar as entidades abrangidas mais conscientes das salvaguardas HIPAA a que tinham de aderir. Muitas organizações de saúde – que tinham violado a HIPAA há quase duas décadas – implementaram uma série de medidas para cumprir os regulamentos, tais como o uso de criptografia de dados em dispositivos portáteis e redes de computadores, a implementação de soluções seguras de mensagens para comunicações internas com equipes de atendimento, a instalação de filtros web e a tomada de mais cuidado para arquivar e-mails com segurança.

As penalidades financeiras agora sendo emitidas por violações de dados juntamente com os colossais custos de emissão de notificações de violação, fornecendo serviços de monitoramento de crédito e conduzindo a mitigação de danos faz com que o investimento em nova tecnologia para proteger os dados pareça barato em comparação.

O Programa de Auditoria de Conformidade da HIPAA

Em 2011, o Escritório de Direitos Civis iniciou uma série de auditorias piloto de conformidade para avaliar o quão bem os provedores de saúde estavam implementando as Regras de Privacidade e Segurança HIPAA. A primeira constatação de auditorias foi concluída em 2012 e destacou o terrível estado de conformidade dos cuidados de saúde.

As organizações auditadas registraram numerosas violações da Regra de Notificação de Violação, Regra de Privacidade e Regra de Segurança da HIPAA, sendo que esta última resultou no maior número de violações. O OCR emitiu planos de ação para ajudar essas organizações a alcançar a conformidade; entretanto, para a segunda rodada de auditorias não se espera que seja tão indulgente.

Auditorias devem visar as áreas específicas que se mostraram problemáticas para tantos prestadores de serviços de saúde, enquanto um plano de auditoria permanente está sendo planejado para garantir a conformidade contínua com a HIPAA. A era dos padrões de segurança laxistas já passou e a indústria da saúde, como a indústria financeira antes dela, deve elevar os padrões para garantir que os dados confidenciais permaneçam privados.

Uma entidade coberta que não implemente os controles necessários enfrenta penalidades financeiras, sanções, perda potencial de licença e até mesmo processos criminais por não conseguir garantir a ePHI.

Como Alcançar a Conformidade Total com a HIPAA

Nossa “Lista de Verificação de Conformidade com a HIPAA” abrange os elementos da Lei de Portabilidade e Responsabilização de Seguros de Saúde relativos ao armazenamento, transmissão e descarte de Informações de Saúde Protegidas eletrônicas, as ações que as organizações devem tomar em resposta a uma violação e as políticas e procedimentos que devem ser adotados para alcançar a conformidade total.

Os regulamentos da HIPAA podem ser rigorosos, mas as organizações cobertas têm alguma flexibilidade sobre as salvaguardas de privacidade e segurança usadas para proteger os dados. A criptografia de dados, por exemplo, deve ser abordada, mas não necessariamente implementada se outros controles oferecerem a proteção necessária.

Algumas das principais salvaguardas técnicas usadas para proteger e controlar o ePHI realmente ajudam a agilizar a comunicação e o fluxo de informações, e as organizações que adotaram canais de comunicação seguros e implementaram controles de dados se beneficiaram de maior eficiência, tempos de resposta mais rápidos e melhoraram os resultados dos pacientes, garantindo, ao mesmo tempo, que os dados de saúde dos pacientes permaneçam totalmente protegidos o tempo todo.

Salvas técnicas para proteger o ePHI e os identificadores pessoais

Criptografia de dados

O uso de computadores laptop e outros dispositivos móveis para armazenar ou acessar o ePHI inevitavelmente resulta em uma violação do HIPAA se esses dispositivos forem perdidos, roubados ou reciclados de forma inadequada. A proteção por senha dos dispositivos – e dos dados que eles contêm – é um passo razoável para evitar o acesso não autorizado, mas por si só é insuficiente para fornecer a proteção necessária para os dados de saúde. As senhas podem ser facilmente quebradas por hackers e não fornecem um nível suficientemente alto de segurança.

A criptografia de dados envolve a conversão de dados em símbolos indecifráveis – chamados de texto cifrado – por algoritmos complexos, que requerem uma chave de segurança para converter os dados de volta à sua forma original. A criptografia de dados garante a privacidade, mas pode oferecer outros benefícios de segurança, como verificação dos usuários, registro de acesso, prevenção de alterações de registros e não repúdio de acesso e/ou roubo.

O nível de segurança pode ser ajustado conforme apropriado, com base na sensibilidade dos dados que são usados para proteger. Os dados podem ser criptografados com uma única chave de segurança de acesso ou com chaves separadas para criptografia e descriptografia (criptografia de dados simétrica e assimétrica).

Se um dispositivo móvel for perdido ou roubado ou se as redes de computadores forem invadidas, enquanto isso será considerado uma violação de segurança, não será uma violação da HIPAA a menos que a chave de acesso também seja divulgada.

Secure Messaging

O setor de saúde e o pager parecem quase inseparáveis, mas isso está prestes a mudar. O foco na conformidade HIPAA está atualmente centrado nos Smartphones e na tecnologia wearable, mas o pager não é compatível com a HIPAA. Todos os dispositivos móveis transmitem dados através de redes não seguras e, portanto, dependem de que os usuários não enviem ePHI.

Esquemas BYOD foram agora introduzidos por muitos provedores de saúde, embora os dispositivos móveis modernos tenham um potencial ainda maior para causar violações HIPAA devido à facilidade com que identificadores pessoais e ePHI podem ser enviados. Políticas e procedimentos podem ser implementados para controlar como esses dispositivos são usados, embora pesquisas sugiram que, na prática, muitos profissionais médicos ainda estão usando os dispositivos para comunicar o ePHI.

Secure messaging solutions prevent this. Elas funcionam mantendo o ePHI em um banco de dados seguro e, em seguida, permitindo que os profissionais médicos autorizados acessem os dados através de aplicativos de mensagens seguras para download. As comunicações são canalizadas através de uma plataforma segura de mensagens que tem controles administrativos implementados para monitorar a atividade do pessoal autorizado. Eles também são responsáveis pela conformidade para produzir avaliações de risco, conforme exigido pela HIPAA e pelos auditores do Escritório de Direitos Civis.

Muitas organizações de saúde relataram que a implementação de soluções seguras de mensagens aumentou a produtividade ao simplificar as comunicações, aumentando a responsabilidade pelas mensagens e acelerando os tempos de resposta. De acordo com estudos realizados em instalações médicas em conformidade com HIPAA, a eficiência também aumentou, resultando em um padrão mais elevado de cuidados de saúde sendo entregue aos pacientes.

Armazenamento em nuvem em conformidade com a norma

A mudança dos registros físicos de saúde para formatos de dados eletrônicos exigiu um investimento considerável em infraestrutura de TI. As exigências colocadas às organizações de saúde para atualizar continuamente servidores e redes, e empregar a equipe para gerenciar os centros de dados, podem ser consideráveis. Além do hardware, o espaço deve ser dedicado ao armazenamento do equipamento e os controles físicos devem ser usados para controlar o acesso.

O equipamento de computador agora necessário para executar grandes redes e armazenar dados de saúde requer que sistemas de refrigeração sejam instalados para dissipar o calor que o equipamento gera. A solução mais econômica para muitos prestadores de serviços de saúde é terceirizar o armazenamento de dados e tirar proveito da nuvem para armazenar dados. O alojamento em nuvem compatível com HIPAA emprega os controlos adequados para proteger todos os dados armazenados com encriptação. Ao terceirizar, as organizações de saúde podem cumprir as normas HIPAA sem ter que investir tanto em infraestrutura de TI.

Plataformas móveis compatíveis (desenvolvimento de aplicativos)

Aplicações móveis de saúde são populares entre os pacientes para rastrear e monitorar a saúde e o condicionamento físico, e os dispositivos que podem ser usados têm potencial para revolucionar a saúde doméstica. Eles podem ser usados em conjunto com visitas eletrônicas para fornecer serviços de cuidados domiciliares aos pacientes em uma fração das visitas aos centros de saúde.

Portais para pacientes têm, de forma semelhante, grande potencial e melhoram a interação entre prestadores de cuidados e pacientes, além de reduzir custos desnecessários, ao mesmo tempo em que ajudam a melhorar os resultados dos pacientes. O desenvolvimento de frameworks de aplicativos móveis compatíveis com HIPAA, armazenamento compatível e soluções Web compatíveis com HIPAA significa que os provedores de serviços de saúde podem aproveitar os benefícios da nova tecnologia sem comprometer a privacidade e a segurança dos dados dos pacientes.

Outras salvaguardas técnicas para proteger ePHI e identificadores pessoais estão sem dúvida na fase de planejamento agora e terão impacto no histórico HIPAA no futuro. Entretanto, aqui está uma breve linha do tempo do histórico HIPAA.

Deixe uma resposta

O seu endereço de email não será publicado.