O que são as regras de segurança e privacidade HIPAA?

Consequências da não conformidade

A HIPAA exige que as entidades cobertas, incluindo parceiros de negócios, estabeleçam proteções técnicas, físicas e administrativas para informações de saúde protegidas (PHI). Essas proteções destinam-se a proteger não apenas a privacidade, mas também a integridade e a acessibilidade dos dados.

O Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis (OCR) impõe violações não criminais da HIPAA. A não conformidade pode resultar em multas que variam entre US$ 100 e US$ 50.000 por violação “da mesma disposição” por ano civil.

Muitos acordos do OCR relacionados ao HIPAA resultaram em multas superiores a US$ 1 milhão. O maior acordo até setembro de 2016 foi de US$ 5,5 milhões, em prejuízo do Advocate Health Care, decorrente de várias violações que afetaram um total de 4 milhões de pessoas.

Além das penalidades civis, indivíduos e organizações podem ser responsabilizados criminalmente ao obter ou divulgar PHI com conhecimento de causa, sob falsos pretextos ou com a intenção de uso para ganho comercial ou fins maliciosos. As ofensas criminais de acordo com a HIPAA são da jurisdição do Departamento de Justiça dos EUA e podem resultar em até 10 anos de prisão, além de multas.

As regras de privacidade e segurança

A regra de privacidade da HIPAA estabelece padrões para proteger os registros médicos dos pacientes e outras PHI. Ela especifica quais direitos os pacientes têm sobre suas informações e exige que as entidades cobertas protejam essas informações. A Regra de Privacidade, essencialmente, trata de como as PHI podem ser usadas e divulgadas. Como um subconjunto da Regra de Privacidade, a Regra de Segurança se aplica especificamente a PHI eletrônicas, ou ePHI.

A regra de segurança exige as seguintes medidas de segurança:

Técnicas

Definida como a tecnologia e as políticas e procedimentos de uso da tecnologia que protegem coletivamente a ePHI e controlam o acesso a ela.

Os padrões de proteção técnica incluem:

• Acesso: refere-se à capacidade e aos meios de ler, gravar, modificar e comunicar os dados e inclui arquivos, sistemas e aplicativos. Os controles devem incluir identificadores exclusivos de usuário e logoffs automáticos, e podem incluir procedimentos de acesso em emergências, bem como criptografia de dados.
• Controles de auditoria: referem-se a mecanismos para registrar e examinar atividades relacionadas a ePHI nos sistemas de informação.
• Integridade: requer políticas e procedimentos para proteger os dados contra alteração ou destruição de maneira não autorizada.
• Autenticação: requer a verificação da identidade da entidade ou do indivíduo que busca acesso aos dados protegidos.

Físicas

Definidas como medidas físicas, políticas e procedimentos para proteger sistemas de informação eletrônica e equipamentos e edifícios relacionados contra riscos naturais/ambientais e intrusão não autorizada.

Os padrões de proteção física incluem:

• Controle de acesso às instalações: são políticas e procedimentos para limitar o acesso às instalações que hospedam sistemas de informação. Os controles podem incluir operações de contingência para restaurar dados perdidos, um plano de segurança da instalação, procedimentos para controlar e validar o acesso com base na função de uma pessoa e nas funções gerais e registros de manutenção de reparos e modificações na segurança da instalação.
• Uso de estações de trabalho: trata do uso comercial apropriado de estações de trabalho, que podem ser qualquer dispositivo de computação eletrônico, bem como mídias eletrônicas armazenadas no ambiente imediato. Por exemplo, a estação de trabalho que processa o faturamento do paciente pode ser usada somente sem outros programas em execução em segundo plano, como um navegador.
• Segurança de estação de trabalho: requer a implementação de proteções físicas para as estações de trabalho que acessam ePHI. Embora a regra de uso de estações de trabalho descreva como uma estação de trabalho contendo ePHI pode ser usada, o padrão de segurança da estação de trabalho determina como as estações de trabalho devem ser fisicamente protegidas contra acesso não autorizado, o que pode incluir manter a estação de trabalho em uma sala segura acessível somente por indivíduos autorizados.
• Controles de dispositivo e mídia: requer políticas e procedimentos para a remoção de hardware e mídia eletrônica contendo ePHI entrando e saindo das instalações e dentro das instalações. O padrão aborda o descarte e a reutilização de mídia, a manutenção de registros de todas as movimentações de mídia e o backup/armazenamento de dados.

Administrativas

Definidas como ações administrativas, políticas e procedimentos para gerenciar a seleção, o desenvolvimento, a implementação e a manutenção de medidas de segurança para proteger ePHI e gerenciar a conduta do funcionário relacionada à proteção de ePHI.

Mais da metade da Regra de Segurança da HIPAA se concentra em proteções administrativas. Os padrões incluem:

• Processo de gerenciamento de segurança: inclui políticas e procedimentos para prevenir, detectar, conter e corrigir violações. Uma parte crítica desse padrão é realizar uma análise de risco e implementar um plano de gerenciamento de risco.
• Responsabilidade de segurança atribuída: requer um funcionário de segurança designado responsável pelo desenvolvimento e implementação de políticas e procedimentos.
• Segurança da força de trabalho: refere-se a políticas e procedimentos que regem o acesso dos funcionários a ePHI, incluindo autorização, supervisão, liberação e exclusão.
• Gerenciamento de acesso a informações: concentra-se em restringir o acesso desnecessário e inadequado a ePHI.
• Treinamento e conscientização sobre segurança: requer a implementação de um programa de treinamento em conscientização sobre segurança para toda a força de trabalho da entidade coberta.
• Procedimentos para incidentes de segurança: incluem procedimentos para identificar os incidentes e informar às pessoas apropriadas. Um incidente de segurança é definido como “a tentativa ou o êxito de acesso, uso, divulgação, modifição ou destruição, sem autorização, de informações, ou interferência nas operações de um sistema em um sistema de informação”.
• Plano de contingência: requer planos para backup de dados, recuperação de desastres e operações em modo de emergência.
• Avaliação: requer a avaliação periódica dos planos e procedimentos de segurança implementados para garantir a conformidade contínua com a Regra de Segurança da HIPAA.
• Contratos comerciais e de associados: exige que todas as entidades cobertas tenham acordos ou contratos escritos em vigor para seus fornecedores, prestadores de serviços e outros associados de negócios que criam, recebem, mantêm ou transmitem ePHI em nome da entidade coberta pela HIPAA.

Garantindo a conformidade com a HIPAA

A HIPAA foi projetada para ser flexível e escalável para cada entidade coberta e à medida que a tecnologia evolui, em vez de ser prescritiva. Cada organização precisa determinar quais são as medidas de segurança razoáveis e apropriadas com base em seu próprio ambiente.

Embora algumas soluções possam ser caras, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA alerta que o custo não deve ser o único fator decisivo. O HHS enfatiza a realização de avaliações de risco e a implementação de planos para minimizar e gerenciar os riscos.

Embora a Regra de Segurança seja tecnologicamente neutra, o que significa que não requer um tipo específico de tecnologia de segurança, a criptografia é uma das práticas recomendadas. Um grande número de violações de dados HIPAA relatadas ao OCR resulta de roubo e perda de dispositivos não criptografados.

Nos últimos dois ou três anos, cada vez mais incidentes também resultaram de ataques cibernéticos. A criptografia de dados protegidos os torna inutilizáveis para terceiros não autorizados, independentemente de a violação ocorrer devido à perda ou roubo do dispositivo ou a um ataque cibernético. Observe que dados criptografados perdidos ou roubados não são considerados uma violação de dados e não precisam ser informados de acordo com a HIPAA.

À medida que as organizações migram para a nuvem, elas também devem considerar como o uso de serviços na nuvem afeta a conformidade com a Regra de Segurança da HIPAA e explorar soluções de segurança na nuvem de terceiros, como um CASB. Um serviço na nuvem que lida com ePHI é um sócio sob a HIPAA e, portanto, deve assinar um contrato comercial especificando a conformidade. No entanto, a devida diligência (e a responsabilidade final) recai sobre a entidade coberta, mesmo que um terceiro cause a violação de dados.

O OCR não apenas investiga violações relatadas, mas também implementou um programa de auditoria. Nos últimos anos, o número de acordos e as multas da HIPAA têm aumentado. As violações que resultaram em multas variam de infecções por malware e falta de firewalls a falhas na realização de avaliações de risco e na execução de contratos de associados de negócios adequados.

De acordo com o HIPAA Journal, a violação média de dados da HIPAA custa a uma organização US$ 5,9 milhões, excluindo qualquer multa aplicada pelo OCR. Embora as multas do OCR possam chegar a milhões de dólares, a não conformidade pode resultar em várias outras consequências, como perda de negócios, custos de notificação de violação e ações judiciais de indivíduos afetados, além de custos menos tangíveis, como danos à reputação da organização.