Significado HIPAA
HIPAA é um acrónimo que significa Health Insurance Portability and Accountability Act.
Esta lei americana foi concebida para fornecer normas de privacidade para proteger os registos médicos dos pacientes. A informação sanitária que é fornecida aos planos de saúde, hospitais, prestadores de cuidados de saúde, e médicos, deve ser protegida pela HIPAA.
O que é a conformidade HIPAA?
O cumprimento da HIPAA (Health Insurance Portability and Accountability Act) adere às salvaguardas físicas, administrativas e técnicas delineadas na HIPAA.
Como se torna compatível com a HIPAA?
Há muitas coisas que precisam de ser alcançadas para se tornarem compatíveis com a HIPAA.
Desde promulgada pelo 104º Congresso dos Estados Unidos e assinada pelo Presidente Bill Clinton em 21 de Agosto de 1996, houve quatro emendas importantes:
- A Emenda à Regra de Segurança (2003)
- A Regra de Privacidade Amandement (2003)
- A Regra de Notificação de Violação (2009)
- A Regra Final Omnibus (2013)
HIPAA Compliance Checklist 2022: Regras HIPAA
Protecções Técnicas
- Criptografia de rede: Qualquer ePHI deve cumprir as normas criptográficas NIST sempre que for transmitida através de uma rede externa.
- Controlo/acesso ao registo: A cada utilizador deve ser atribuído um nome de utilizador e um código PIN únicos controlados centralmente. O registo detalhado é necessário para rastrear todos os acessos (e tentativas) de ePHI.
- Logoff automático: Os utilizadores devem ser desligados após um período de tempo específico que é recomendado entre 30 segundos e 3 minutos.
Protecções físicas
- Controlar o Acesso: Os indivíduos que têm acesso físico ao armazenamento de dados devem ser cuidadosamente seguidos. Devem ser tomadas medidas razoáveis para bloquear a entrada não autorizada.
- Gerir estações de trabalho: É necessário escrever uma política para delinear quais os postos de trabalho que podem ter acesso aos dados de saúde e quais os que são limitados. Deve descrever como um ecrã deve ser guardado contra as partes e a utilização apropriada da estação de trabalho.
- Proteger e seguir: Se um dispositivo móvel estiver a ser utilizado por um utilizador, então passado a outro utilizador, é necessário escrever uma política de dispositivo móvel que remova dados antes de um dispositivo ser dado a outro utilizador.
Protecções Administrativas
- Avaliações de risco: Deve ser completada uma avaliação exaustiva dos riscos para todos os dados de saúde.
- Pessoal ferroviário: Todos os funcionários devem ser formados em todos os protocolos de acesso ao ePHI e compreender como identificar e reconhecer potenciais ameaças de cibersegurança como ataques de phishing. Todas as sessões de formação devem ser registadas e mantidas.
- Construir Contingências: A continuidade contínua do negócio precisa de ser alcançada através da preparação de processos para manter os dados seguros.
- Acesso em bloco: Verificar se os subcontratantes e outras partes não tiveram acesso e não podem visualizar o ePHI. Os acordos comerciais devem ser assinados com todos os parceiros.
- Incidentes de Segurança de Documentos: Qualquer incidente de segurança tem de ser reconhecido pelo pessoal, e o pessoal tem de comunicar as ocorrências.
Regra de Privacidade HIPAA
- Responder aos pedidos: Os pedidos de acesso dos pacientes precisam de ser respondidos no prazo de 30 dias.
- Informar os Doentes: É necessária uma central nuclear para informar os doentes sobre as políticas de partilha de dados.
- Pessoal ferroviário: Todo o pessoal deve ser formado em privacidade e deve compreender o que pode e não pode ser partilhado interna ou externamente.
- ePHI Integridade: Devem ser tomadas medidas adequadas para manter a integridade do ePHI e os identificadores pessoais individuais dos pacientes.
- Permissão para utilizar o ePHI: A autorização deve ser concedida pelo paciente para utilizar o ePHI re-investigado para investigação ou comercialização.
- Actualizar Formulários/Cópia: Os formulários de autorização devem incluir referência a alterações no tratamento de imunizações escolares, restrição de ePHI no que diz respeito ao encerramento de planos de saúde, e direitos dos pacientes aos seus registos electrónicos.
Regra de Notificação de Violação da HIPAA
- Notificar os Doentes: Os pacientes e o departamento de HHS precisam de ser informados de qualquer violação do ePHI. Se mais de 500 registos de pessoas tiverem sido violados, os meios de comunicação devem ser notificados. Se a violação for inferior a 500, deve ser submetido um formulário de hack em pequena escala através do website do OCR. Todas as notificações devem ser completadas no prazo de 60 dias após terem sido descobertas.
- 4 Elementos: As mensagens de notificação de violação devem conter quatro elementos que incluem: Uma descrição do ePHI e dos identificadores pessoais envolvidos na violação, que obtiveram acesso não autorizado, onde os detalhes foram vistos ou obtidos, e o grau de sucesso da mitigação do risco.
Regra Omnibus HIPAA
- Actualizar BAA: Deve actualizar os seus Acordos de Associação Empresarial (BAA) para reflectir as mudanças da regra Omnibus.
- Enviar novas cópias: Novas cópias do BAA devem ser enviadas e assinadas para se manterem conformes.
- Actualizar a Política de Privacidade: As políticas de privacidade devem ser actualizadas para reflectir as alterações da regra Omnibus.
- Modernizar o NPPS: A revista HIPAA aconselha “As centrais nucleares devem ser actualizadas para cobrir os tipos de informação que requerem uma autorização, o direito de opt-out de correspondência para fins de angariação de fundos e devem ter em conta a nova violação dos requisitos notification”.
- Pessoal ferroviário: Todo o pessoal deve estar consciente da regra Omnibus conduzida através de uma formação completa.
Os serviços de saúde nos Estados Unidos têm alguns dos requisitos padrão mais rigorosos a nível mundial. A Informação Electrónica sobre Saúde dos Pacientes (ePHI) está protegida pela legislação introduzida na Lei de 1996 sobre Portabilidade e Responsabilização dos Seguros de Saúde (Health Insurance Portability and Accountability Act). A HIPAA e as subsequentes alterações à Regra de Segurança e à Regra de Privacidade decretam medidas de controlo estritas sobre o ePHI.
Subsequentemente, a legislação HIPAA exige que várias salvaguardas físicas, administrativas e técnicas sejam postas em prática antes do acolhimento do ePHI. Estas medidas resultaram na externalização de serviços de TI por muitos profissionais de saúde para fornecedores de alojamento compatíveis com a HIPAA, muitos com o objectivo de acelerar a transformação digital e melhorar as capacidades de colaboração VPS na nuvem.
Os cuidados de saúde e a computação VPS em nuvem têm uma sinergia dinâmica e um potencial verdadeiramente inovador. É possível que no passado uma legislação rigorosa tenha abrandado a aceitação dos serviços VPS na nuvem. Hoje, no entanto, a integração dos cuidados de saúde na nuvem está a crescer a um ritmo significativo.
O que deve procurar ao escolher o seu fornecedor de alojamento HIPAA? Aqui estão as nossas observações sobre a razão pela qual as organizações de saúde estão a transitar para a nuvem.
1. Segurança
A legislação HIPAA é a melhor prática em matéria de segurança. Todos os regulamentos têm o único objectivo de assegurar o ePHI. É a única razão pela qual a HIPAA existe. Os parceiros anfitriões têm o dever de fornecer infra-estruturas conformes, seguras e robustas.
O fornecedor de alojamento e terceiros no âmbito de aplicação devem celebrar um Acordo de Associação Comercial (BAA). Isto torna todas as partes responsáveis por compreender que sistemas e que localização geográfica os dados de ePHI são hospedados, transferidos e armazenados. Os dados do ePHI devem estar sempre seguros em trânsito e em repouso.
O acesso dos empregados é controlado, auditado e constantemente mantido utilizando o princípio do privilégio mínimo. Os controlos físicos do edifício são necessários para auditar o acesso de e para os centros de dados que acolhem o ePHI. Alguns fornecedores de alojamento VPS em nuvem levam a segurança para o nível seguinte, encriptando todos os dados HIPAA, mesmo que isto seja apenas uma recomendação da legislação.
Os administradores do fornecedor do Cloud VPS são responsáveis por actualizações de segurança, actualizações de firmware, e actividades de varrimento e correcção de vulnerabilidades. Um antivírus de grau empresarial actualizado é uma necessidade, bem como um Sistema de Prevenção de Intrusão (IPS) que regista, audita e automatiza respostas 24/7 a uma equipa de peritos em segurança.
Os profissionais de saúde podem consumir HIPAA security-as-a-service e ligar-se directamente à plataforma de segurança dos fornecedores de alojamento. Este é um enorme benefício para a organização de cuidados de saúde e uma das principais razões pelas quais a externalização para um fornecedor HIPAA é tão popular.
2. Continuidade dos negócios e recuperação em caso de catástrofe
A regra de Segurança HIPAA acrescentou uma série de requisitos detalhados para a continuidade dos negócios e o planeamento da recuperação de desastres. A regra exige o desenvolvimento de um processo a seguir no caso de um cenário de crise ou catástrofe.
Deve também ser implementado um plano de recuperação de dados. Este é um programa para fazer o backup e proteger sistemas que contenham ePHI. Isto é conseguido através de um calendário de backup pré-definido e capacidades de replicação previamente acordadas no BAA. Os dados são normalmente replicados para pelo menos um outro local do centro de dados.
É elaborado um Plano de Recuperação de Catástrofes (DRP) que cobre as responsabilidades técnicas e administrativas do fornecedor de alojamento. Isto inclui a capacidade de falhar em relação aos principais serviços empresariais para um local alternativo em caso de falha catastrófica, e a capacidade de recuperar e aceder a dados ePHI a partir de cópias de segurança.
Todo o planeamento de continuidade deve ser testado e revisto pelo menos uma vez por ano. Se não existir um plano antes de se juntar a um parceiro de acolhimento HIPAA, é necessária uma Análise de Impacto Empresarial que identifique e dê prioridade aos componentes TI críticos que estão no âmbito do plano.
A continuidade dos negócios e o planeamento da recuperação de desastres é essencial para a conformidade com a HIPAA, contudo as complexidades técnicas da criação de uma plataforma redundante e à prova de falhas é difícil de conseguir internamente. Esta é outra razão significativa pela qual a externalização é tão popular. Os parceiros de acolhimento da HIPAA já têm a infra-estrutura instalada, e as organizações de saúde simplesmente ligam-se ao serviço.
3. Colaboração
As aplicações reguladas HIPAA são concebidas para partilhar ePHI entre utilizadores autorizados e sistemas autorizados. A partilha de dados abre um enorme potencial para a colaboração. Esta capacidade acelera drasticamente o diagnóstico e proporciona aos profissionais médicos um ambiente de trabalho ágil e colaborativo.
A interoperabilidade dos dados e a computação em nuvem segura permitem às organizações de saúde manterem-se relevantes no local de trabalho moderno. Abre a porta a novas oportunidades de prestação de melhores cuidados aos pacientes. Várias equipas podem trabalhar simultaneamente nos mesmos projectos, as comunicações são melhoradas através de serviços de mensagens, comunicações de dados 5G, e conjuntos de ferramentas de colaboração.
As plataformas API permitem que as aplicações troquem dados e partilhem informações em segurança. Equipas em diferentes localizações geográficas podem colaborar remotamente. As aplicações médicas podem partilhar o ePHI para acelerar o processo de diagnóstico.
As equipas de apoio clínico beneficiam grandemente da partilha de informação médica. A partilha de imagens médicas, resultados de testes históricos, ou informação sobre a história da família melhora muito a qualidade dos cuidados de saúde. O equipamento médico pode ligar-se directamente aos serviços de nuvem e partilhar instantaneamente resultados médicos, fotografias de raios X, ou leituras de pulso dos pacientes.
Para além de todas estas capacidades, a Internet das Coisas combinada com a colaboração de dados pode ser utilizada para criar enormes conjuntos de dados. Estes dados podem ser esmagados por plataformas de Inteligência Artificial e Aprendizagem de Máquinas que procuram tendências e são capazes de analisar grandes volumes de dados em pouco tempo. Isto liberta o tempo dos médicos para tratar os pacientes em vez de peneirar através de pilhas de papelada.
4. Escalabilidade
Outro grande benefício proporcionado pelo alojamento HIPAA é a escalabilidade dos serviços de nuvem. Os hospitais, clínicas e práticas de saúde ingerem enormes quantidades de dados. Os dados são armazenados digitalmente numa plataforma segura que pode escalar e proteger a integridade dos dados.
Os grupos médicos estão a crescer em tamanho e o fornecedor de alojamento precisa de crescer consigo. Os planos de Cálculo e Rede podem ser actualizados com um impacto mínimo, e os recursos podem ser adicionados aos servidores com um clique de um botão.
Um exemplo é o alojamento de bases de dados. As bases de dados nativas das nuvens eliminam a complexidade da gestão de bases de dados e podem ser rápida e economicamente escaladas, muitas vezes a pedido.
O fornecedor de alojamento gere todo o serviço de nuvem, renunciando à necessidade de um departamento de TI no local para gerir e manter actualizações de sistemas ou bases de dados. O fornecedor é responsável pelo fornecimento de software, remendo de segurança e quaisquer problemas encontrados, ao mesmo tempo que alcança um acordo de nível de serviço a 100%.
5. Experiência
Um fornecedor de alojamento com vasta experiência na prestação de serviços de nuvem compatíveis com HIPAA pode ser a diferença entre uma migração de nuvens suave e bem sucedida, ou uma experiência difícil com uma curva de aprendizagem íngreme que não é ideal quando se considera a conformidade com HIPAA para start-ups. É altamente desejável escolher um parceiro de acolhimento que seja compatível com a HIPAA, uma organização que seja regularmente auditada e que publique os seus resultados auditados no sector público.
A experiência traz uma série de serviços chave à fruição. A conformidade é um factor extremamente importante. Procurar outras acreditações tais como as certificações SOC 2 TIPO II e SOC 3 TIPO II, e conformidade HITECH. Isto ajuda a garantir que o fornecedor de alojamento HIPAA foi auditado por um terceiro independente qualificado, e pode demonstrar o compromisso de fornecer a melhor segurança informática e um alojamento conforme.
Com um fornecedor experiente, é mais provável que consiga alcançar Acordos de Nível de Serviço (SLA), Tempo de Recuperação e Objectivos de Ponto de Recuperação líderes na indústria. Isto é extremamente vantajoso em cenários de catástrofe. O apoio técnico do fornecedor é também susceptível de ser significativamente melhorado se este tiver prestado serviços HIPAA durante um longo período de tempo.