Looking for a HIPAA summary or HIPAA 101 guide?Comece aqui.
Quando se trata de compreender o básico HIPAA, a tarefa pode parecer assustadora. Ler o regulamento significa classificar através do complexo legalês, e confiar em boatos pode levar a mais mal-entendidos do que esclarecimentos.
Foi por isso que reunimos este guia HIPAA 101 O Guia Básico. Você terá tudo o que precisa para entender com confiança a lei, em um guia de fácil leitura para ajudá-lo a entender a conformidade HIPAA.
O que é HIPAA?
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) é uma série de padrões nacionais que as organizações de saúde devem ter em vigor a fim de salvaguardar a privacidade e a segurança de informações de saúde protegidas (PHI). DCC é qualquer informação demográfica individualmente identificável que possa ser usada para identificar um paciente. Exemplos comuns de PHI incluem nomes, endereços, e-mails, números de telefone, fotos faciais completas,
Antes de começarmos, vamos olhar para algumas definições chave que se relacionam com o básico de HIPAA.
Existem dois tipos de organizações descritas no regulamento HIPAA, incluindo:
- Entidades Cobertas (EC): provedores de cuidados de saúde, planos de seguro de saúde, e câmaras de compensação de cuidados de saúde. As EC estão envolvidas na criação directa de PHI e devem estar em conformidade com toda a extensão do regulamento HIPAA.
- Business Associates (BA): Qualquer organização contratada por um CE (ou outro BA) que necessariamente encontrará PHI ao longo do trabalho que foi contratado para realizar. Exemplos comuns de BA incluem provedores de TI, empresas de gerenciamento de práticas, provedores de armazenamento físico, provedores de armazenamento em nuvem, criptografia de e-mail, backup de dados, e muitos outros. As BA não são obrigadas a cumprir com a Regra de Privacidade HIPAA na sua totalidade, mas devem cumprir com o resto das normas regulamentares aplicáveis.
Desde que foi promulgada pela primeira vez em 1996, a HIPAA passou por muitas mudanças, revisões e adições. Colectivamente, estas passaram a ser conhecidas como as Regras HIPAA. As Regras HIPAA incluem:
- Regra de Privacidade HIPAA: A Regra de Privacidade estabelece padrões nacionais para a privacidade, integridade e disponibilidade dos PHI. A Regra delineia salvaguardas que devem estar em vigor para assegurar que os DCC sejam mantidos privados. A Regra também estabelece diretrizes para os direitos dos pacientes para acessar seus registros médicos, além de usos, divulgações, e autorizações que as EC devem ter em vigor.
- HIPAA Security Rule: A Regra de Segurança estabelece padrões nacionais para manter a segurança dos PHI através de uma série de salvaguardas Técnicas, Físicas e Administrativas que as EC e BA devem implementar.
- Regra de Notificação de Infração HIPAA: A Regra de Notificação de Violação delineia os processos que as entidades detentoras da HIPAA devem seguir em caso de violação de dados. Dependendo do número de indivíduos afetados por uma determinada violação, há diferentes linhas de tempo e padrões de notificação que a Regra exige.
- Regra HIPAA Omnibus: A Regra Omnibus fez várias mudanças importantes na regulamentação HIPAA, especificamente no que diz respeito ao papel das AA. Desde que a Regra entrou em vigor pela primeira vez em 2013, as AA têm a obrigação regulamentar de se tornarem compatíveis com a norma HIPAA. Além disso, a Regra Omnibus estabelece regras mais rigorosas para a execução de Acordos de Associação de Empresas, que serão discutidas mais adiante nesta peça.
Agora que você tenha um senso para os fundamentos da conformidade HIPAA, vamos mergulhar no que é necessário para que sua prática cumpra efetivamente a lei.
Como tornar-se em conformidade com a HIPAA
Auditorias HIPAA
O primeiro passo em qualquer programa de conformidade eficaz é a execução de uma série de auditorias. Essas auditorias lhe darão uma linha de base de onde sua prática está de acordo com a lei HIPAA.
Não há uma lista pré-definida de auditorias que devem ser realizadas, porém essas auditorias devem ser executadas em todos os elementos de sua empresa para medir sua conformidade com as normas HIPAA. Cada Regra HIPAA é composta por muitas normas HIPAA, cada uma com as suas próprias especificações de implementação. Para auditar eficazmente o seu negócio, você deve usar estas normas HIPAA como base para as suas auditorias. Ao auditar sua empresa em relação às normas HIPAA, você terá uma noção de onde estão suas lacunas na conformidade, dessa forma você poderá corrigi-las mais tarde.
Planos de remediação
Após ter concluído suas auditorias e desenvolvido suas lacunas na conformidade HIPAA atual, então você pode começar a corrigir essas lacunas.
Planos de remediação devem ser abertos para cada lacuna que suas auditorias tenham descoberto. Estes devem ser totalmente documentados em um repositório central, com acesso limitado baseado em papéis, dependendo das partes envolvidas no processo de remediação. Cada plano de remediação deve atribuir responsabilidade a alguém de sua equipe para corrigir a lacuna, juntamente com itens de ação e um cronograma para a conclusão.
Como sua organização fecha cada lacuna, você deve documentar o processo até que todas as lacunas sejam fechadas.
Políticas, Procedimentos, Treinamento de Funcionários
Políticas e procedimentos são a pedra angular de um programa eficaz de conformidade HIPAA.
As organizações com HIPAA devem ter políticas e procedimentos que abordem cada padrão HIPAA. Eles devem criar processos uniformes em todas as partes da sua organização para lidar com as PHI e todas as outras especificações de implementação mandatadas pela HIPAA.
Apesar de que os padrões que cada política e procedimento devem abordar serão os mesmos para cada entidade HIPAA-beholden, a linguagem real das políticas e procedimentos deve ser adaptada às necessidades da sua organização. É por isso que encontrar uma solução como um aglutinante de políticas não é considerado uma solução eficaz para a conformidade com a HIPAA. Se as políticas implementadas pela sua organização não se aplicarem ao escopo do seu negócio, elas não serão capazes de protegê-lo no caso de uma violação da HIPAA.
Embora a sua organização tenha implementado políticas e procedimentos HIPAA, você deve assegurar que todos os funcionários tenham sido treinados sobre o seu conteúdo. E para documentar adequadamente que esse treinamento ocorreu, sua organização deve fazer com que todos os funcionários assinem um atestado dizendo que eles leram e entenderam o conteúdo de cada política. Estes atestados devem estar em vigor a fim de proteger a sua organização da responsabilidade no caso de um funcionário causar uma violação HIPAA em conflito com uma de suas políticas.
O treinamento dos funcionários deve ser executado anualmente. Qualquer novo funcionário que ingressar na sua organização deve ser treinado em políticas e procedimentos como parte do seu processo de integração.
BA/Gestão de Fornecedores
Um outro componente essencial da conformidade HIPAA é entender como proteger os PHI que estão sendo acessados pelos fornecedores. Como discutido acima, um BA é um fornecedor que você contrata e cujo trabalho implica necessariamente um encontro com PHI de qualquer tipo.
HIPAA determina que antes de qualquer PHI poder ser compartilhada, a sua organização deve executar um Acordo de Associado Comercial (BAA) com este fornecedor. Isto se aplica às relações entre EC e BA, além das relações entre um BA e outro (um BA de um BA é chamado de ‘subcontratado’ sob HIPAA).
BAAs DEVEM ser executados antes que qualquer PHI possa ser compartilhada. Um BAA eficaz deve declarar que:
- Arganização 1 reconhece que eles são devidos à HIPAA.
- BA da organização 1 reconhece que eles são devidos à HIPAA.
- A responsabilidade no caso de uma violação de dados pertence à parte responsável pela violação.