Para a maioria das organizações de saúde, proteger a privacidade do paciente é o aspecto mais importante da HIPAA, e o mais difícil. A HIPAA usa o termo Informação de Saúde Protegida (PHI) para se referir a dados protegidos, mas o conceito é muito semelhante ao termo Informação de Identificação Pessoal (PII), que é usado em outros regimes de conformidade. Entender como a sobreposição de IPI e DCC pode ajudar as organizações a unificar os esforços de conformidade entre regimes, reduzindo o risco, o custo e a complexidade de manter os dados seguros.
PHI vs. PII:
Como o nome implica, informação pessoalmente identificável é qualquer dado que possa identificar uma pessoa. Certas informações como nome completo, data de nascimento, endereço e dados biométricos são sempre consideradas PII. Outros dados, como nome, nome e sobrenome ou até mesmo altura ou peso só podem contar como PII em determinadas circunstâncias, ou quando combinados com outras informações.
Por exemplo, um registro que se referisse ao “Sr. Smith em Nova York” dificilmente conteria informações suficientes para revelar a identidade do sujeito. Se o paciente tivesse um nome menos comum e vivesse em uma cidade pequena, porém, provavelmente contaria como PII, pois seria fácil deduzir quem era o sujeito.
Embora não aborde explicitamente informações pessoalmente identificáveis, o HIPAA regula situações como esta sob o termo Informação Sanitária Protegida. PHI inclui qualquer coisa usada em um contexto médico que possa identificar pacientes, como:
- Nome
- Endereço
- Birthday
- Número do cartão de crédito
- Licença do condutor
- Registros médicos
PHI está sujeito a estrita confidencialidade e requisitos de divulgação que não se aplicam à maioria das outras indústrias nos Estados Unidos. Em outras palavras, proteger os PHI é sempre exigido legalmente, mas proteger os PII só é exigido em alguns casos.
Desenvolvendo uma Abordagem de Conformidade Unificada
Os Estados Unidos não é comum em não ter um único padrão de privacidade e proteção de dados ou entidade governamental. Em vez disso, as empresas americanas enfrentam leis específicas do setor, juntamente com regulamentos de conformidade municipais, estaduais e internacionais.
Embora isso permita que muitos setores usem os dados dos consumidores de forma mais ampla, também cria sérios riscos de conformidade. Por exemplo, como a Califórnia tem leis PII mais rígidas do que outros estados, uma empresa que rastreia legalmente usuários de Nevada quando eles visitam seu site poderia violar a conformidade se um californiano navegasse em.
Embora os requisitos PHI sejam rigorosos, uma lista de verificação de conformidade HIPAA não necessariamente tratará de PCI, leis de proteção de dados da UE e outras regulamentações. Ao invés de desenvolver programas individuais para cada regime, as organizações devem implementar as melhores práticas de segurança de IPI em toda a organização, depois iterar para cumprir as regras específicas do regime remanescente.
>
Auditoria de IPI: Desenvolvendo Segurança Pronta para Conformidade
A boa segurança começa com a identificação de IPI em toda a organização, seja em bancos de dados médicos, e-mail, backups ou no ambiente de TI de um parceiro. As IPI precisam então ser categorizadas por quanto dano uma violação poderia causar – uma medida conhecida como o nível de impacto da confidencialidade. O NIST recomenda considerar os seguintes fatores:
- Identifiabilidade: É fácil identificar de forma única o indivíduo usando o PII?
- Quantidade de PII: Quantas identidades poderiam ser comprometidas por uma violação? A forma como seus dados estão organizados é um fator. Por exemplo, uma clínica provavelmente teria mais PII em risco se compartilhasse um banco de dados com clínicas aliadas do que se mantivesse um banco de dados separado.
- Sensibilidade do campo de dados: Quantos danos os dados poderiam causar, se fossem violados? Um número de telefone é menos sensível do que um número de cartão de crédito ou de segurança social, por exemplo. No entanto, se uma violação do número de telefone provavelmente também comprometer o nome, SSN ou outros dados pessoais, esse número de telefone deve ser considerado sensível.
- Contexto de Uso: A forma como a informação é utilizada afecta o seu impacto? Por exemplo, imagine que o seu hospital tivesse uma newsletter opt-in para pacientes, médicos, organizações e outros membros da comunidade. Uma lista de assinantes da newsletter conteria o PII de alguns pacientes, mas essa informação seria menos sensível do que o mesmo PII nos registros médicos dos pacientes, já que não indicaria necessariamente o status do paciente.
- Obrigações de Proteger a Confidencialidade: Que informações são necessárias para proteger nos regimes HIPAA, HITECH, PCI e outros regimes? Esta é obviamente uma consideração fundamental para as organizações de saúde.
- Acesso e Localização das IPI: As informações pessoalmente identificáveis que a HIPAA governa são frequentemente armazenadas, transportadas e processadas por serviços de TI de terceiros, acessadas fora do local por profissionais médicos que não são funcionários da organização e processadas por uma variedade de associados comerciais. Isso cria riscos que não estariam presentes, por exemplo, se as IPI estivessem fechadas em um cofre e só pudessem ser acessadas por um médico.
Implementando as Melhores Práticas de Segurança das IPI
Todos os dados que você armazena são potencialmente vulneráveis. Coletar menos dados e purgar PII desnecessários de seus registros é a maneira mais fácil de reduzir essa vulnerabilidade. Você também deve desidentificar os dados sempre que possível. Quando feito corretamente, medidas como a anonimização do feedback do paciente e a remoção ou a memorização de Dados de Identificação Pessoal podem tirar esses dados do escopo do HIPAA inteiramente.
Controle de acesso é outra valiosa melhor prática de segurança de Dados de Identificação Pessoal. Informações sensíveis só devem ser acessíveis por pessoas que precisam delas para fazer o seu trabalho. Por exemplo, pessoal da recepção que não lida com faturamento, não precisa ter acesso a registros médicos completos.
Em qualquer regime de conformidade, todas as informações sensíveis devem ser criptografadas por padrão. O e-mail compatível com HIPAA e o armazenamento em nuvem criptografado previne que os hackers decifrem PII, mesmo que eles o interceptem.
Políticas explícitas e treinamentos regulares podem ajudar a garantir que seus trabalhadores usem e-mail e armazenamento seguros, mas conseguir que os pacientes usem criptografia de e-mail é mais complicado. Muitos não gostam da inconveniência dos portais de saúde, levando a taxas de adoção muito baixas. Virtru Pro permite que os pacientes usem suas próprias contas de e-mail e criptografem mensagens e anexos com um único clique, removendo os inconvenientes que impedem o uso significativo.
Além da Informação de Identificação Pessoal – HIPAA Business Associates
HIPAAA vai além das melhores práticas de segurança PII em seus requisitos para organizações parceiras. Sob a regra de privacidade da HIPAA, os prestadores de cuidados de saúde têm responsabilidade legal considerável por violações causadas por associados comerciais.
Serviços em nuvem, empreiteiros, processadores de reclamações médicas e a maioria das outras organizações que usam, armazenam ou processam PHI, todos contam como associados comerciais. Você precisa assinar Acordos de Associados Comerciais (BAAs) com cada uma dessas organizações, descrevendo:
- O uso apropriado de PHI
- Proteções para proteger violações
- Passos para remediar violações e violações
- Procedimentos de notificação de violação
A sua organização deve avaliar cuidadosamente os associados comerciais para assegurar que eles sejam realmente capazes de cumprir a sua parte do acordo. As organizações devem ter políticas e práticas de segurança de dados claramente documentadas antes de assinar um BAA, e devem submeter-se voluntariamente a auditorias regulares para garantir a conformidade.
Além das Informações de Identificação Pessoal – Avisos e Notificações HIPAA
HIPAAA também tem requisitos rigorosos sobre como as informações de saúde podem ser usadas e divulgadas, e requer que um aviso de práticas de privacidade seja fornecido ao paciente. O aviso de privacidade deve cobrir uma série de informações, incluindo:
- Como a organização pode usar e divulgar as informações do paciente
- Os direitos do paciente
- O dever da organização de proteger as informações, e outros deveres legais
- Quem o paciente deve contatar para obter mais informações
HIPAAA também tem regras específicas para notificação de violação. De acordo com as melhores práticas de conformidade HIPAA, as organizações devem notificar qualquer pessoa cujos dados tenham sido comprometidos dentro de 60 dias após a violação. Certificar-se de que seus parceiros usem criptografia é crucial. Os dados criptografados estão isentos de notificação de violação, a menos que a chave também seja exposta. Em muitos casos, isso pode fazer a diferença entre uma chamada fechada e uma notificação de violação dispendiosa.
As melhores práticas de segurança de PII ajudam as organizações a errar por precaução. HIPAA não é um conjunto de regras arcanas e arbitrárias para dificultar sua vida – é uma estrutura útil para garantir um alto padrão de cuidado e confidencialidade para seus pacientes. Uma abordagem de melhores práticas de IPI simplifica a conformidade, transformando-a em um único conjunto de regras que pode ser usado em toda a sua organização. Isso facilita a segurança dos pacientes e garante que as informações confidenciais não caiam nas fendas.
Saiba como a Virtru protege a adesão à HIPAA na nuvem ou entre em contato conosco para configurar uma demonstração.