Os objetivos das Leis de Privacidade HIPAA
As leis de privacidade HIPAA foram promulgadas pela primeira vez em 2002 com o objetivo de proteger a confidencialidade das informações de saúde dos pacientes sem prejudicar o fluxo de informações que era necessário para fornecer tratamento. As leis de privacidade da HIPAA controlam quem pode ter acesso à Informação de Saúde Protegida (PHI), as condições em que pode ser usada e a quem pode ser divulgada.
As leis de privacidade da HIPAA não se aplicam apenas aos provedores de saúde e às organizações para as quais eles trabalham. As leis se aplicam a qualquer entidade que possa ter acesso a informações de saúde sobre um paciente que – se caísse em mãos erradas – poderia apresentar um risco de dano às finanças ou reputação do paciente. Portanto, seguradoras de saúde, câmaras de compensação de saúde e empregadores que fornecem planos de saúde internos também têm de cumprir as leis de privacidade HIPAA.
As Informações Protegidas pelas Leis de Privacidade HIPAA
As informações protegidas pelas leis de privacidade HIPAA são conhecidas como “Informações de Saúde Individualmente Identificáveis”. Esta é qualquer informação que possa revelar a identidade de um paciente em relação a:
- a condição física ou mental passada, presente ou futura do paciente,
- a prestação de tratamento e serviços de saúde ao paciente, ou
- o pagamento passado, presente ou futuro pela prestação de cuidados de saúde ao paciente.
Porque os dados protegidos incluem informações de pagamento, informações de saúde individualmente identificáveis não só incluem dados como nomes, data de nascimento, números de Segurança Social e números de telefone, mas também números de registro de carro, informações de cartão de crédito e até mesmo exemplos da caligrafia de um paciente.
É importante que as entidades cobertas observem que as leis de privacidade da HIPAA não se aplicam apenas aos dados salvos em um formato escrito. Imagens e vídeos que contenham qualquer informação de saúde individualmente identificável também são protegidos pelas leis de privacidade da HIPAA.
Se, por exemplo, um prestador de cuidados de saúde tirasse uma fotografia de uma ferida de um paciente – e a identidade do paciente poderia ser estabelecida por qualquer característica distintiva – a confidencialidade e divulgação da fotografia estaria sujeita às condições dentro das leis de privacidade da HIPAA.
PHI: Quem, Quando e Como?
As leis de privacidade da HIPAA relativas às PHI aplicam-se a todas as entidades cobertas e a todos os prestadores de serviços de terceiros (ou “Associado Comercial”) com quem a entidade coberta faz negócios. Estas são as únicas partes que devem ter acesso aos DCC, a menos que seja dada autorização pelo paciente para que os mesmos sejam divulgados para fins de pesquisa, marketing ou angariação de fundos.
A divulgação dos DCC para fins de tratamento, pagamento ou operações de saúde deve ser contida dentro de uma entidade coberta ou Associado Comercial – a menos que a divulgação seja exigida por lei, seja do interesse público ou do interesse do paciente (por exemplo, se o paciente for vítima de abuso infantil, negligência ou violência doméstica).
Aven então, as leis de privacidade da HIPAA estipulam que as entidades cobertas devem aderir à “Regra do Mínimo Necessário” – uma regra que declara que a revelação dos DCC deve ser apenas o mínimo necessário para alcançar o propósito declarado. Cada pedido de divulgação também deve ser revisto caso a caso, em vez de dar acesso aos DCC a um Associado Comercial porque lhes foi previamente permitido o acesso.
A Divulgação Não Autorizada de DCC
A cada entidade coberta é exigida a implementação de salvaguardas para evitar a divulgação não autorizada de DCC. Estas salvaguardas irão variar dependendo do tamanho da entidade coberta e da natureza dos cuidados de saúde que ela fornece, mas as penalidades por não salvaguardar a integridade dos DCC podem ser extremamente altas. Organizações de saúde que deliberadamente ou por negligência não cumpram as leis de privacidade dos DCC podem ser multadas em até $50.000 por ofensa por dia.
De acordo com o Departamento de Saúde e Recursos Humanos do Gabinete dos Direitos Civis, a razão mais comum para a divulgação não autorizada dos DCC é a perda ou roubo de dispositivos móveis pessoais e dispositivos portáteis (computadores portáteis, Smartphones e unidades flash USB). Por esta razão, muitas organizações de saúde optaram por implementar soluções de mensagens seguras como substitutos apropriados para canais de comunicação não seguros, tais como SMS e e-mail.
Secure messaging solutions encriptam os DCC para que sejam indecifráveis e inutilizáveis caso sejam interceptados em trânsito, e também têm mecanismos de segurança para assegurar que os DCC não possam ser acidental ou maliciosamente enviados para fora da rede de comunicações privada de uma entidade coberta ou copiados para uma unidade flash USB. No caso de um dispositivo móvel pessoal ser perdido ou roubado, existem controlos administrativos para apagar remotamente qualquer DCC recebido pelo dispositivo e bloquear a aplicação usada para enviar mensagens seguras. Esses controles também funcionam em computadores desktop.
As vantagens das soluções de mensagens seguras
Não apenas as soluções de mensagens seguras cumprem as leis de privacidade da HIPAA, mas também os requisitos administrativos, físicos e técnicos da Regra de Segurança da HIPAA. Isso significa que existem mecanismos para monitorar mensagens seguras e garantir 100% de responsabilidade pelas mensagens, o que, por sua vez, reduz o tempo desperdiçado pelos profissionais de saúde à espera da confirmação de que uma mensagem foi recebida ou de uma resposta.
Um artigo recente na CNN Money relatou que a etiqueta telefônica custa ao setor de saúde dos EUA mais de 7 bilhões de dólares por ano e que a implementação de soluções de mensagens seguras poderia acelerar os processos de saúde, tais como admissões hospitalares e altas de pacientes. Estudos separados também mostraram que o envio seguro de mensagens acelera as comunicações, promove a colaboração e, quando integrado com um EHR, reduz os incidentes de segurança dos pacientes e os erros de medicação.
Com o envio seguro de mensagens, as informações protegidas pelas leis de privacidade da HIPAA permanecem protegidas, apenas os usuários autorizados podem se comunicar com a mesma velocidade e conveniência que SMS ou e-mail, mas sem arriscar a divulgação não autorizada de PHI. As mensagens seguras satisfazem as condições das leis de privacidade HIPAA sobre quem pode ter acesso aos DCC, as condições sob as quais podem ser usadas, e a quem podem ser divulgadas.
Outra informação sobre as leis de privacidade HIPAA
Se quiser saber mais sobre as leis de privacidade HIPAA, pode encontrar informação adicional aqui.