O que é Conformidade com a HIPAA?

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma lei federal dos EUA que estabelece as diretrizes para a proteção de informações confidenciais de saúde do paciente (PHI).

As organizações SaaS que atuam no setor de saúde devem cumprir várias medidas relativas ao acesso, uso, divulgação ou modificação de PHI. 

O HIPAA exige que os usuários tenham o direito de visualizar, modificar e gerenciar o uso e acesso às suas informações de saúde. 

O não cumprimento das normas HIPAA leva a consequências graves, que incluem multas ou possíveis ações legais.

O HIPAA foi criado em 1996 e protege uma ampla gama de informações de saúde, incluindo: 

• detalhes relacionados à saúde física e mental
• histórico de tratamento
• detalhes de pagamento relacionados a esses serviços.

Além disso, no âmbito das PHI, detalhes como nome, endereço, número de telefone, número da segurança social, número do prontuário médico, ID do plano de saúde, placa do veículo e os últimos cinco dígitos do número do cartão de crédito de uma pessoa também estão incluídos. 

As PHI podem, no entanto, ser desclassificadas em contextos não clínicos específicos, conforme definido pelas diretrizes do HIPAA Journal e do CDC, caso em que são purgadas de todos os identificadores pessoais e usadas apenas para pesquisa, campanhas de saúde pública ou outros usos aprovados não relacionados aos cuidados ou tratamento médico do paciente.

As organizações designadas como entidades cobertas devem cumprir a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Em geral, essas entidades incluem: 

• Planos de saúde: organizações de manutenção de saúde (HMOs), seguradoras de saúde e outras empresas que oferecem cobertura de saúde. 
• Centros de compensação de saúde: organizações que facilitam o processamento de dados de saúde por várias partes. 
• Prestadores de cuidados de saúde: qualquer pessoa ou organização que oferece serviços médicos online, incluindo médicos, clínicas e hospitais

Ao exigir que as organizações cobertas, como centros de compensação de saúde, planos de saúde e provedores, implementem medidas adequadas medidas de segurança para impedir o acesso, uso ou divulgação não autorizados de PHI, a HIPAA protege dados médicos confidenciais. Ao conceder às pessoas mais controle sobre suas informações de saúde e promover a abertura e a confiança no sistema de saúde, essa estratégia abrangente empodera as pessoas. 

Estar ciente de potenciais vulnerabilidades e trabalhar ativamente para proteger a integridade da PHI é essencial, pois a HIPAA estabelece uma linha de base para a privacidade e segurança da saúde em todo o país. 

Para garantir a privacidade dos pacientes, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, ou HIPAA, foi implementada. Esta lei se aplica a organizações que prestam serviços de saúde, como consultórios médicos, seguradoras e serviços de cobrança.

A regra de privacidade da HIPAA exige que as informações de saúde protegidas (PHI) sejam usadas apenas para a finalidade a que se destinam. Isso inclui a permissão do paciente para visualizar seus registros de saúde, fazer alterações neles e controlar como suas informações são usadas e divulgadas.

O Departamento de Saúde e Serviços Humanos dos EUA (HHS) aplica a regulamentação HIPAA. Se uma pessoa ou organização não seguir as regras, haverá consequências graves. 

A conformidade com a HIPAA exige a proteção das informações de saúde protegidas, a implementação de políticas e processos rigorosos e a manutenção de registros precisos. Isso implica medidas de segurança técnicas, administrativas e físicas para garantir a integridade, privacidade e confidencialidade dos dados.

Um componente crucial é a Regra de Privacidade, que regula o uso e a divulgação de Informações de Saúde Protegidas (PHI) por "entidades cobertas" (provedores de saúde, planos e câmaras de compensação). 

Além de proteger os pacientes, a conformidade com a HIPAA ajuda as empresas de saúde a se manterem seguras, fora de problemas e a operar com mais segurança. Multas pesadas e danos à reputação podem resultar da não conformidade com a HIPAA. 

As empresas devem avaliar a conformidade regularmente e corrigir quaisquer fraquezas.

Se você não estiver em conformidade com a HIPAA, poderá enfrentar algumas consequências sérias. As multas por violações da HIPAA podem variar de US$ 100 a US$ 50.000 por violação e até um ano de prisão por violações conscientes. O Escritório de Direitos Civis (OCR) é o órgão do HHS responsável por aplicar a HIPAA e lidar com reclamações. 

As entidades cobertas devem entender o que é exigido pela HIPAA e tomar as medidas necessárias para garantir a privacidade do paciente, o que envolve a proteção das informações de saúde protegidas (PHI). 

Nos Estados Unidos, a regulamentação e a aplicação da HIPAA são compartilhadas entre várias entidades. O principal órgão de fiscalização é o Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS), especificamente o Escritório de Direitos Civis (OCR). 

O OCR investiga reclamações sobre violações da HIPAA, fornece orientação às entidades cobertas sobre conformidade, e impõe multas por descumprimento. Além disso, os procuradores-gerais dos estados podem tomar medidas para fazer cumprir as disposições de privacidade da HIPAA e processar por reparações. 

Por último, mas não menos importante, os Centros de Serviços Medicare e Medicaid (CMS) são responsáveis por garantir que os provedores e instalações de saúde financiados pelo Medicare e Medicaid cumpram com a HIPAA.

Aqui estão os passos para implementar a conformidade com a HIPAA: 

1. Escolhendo um Oficial de Conformidade: Escolha uma pessoa de dentro da sua empresa para ser responsável por gerenciar a conformidade com a HIPAA.
2. Desenvolvendo regras e processos: Crie regras e processos completos que especifiquem o acesso, a divulgação e a segurança das PHI dentro da sua empresa.
3. Treinamento: Eduque todos os membros da equipe sobre os regulamentos da HIPAA, incluindo seus deveres e obrigações. 
4. Documentação: Acompanhe todas as ações relacionadas à HIPAA e revise e atualize suas regras e procedimentos regularmente.
5. Buscando Orientação Profissional: Para garantir que sua empresa esteja cumprindo todos os regulamentos, considere conversar com um especialista em conformidade com a HIPAA ou um advogado.

Em 1996, a HIPAA Privacy Rule concedeu aos pacientes diversos direitos com relação às suas informações médicas protegidas (PHI). Entre eles, estava o direito de acessar seus registros médicos, o que permitia aos indivíduos ver e obter cópias de suas PHI, incluindo registros médicos e de cobrança, resultados de laboratório, laudos radiológicos e registros de saúde mental. Esses direitos promovem a conscientização do paciente, a participação no tratamento e a compreensão do plano de tratamento. No entanto, existem algumas exceções. 

Embora a HIPAA conceda aos provedores de saúde o direito de realizar tratamento, pagamento e operações de saúde com o consentimento do paciente, ela também concede aos pacientes o direito de vetar tais atividades. Ainda assim, a HIPAA tem uma cláusula que permite que os provedores de saúde ignorem esses vetos em casos onde a saúde do paciente está em risco. 

Em uma nota positiva, a HIPAA também permite que os indivíduos corrijam informações imprecisas ou desatualizadas em seus registros, uma necessidade para tomar decisões informadas sobre sua saúde.