O que é a conformidade com a HIPAA?

A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) é uma legislação dos Estados Unidos que prevê disposições em matéria de privacidade e segurança dos dados para salvaguardar as informações médicas. Foi promulgada em 1996 com dois objectivos principais: proporcionar uma cobertura contínua de seguro de saúde aos trabalhadores que perdem ou mudam de emprego e reduzir os encargos administrativos e os custos dos cuidados de saúde através da normalização da transmissão eletrónica de transacções administrativas e financeiras. Outros objectivos da HIPAA incluem o combate ao abuso, à fraude e ao desperdício nos seguros de saúde e na prestação de cuidados de saúde.

A conformidade com a HIPAA refere-se ao processo de garantir que a sua organização segue as regras definidas pela HIPAA. Estas regras foram concebidas para proteger a privacidade e a segurança das informações de saúde. Estas podem incluir tudo, desde registos de doentes a detalhes de pagamento. O incumprimento pode resultar em pesadas multas e penalizações, o que torna crucial para qualquer organização que lide com informações de saúde protegidas (PHI) garantir a sua conformidade.

Compreender a HIPAA

A lei HIPAA está dividida em duas secções principais: Título I e Título II. O Título I da HIPAA protege a cobertura de seguro de saúde para indivíduos que perdem ou mudam de emprego. Também proíbe os planos de saúde de grupo de recusar a cobertura a indivíduos com doenças específicas e condições pré-existentes, e de estabelecer limites de cobertura vitalícios. O Título II da HIPAA, conhecido como disposições de Simplificação Administrativa (AS), exige o estabelecimento de normas nacionais para transacções electrónicas de cuidados de saúde e identificadores nacionais para prestadores, planos de seguro de saúde e empregadores.

As disposições das normas de segurança também abordam a segurança e a privacidade dos dados relativos à saúde. As normas destinam-se a melhorar a eficiência e a eficácia do sistema de cuidados de saúde do país, incentivando a utilização generalizada do intercâmbio eletrónico de dados no sistema de cuidados de saúde dos EUA.

A regra de privacidade

A Regra de Privacidade, uma parte fundamental da HIPAA, estabelece normas nacionais para quando as informações de saúde protegidas (PHI) podem ser utilizadas e divulgadas. Dá aos pacientes direitos sobre as suas informações de saúde e estabelece regras e limites sobre quem pode ver e receber as informações de saúde de um paciente. A Regra de Privacidade aplica-se a todas as formas de informações de saúde protegidas dos indivíduos, quer sejam electrónicas, escritas ou orais.

De acordo com a Regra de Privacidade, as entidades abrangidas (que incluem planos de saúde, centros de informação sobre cuidados de saúde e determinados prestadores de cuidados de saúde) devem adotar medidas de segurança para proteger as informações dos doentes. Devem limitar razoavelmente as utilizações e divulgações ao mínimo necessário para atingir o objetivo pretendido. Devem ter contratos em vigor com os seus contratantes e outros, garantindo que estes utilizam e divulgam corretamente a informação dos doentes e que a salvaguardam de forma adequada. As entidades abrangidas também têm de ter procedimentos para limitar quem pode ver e aceder às informações dos doentes, bem como implementar programas de formação para os funcionários sobre como proteger as informações dos doentes.

A regra de segurança

A Regra de Segurança, outra parte da HIPAA, define normas para a segurança dos dados dos doentes. Especifica uma série de salvaguardas administrativas, físicas e técnicas que as entidades abrangidas devem utilizar para garantir a confidencialidade, integridade e disponibilidade das informações de saúde electrónicas protegidas (ePHI). Estas regras aplicam-se a planos de saúde, centros de compensação de cuidados de saúde e a qualquer prestador de cuidados de saúde que transmita informações de saúde em formato eletrónico.

Ao abrigo da Regra de Segurança, as entidades abrangidas têm de implementar políticas e procedimentos técnicos que permitam que apenas pessoas autorizadas acedam a informações de saúde protegidas eletronicamente (ePHI). Têm também de implementar mecanismos de hardware, software e/ou procedimentos para registar e examinar o acesso e outras actividades nos sistemas de informação que contêm ou utilizam ePHI. Além disso, devem implementar medidas de proteção contra quaisquer ameaças ou perigos razoavelmente previstos para a segurança ou integridade do ePHI.

Requisitos de conformidade com a HIPAA

A conformidade com a HIPAA envolve o cumprimento dos requisitos da HIPAA e dos regulamentos que a acompanham, a Regra de Privacidade, a Regra de Segurança e a Regra de Notificação de Violação. Estas regras exigem que as entidades abrangidas implementem várias salvaguardas para proteger as PHI, incluindo salvaguardas administrativas, físicas e técnicas. Além disso, as entidades abrangidas são obrigadas a ter um responsável pela conformidade e a dar formação aos seus funcionários sobre a conformidade com a HIPAA.

As salvaguardas administrativas envolvem a seleção, o desenvolvimento, a implementação e a manutenção de medidas de segurança para proteger os DCC e gerir a conduta da força de trabalho da entidade abrangida em relação à proteção dessa informação. As salvaguardas físicas envolvem medidas físicas, políticas e procedimentos para proteger os sistemas de informação electrónicos de uma entidade abrangida e os edifícios e equipamentos relacionados contra riscos naturais e ambientais e intrusões não autorizadas. As salvaguardas técnicas envolvem a tecnologia e a política e procedimentos para a sua utilização que protegem as PHI e controlam o acesso às mesmas.

Aviso de práticas de privacidade

Como parte da conformidade com a HIPAA, as entidades abrangidas são obrigadas a fornecer um Aviso de Práticas de Privacidade (NPP). O NPP deve descrever as formas como a entidade abrangida pode usar e divulgar PHI. Deve também indicar os deveres da entidade abrangida para proteger a privacidade, fornecer um aviso de práticas de privacidade e cumprir os termos do aviso atual. O NPP também deve descrever os direitos dos indivíduos, incluindo o direito de apresentar queixa ao HHS e à entidade abrangida se considerarem que os seus direitos de privacidade foram violados.

O PNP deve ser fornecido a todos os indivíduos o mais tardar na data da primeira prestação de serviços e, exceto numa situação de tratamento de emergência, a entidade abrangida deve fazer um esforço de boa fé para obter a confirmação por escrito da receção do aviso por parte do indivíduo. Se não for possível obter um aviso de receção, a entidade abrangida deve documentar os seus esforços para obter o aviso de receção e a razão pela qual o aviso de receção não foi obtido.

Acordos de Associados Comerciais

Outro requisito para a conformidade com a HIPAA é o estabelecimento de Acordos de Associados Comerciais (BAAs). Um BAA é um contrato entre uma entidade abrangida pela HIPAA e um associado comercial (BA) da HIPAA. O contrato protege as PHI de acordo com as diretrizes da HIPAA. Quando uma entidade abrangida utiliza um contratante ou outro membro não pertencente ao pessoal para realizar serviços ou actividades de "associado comercial", a Regra exige que a entidade abrangida inclua determinadas protecções para a informação num acordo de associado comercial.

No acordo de associado comercial, uma entidade abrangida deve impor salvaguardas escritas especificadas sobre as informações de saúde individualmente identificáveis utilizadas ou divulgadas pelos seus associados comerciais. Além disso, uma entidade abrangida não pode autorizar contratualmente o seu associado comercial a fazer qualquer utilização ou divulgação de informações de saúde protegidas que violem a Regra.

Aplicação e sanções por incumprimento

O Office for Civil Rights (OCR) aplica a Regra de Privacidade da HIPAA e a Regra de Segurança da HIPAA. O OCR investiga as queixas que lhe são apresentadas e efectua análises de conformidade para determinar se as entidades abrangidas estão em conformidade. Além disso, fornece educação e sensibilização para promover o cumprimento dos requisitos das regras. O OCR também trabalha com o Departamento de Justiça para denunciar possíveis violações criminais das regras.

As penalizações por incumprimento da HIPAA podem ser graves. As penalizações por incumprimento baseiam-se no nível de negligência e podem variar entre $100 e $50.000 por violação (ou por registo), com uma penalização máxima de $1,5 milhões por ano por violações de uma disposição idêntica. As infracções também podem implicar acusações criminais que podem resultar em pena de prisão.

Queixas

Os indivíduos que acreditam que uma entidade coberta violou os seus direitos de privacidade de informações de saúde (ou de outra pessoa) ou cometeu outra violação das Regras de Privacidade, Segurança ou Notificação de Violação, podem apresentar uma queixa ao OCR. As queixas devem ser apresentadas por escrito, em papel ou eletronicamente, e devem nomear a entidade que se acredita ter violado os direitos e descrever os actos ou omissões que se acredita estarem a violar os requisitos aplicáveis.

O OCR pode investigar qualquer queixa apresentada ao abrigo deste procedimento. No entanto, uma queixa de retaliação pode ser apresentada independentemente da data em que o ato retaliatório ocorreu. O OCR também pode iniciar uma análise de conformidade para investigar uma entidade abrangida.

Sanções

As penalizações por incumprimento da HIPAA podem ser graves. As penalizações por incumprimento baseiam-se no nível de negligência e podem variar entre $100 e $50.000 por violação (ou por registo), com uma penalização máxima de $1,5 milhões por ano por violações de uma disposição idêntica. As infracções também podem implicar acusações criminais que podem resultar em pena de prisão.

Existem quatro categorias de violações que reflectem níveis crescentes de culpabilidade e quatro níveis correspondentes de montantes de penalização, com uma penalização máxima de $1,5 milhões por ano para violações de uma disposição idêntica. Em alguns casos, os indivíduos que conscientemente obtêm ou divulgam informações de saúde individualmente identificáveis, violando a Regra de Privacidade, podem enfrentar uma pena criminal de até $50.000 e até um ano de prisão. As penalidades criminais aumentam para $100.000 e até cinco anos de prisão se a conduta incorrecta envolver falsos pretextos, e para $250.000 e até dez anos de prisão se a conduta incorrecta envolver a intenção de vender, transferir ou utilizar informações de saúde identificáveis para vantagem comercial, ganho pessoal ou dano malicioso.

Conclusão

A conformidade com a HIPAA é um aspeto crítico das operações de cuidados de saúde nos Estados Unidos. Com a crescente digitalização dos registos de saúde e o elevado valor das informações de saúde para os agentes maliciosos, garantir a privacidade e a segurança das informações dos doentes é mais importante do que nunca. Ao compreenderem e cumprirem os requisitos da HIPAA, as organizações de cuidados de saúde podem proteger melhor os seus doentes e evitar as penalizações substanciais associadas à não conformidade.

É importante notar que, embora este artigo forneça uma visão geral abrangente da conformidade com a HIPAA, não é exaustivo. A HIPAA é uma peça legislativa complexa com muitas nuances e especificidades que estão para além do âmbito deste artigo. Por conseguinte, recomenda-se que as organizações de cuidados de saúde consultem especialistas jurídicos e de conformidade para garantir que estão totalmente em conformidade com todos os aspectos da HIPAA.