O que é conformidade HITECH?

A Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (Lei HITECH) foi sancionada como parte da Lei Americana de Recuperação e Reinvestimento (ARRA) em 2009.

A Lei HITECH incentiva o uso significativo de registros eletrônicos de saúde (EHRs) por profissionais de saúde e seus parceiros de negócios.

Antes da Lei HITECH, as organizações de saúde nos Estados Unidos operavam sob a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), que foi projetada para proteger informações de saúde protegidas (PHI), melhorar a acessibilidade do seguro de saúde e simplificar a administração hospitalar.

No entanto, após 13 anos em operação, era óbvio que a HIPAA tinha alguns problemas. Ou seja, a falta de incentivo ao uso de EHRs e nenhuma exigência real para que os parceiros de negócios das entidades cobertas protejam informações confidenciais. Essas duas questões são o que levou o Congresso a aprovar a Lei HITECH em 2009.

A Lei HITECH também tentou antecipar os riscos associados à troca de informações eletrônicas de saúde protegidas (ePHI). Ele fez isso introduzindo medidas de fiscalização mais fortes para não conformidade com a Regra de Segurança HIPAA e a Regra de Privacidade HIPAA para entidades cobertas e seus parceiros de negócios, exigindo auditorias de segurança de provedores de saúde.

Essas auditorias determinam se um provedor atende aos padrões mínimos especificados para estar em conformidade com a HIPAA.

Essas medidas mais rígidas, juntamente com algumas outras mudanças sobre as quais você pode ler abaixo, fecharam as brechas que permitiam que algumas entidades evitassem o cumprimento das regras da HIPAA.

Hoje, todos os prestadores de serviços de saúde e outras entidades cobertas devem atender aos requisitos de conformidade da HITECH.

Como cumprir a HIPAA

Para cumprir a HITECH, você precisa entender os requisitos de conformidade com a HIPAA. A conformidade com a HIPAA é definida sob um conjunto de regras, ou seja, a Regra de Privacidade da HIPAA e a Regra de Segurança da HIPAA, a Regra de Aplicação da HIPAA.

Em nossa opinião, a regra mais importante a ser entendida é a regra de privacidade da HIPAA, que descreve como as informações de saúde protegidas (PHI) podem ser usadas e divulgadas. As outras regras são projetadas para apoiar a Regra de Privacidade.

Descreveremos a regra abaixo, mas se você precisar de mais informações, leia nossa postagem completa sobre a Regra de Privacidade da HIPAA aqui.

PHI inclui informações, incluindo dados demográficos, relacionados a:

Saúde ou condição física ou mental passada, presente ou futura de um indivíduo
A prestação de cuidados de saúde ao indivíduo
O pagamento passado, presente ou futuro pela prestação de cuidados de saúde ao indivíduo

Com efeito, isso significa dados que podem ser usados para identificar um indivíduo ou onde há provas razoáveis de que poderiam ser usados. Isso significa que quaisquer identificadores comuns, como nome, endereço, data de nascimento e número do seguro social, se enquadram no PHI.

A HIPAA também reconhece que as entidades cobertas variam de pequenos provedores a grandes organizações multinacionais de saúde e, portanto, têm flexibilidade e escalabilidade integradas à Regra de Privacidade para permitir que as entidades analisem suas necessidades e implementem soluções apropriadas para seu ambiente, tamanho e recursos.

Ainda existem requisitos que todas as entidades cobertas pela HIPAA devem cumprir:

Políticas e procedimentos de privacidade: As entidades cobertas devem desenvolver e implementar políticas e procedimentos de privacidade por escrito que sejam consistentes com a Regra de Privacidade
Pessoal de privacidade: As entidades cobertas devem designar um funcionário de privacidade responsável por desenvolver e implementar suas políticas e procedimentos de privacidade e uma pessoa de contato ou escritório de contato responsável por receber reclamações e fornecer informações sobre práticas de privacidade.
Treinamento e gerenciamento da força de trabalho: Todos os membros da força de trabalho devem ser treinados sobre as políticas e procedimentos de privacidade da entidade coberta, conforme necessário e apropriado para que desempenhem suas funções.
Mitigação: As entidades cobertas devem tentar mitigar qualquer efeito prejudicial que descubram ter sido causado pelo uso ou divulgação de PHI por sua força de trabalho ou parceiros de negócios em violação de suas políticas e procedimentos de privacidade ou da Regra de Privacidade.
Salvaguardas de dados: As entidades cobertas devem manter salvaguardas administrativas, técnicas e físicas razoáveis e apropriadas para evitar o uso ou divulgação intencional ou não intencional de PHI.
Segurança de dados: Os pacientes têm o direito de ter suas PHI protegidas e protegidas. Seus registros médicos, histórico médico e outras informações relevantes não podem ser compartilhados, alterados ou destruídos, a menos que estejam de acordo com as diretrizes da HIPAA.
Reclamações: As entidades cobertas devem ter procedimentos para que os indivíduos reclamem sobre sua conformidade com suas políticas e procedimentos de privacidade e a Regra de Privacidade. Entre outras coisas, as entidades devem identificar onde os indivíduos podem enviar reclamações e informar aos reclamantes que podem enviar suas reclamações ao Secretário do HHS.
Retaliação e renúncia: As entidades cobertas não podem retaliar uma pessoa por exercer os direitos previstos pela Regra de Privacidade, por auxiliar uma investigação do HHS ou outra autoridade apropriada, ou por se opor a um ato ou prática que a pessoa acredita violar a Regra de Privacidade.
Documentação e retenção de registros: As entidades cobertas devem manter, até seis anos após a data de criação ou última data de vigência, suas políticas e procedimentos de privacidade, seus avisos de práticas de privacidade, disposição de reclamações e outras ações, atividades e designações que a Regra de Privacidade exige que sejam documentadas.
Análise e gerenciamento de riscos: as entidades cobertas pela HIPAA devem realizar uma análise de risco regularmente como parte de sua estratégia de gerenciamento de riscos de segurança cibernética.

Saiba como cumprir os requisitos de risco de terceiros da HIPAA.

Quais problemas a HIPAA teve?

Embora a regulamentação da HIPAA tenha estabelecido as bases para a proteção de PHI e melhorias na saúde, ela não era abrangente o suficiente e não levava em conta o impacto que a tecnologia teria no sistema de saúde:

Avanço tecnológico: A HIPAA foi criada em 1996, antes que houvesse um uso significativo de sistemas EHR no setor de saúde. O risco e o impacto das violações de dados foram menores, o que significa que, em 2009, era insuficiente na regulamentação das medidas eletrônicas de privacidade e segurança.
Brechas técnicas: Os parceiros de negócios das entidades cobertas pela HIPAA conseguiram evitar muitos dos requisitos de segurança pretendidos devido a uma lacuna técnica. Isso significava que os padrões de segurança de fornecedores terceirizados com acesso a informações pessoais de saúde eram frequentemente mais baixos do que o pretendido pela HIPAA.
Penalidades brandas: as penalidades por violações da HIPAA não eram fortes o suficiente para alterar os padrões de segurança da informação de muitas organizações que preferiam pagar a multa.

Quais são os objetivos da Lei HITECH?

A Lei HITECH tinha quatro objetivos principais que são descritos em seus quatro subtítulos:

Subtítulo A - Promoção da Tecnologia da Informação em Saúde: O Subtítulo A trata da criação de uma nova infraestrutura eletrônica de saúde, incluindo a adoção de informações de saúde em formato eletrônico. A ideia é criar um padrão nacional de qualidade, segurança e eficiência em saúde. Além disso, trata de como esses padrões serão adotados e como o governo federal e as entidades privadas se coordenarão.
Subtítulo B - Teste de Tecnologia da Informação em Saúde: O Subtítulo B trata de quem pode solicitar subsídios e financiamento para fazer parte da pesquisa e teste de tecnologia da informação em saúde. Em suma, instituições de ensino superior, entidades sem fins lucrativos e laboratórios federais.
Subtítulo C - Financiamento de Subsídios e Empréstimos: O subtítulo C descreve como os subsídios e fundos de empréstimos são usados, quem garante que os fundos sejam usados adequadamente e como os padrões para tecnologias de informação em saúde são atendidos.
Subtítulo D - Privacidade: O subtítulo D descreve as disposições aprimoradas de segurança e privacidade, a relação entre essas e outras leis e lida com os parceiros de negócios das entidades cobertas que agora devem seguir os mesmos regulamentos e padrões que as entidades cobertas pela HIPAA.

Em 2006, quase 9 em cada 10 médicos usaram documentos em papel para registrar o histórico médico do paciente, tratamentos anteriores e outras informações de saúde.

A partir de 2017, essa tendência se inverteu, com quase 9 em cada 10 médicos usando alguma forma de registro eletrônico de saúde.

Embora isso tenha sido projetado para melhorar os resultados dos pacientes e reduzir o custo do atendimento, também introduziu um risco de segurança significativo na forma de violações e vazamentos de dados. Esses incidentes de segurança não afetam apenas os pacientes, mas também as organizações de saúde. A área de saúde tem o maior custo médio do setor de uma violação de dados, com US$6,45 milhões.

É por isso que a Lei HITECH introduziu requisitos obrigatórios de notificação de violação de dados e penalidades mais duras para negligência acidental ou intencional dos requisitos de conformidade.

Siga esta lista de verificação para implementar um programa de conformidade com a HIPAA.

Quais são os seis componentes da Lei HITECH?

Existem seis componentes principais da Lei HITECH:

Programa de uso significativo
Conformidade com HIPAA de parceiros comerciais
Regra de notificação de violação
Negligência intencional e auditoria
Atualizações de conformidade com a HIPAA
Acesso a registros eletrônicos de saúde

1. Programa de Uso Significativo

O Programa de Uso Significativo foi criado pelo Departamento de Saúde e Serviços Humanos (HHS) para incentivar a adoção de EHRs, fornecendo compensação aos profissionais de saúde por adotá-los e usá-los de maneira significativa.

De acordo com os Centros de Controle e Prevenção de Doenças (CDC), o conceito de uso significativo se baseia nos cinco pilares das prioridades da política de resultados de saúde:

Melhorar a qualidade, segurança, eficiência e reduzir as disparidades de saúde
Envolva pacientes e familiares em sua saúde
Melhore a coordenação de cuidados
Melhorar a população e a saúde pública
Garantir proteção adequada de privacidade e segurança para informações pessoais de saúde

Na prática, isso significa:

Prescrição eletrônica: Os pacientes podem receber e solicitar medicamentos prescritos online.
Troca de informações de saúde: suporte ao envio, recebimento e incorporação de informações eletrônicas de saúde.
Troca de provedor para patente: Forneça aos pacientes acesso eletrônico às suas informações de saúde.
Saúde pública e troca de dados clínicos: Relate pelo menos duas agências de saúde pública ou registros de dados clínicos diferentes para qualquer um dos seguintes: Relatórios de Registros de Imunização, Relatórios Eletrônicos de Casos, Relatórios de Registro de Saúde Pública, Relatórios de Registro de Dados Clínicos ou Relatórios de Vigilância Sindrômica.

A partir de 2017, os prestadores de serviços de saúde que não cumprirem enfrentam uma redução de 3% nas taxas do Medicare e Medicaid.

2. Conformidade com a HIPAA do parceiro comercial

De acordo com a HIPAA, os parceiros de negócios deveriam ter a obrigação contratual de cumprir os requisitos de conformidade. No entanto, isso foi facilmente contornado por entidades cobertas que poderiam alegar que não sabiam que um parceiro de negócios não estava em conformidade.

Isso significava que as PHI tratadas por parceiros de negócios poderiam estar em risco, pois eles não tinham necessidade real de cumprir os regulamentos de privacidade ou segurança.

A Lei HITECH mudou isso introduzindo requisitos rígidos para acordos de parceiros comerciais que os tornavam responsáveis por violações, incluindo:

Falha em atender aos padrões de segurança da informação
Falha ao relatar uma violação de dados
Retaliação contra um indivíduo que registra uma reclamação HIPAA
Falha em cooperar com uma reclamação ou revisão de conformidade

3. Regra de notificação de violação

A desvantagem do aumento do uso do EHR é um risco maior de crimes cibernéticos, principalmente phishing ou outros ataques cibernéticos. Sem medidas adequadas, o número de violações de dados provavelmente aumentaria.

A Lei HITECH aumentou os requisitos de segurança e as penalidades por não conformidade na tentativa de mitigar esse risco. Também introduziu requisitos obrigatórios de violação de dados sob a Regra de Notificação de Violação.

A Regra de Notificação de Violação exige que as entidades cobertas pela HIPAA e os parceiros de negócios forneçam notificação após uma violação de informações de saúde protegidas não seguras.

Uma violação é, geralmente, um uso ou divulgação inadmissível sob a Regra de Privacidade que compromete a segurança ou a privacidade das informações de saúde protegidas. Não é considerada uma violação se puder ser demonstrado que há uma baixa probabilidade de que as informações de saúde protegidas tenham sido comprometidas com base em uma avaliação de risco de pelo menos os seguintes fatores:

A natureza e a extensão das informações de saúde protegidas envolvidas, incluindo os tipos de identificadores e a probabilidade de reidentificação;
A pessoa não autorizada que usou as informações de saúde protegidas ou a quem a divulgação foi feita;
Se as informações de saúde protegidas foram realmente adquiridas ou visualizadas; e
A medida em que o risco para as informações de saúde protegidas foi atenuado.

Se ocorreu uma violação, o público deve ser notificado. O método de notificação depende do número de pessoas afetadas.

Para violações com menos de 500 pessoas, a entidade coberta deve notificar os indivíduos dentro de 60 dias com uma carta contendo:

Uma breve descrição da violação
Uma descrição dos tipos de informações envolvidas na violação
As medidas que os indivíduos afetados podem tomar para se proteger de possíveis danos
Uma breve descrição do que a entidade coberta está fazendo para investigar a violação, mitigar danos e evitar novas violações

Para infrações envolvendo mais de 500 indivíduos, além do acima, as entidades cobertas devem:

Notifique o Secretário do HHS sem demora injustificada e, em nenhum caso, o mais tardar 60 dias após uma violação

Por fim, para violações que afetem mais de 500 indivíduos em um Estado de jurisdição, além das etapas acima, as entidades cobertas devem:

Notificar os meios de comunicação proeminentes que atendem ao Estado ou jurisdição

4. Negligência intencional e auditoria

A Lei HITECH também deu ao Escritório de Direitos Civis (OCR) do HHS o poder de auditar entidades cobertas pela HIPAA e parceiros de negócios para garantir a conformidade com a HIPAA.

Junto com o poder de auditar, eles têm uma penalidade de violação em camadas e um sistema de multas:

Nível A: Penalidades por violações da HIPAA em que o infrator não percebeu que violou a Lei e teria lidado com o assunto de forma diferente se tivesse. O resultado é uma multa de US$100 para cada violação, e o total imposto por tais violações não pode exceder US$25.000 para o ano civil
Nível B: Para violações devido a causa razoável, mas não "negligência intencional". O resultado é uma multa de US$1.000 para cada violação da HIPAA, e as multas não podem exceder US$100.000 por um ano civil.
Nível C: Para violações devido a negligência intencional que a organização acabou corrigindo. O resultado é uma multa de US$10.000 para cada violação, e as multas não podem exceder US$250.000 para o ano civil.
Nível D: Para violações da HIPAA de negligência intencional que a organização não corrigiu. O resultado é uma multa de US$50.000 para cada violação e as multas não podem exceder US$1.500.000 para o ano civil.

A Lei HITECH também dá aos procuradores-gerais estaduais o poder de alavancar multas e buscar honorários advocatícios de entidades cobertas em nome das vítimas. Os tribunais também têm a capacidade de conceder custas.

5. Atualizações de conformidade com a HIPAA

Conforme observado acima, a Lei HITECH fechou as brechas da HIPAA e introduziu penalidades mais rígidas para o não cumprimento. Antes da HITECH, as multas eram menores e muitas organizações achavam mais barato ignorar os requisitos de conformidade com a HIPAA e simplesmente pagar multas em vez de investir em segurança.

Desde então, a lei foi expandida pelo HHS com a HIPAA Omnibus Rule, que fez modificações na HIPAA de acordo com as diretrizes estabelecidas em 2009 pela HITECH Act.

Essas diretrizes dizem respeito às responsabilidades dos parceiros de negócios das entidades cobertas. A regra geral também aumentou as penalidades por violações de conformidade com a HIPAA para um máximo de US$1,5 milhão por incidente.

6. Acesso a Registros Eletrônicos de Saúde

Antes da Lei HITECH, a Regra de Privacidade HIPAA dava aos pacientes e membros do plano de saúde um direito de acesso que lhes permitia obter cópias de suas informações de saúde mediante solicitação formal.

No entanto, com a introdução dos EHRs, a HITECH mudou o direito de acesso para permitir que os indivíduos acessem seus dados de saúde em formato eletrônico, se desejarem. Isso tornou mais fácil para os indivíduos compartilharem seus dados de saúde com outras organizações.

O que é o Portal de Violação de OCR?

A Lei HITECH exigia que o Escritório de Direitos Civis (OCR) do HHS começasse a publicar um resumo das violações de saúde relatadas por entidades cobertas pela HIPAA e seus parceiros de negócios.

A partir de outubro de 2009, o OCR publica resumos de violações em seu site, que incluem:

O nome da entidade coberta ou parceiro de negócios que sofreu a violação
Quanto à categoria da violação
A localização das PHI violadas
O número de indivíduos afetados

Melhores práticas para conformidade com a HITECH

Existem vários fatores ao pensar na conformidade com a HITECH:

Ensine os funcionários e parceiros de negócios sobre os requisitos da HITECH para garantir que sua organização atenda aos requisitos de "uso significativo" do EHR, bem como às Regras de Privacidade e Segurança.
Implemente um programa de segurança da informação para garantir a confidencialidade, disponibilidade e integridade das PHI, como gerenciamento de superfície de ataque e ferramentas de gerenciamento de risco de fornecedores, como UpGuard BreachSight e UpGuard Vendor Risk.
Use o princípio de privilégios mínimos, controle de acesso e RBAC para garantir que um número limitado de funcionários e fornecedores terceirizados tenha acesso a dados confidenciais conforme necessário.
Revise as políticas e procedimentos internos para garantir que estejam em conformidade com a Lei HITECH, oferecendo proteção adequada para PHI e outras informações confidenciais.
Crie uma política de retenção. Uma política de retenção de documentos descreve o processo de identificação, categorização, manutenção, revisão, retenção e destruição de documentos que contêm informações confidenciais.

Para a avaliação de seus controles de segurança da informação, o UpGuard BreachSight pode monitorar sua organização para 70+ controles de segurança, fornecendo uma classificação de segurança cibernética simples e fácil de entender e detectar automaticamente credenciais vazadas e exposições de dados em buckets S3, servidores Rsync, repositórios GitHub e muito mais.

O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta avaliando controles de segurança da informação relacionados e de terceiros, automatizando questionários de fornecedores e fornecendo modelos de questionários de fornecedores.

Também podemos ajudá-lo a comparar instantaneamente seus fornecedores atuais e potenciais com o setor deles, para que você possa ver como eles se comparam.

A principal diferença entre o UpGuard e outros fornecedores de classificações de segurança é que há evidências muito públicas de nossa experiência na prevenção de violações e vazamentos de dados.

Nossa experiência foi apresentada em jornais como The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters e TechCrunch.

Você pode ler mais sobre o que nossos clientes estão dizendo nas avaliações do Gartner.