Auditoria HIPAA: Como estar em conformidade com HIPAA

Os ataques cibernéticos contra prestadores de cuidados de saúde estão a aumentar e, infelizmente, todos os anos registamos um número recorde de violações de dados de alto perfil. Para piorar a situação, qualquer incidente desse tipo pode desencadear uma auditoria HIPAA, cujo fracasso pode resultar em multas dispendiosas que podem potencialmente paralisar uma organização de saúde.

Se você não tem certeza de que sua organização investiu tempo, esforço e dinheiro suficientes em conformidade, você deve agir agora, antes que seja tarde demais. Este artigo oferece um guia completo para entender como funciona o processo de auditoria HIPAA e o ajudará a passar com excelência.

O que é uma auditoria HIPAA?

Uma auditoria HIPAA é uma avaliação da conformidade de uma entidade coberta ou associado comercial com as regras de privacidade, segurança e notificação de violação da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).

HIPAA é uma lei federal dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações pessoais de saúde (PHI) e das informações eletrônicas de saúde (ePHI).

O Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos (OCR) conduz auditorias oficiais da HIPAA e aplica os regulamentos da HIPAA. O processo de auditoria normalmente envolve uma revisão completa das políticas, procedimentos e práticas de uma organização relacionadas à conformidade com a HIPAA, bem como um exame das salvaguardas físicas, técnicas e administrativas que protegem as PHI e as ePHI.

Auditores terceirizados ou departamentos de auditoria interna também podem realizar auditorias HIPAA, mas estas não são oficiais e não têm o mesmo peso que uma auditoria conduzida pelo OCR. Em vez disso, essas auditorias são normalmente usadas como parte de uma estratégia proativa de gerenciamento de riscos de segurança da informação para identificar e resolver possíveis problemas antes que se transformem em problemas maiores.

O que desencadeia uma auditoria HIPAA?

O OCR geralmente aciona auditorias em resposta a uma reclamação ou relatório de violação. Auditorias aleatórias são raras e geralmente reservadas para organizações grandes e estabelecidas, devido aos recursos limitados do OCR.

Infelizmente, durante as auditorias, o OCR muitas vezes descobre problemas que não foram o gatilho original da investigação, destacando a importância de ter uma estratégia de conformidade HIPAA atualizada e completa.

Aqui estão os principais gatilhos de auditoria HIPAA.

1. Reclamações

Dois tipos principais de reclamações podem desencadear uma auditoria HIPAA: reclamações de pacientesede funcionários.

Os pacientes podem registrar reclamações sobre o acesso negado aos seus registros médicos ou a descoberta de que suas PHI foram mal utilizadas. Por exemplo, um paciente pode ver uma postagem nas redes sociais com seu prontuário médico em segundo plano, o que é uma clara violação de sua privacidade.

Outro gatilho comum para uma auditoria são funcionários ou denunciantes insatisfeitos. Por exemplo, se um funcionário suspeitar que sua organização está violando a HIPAA, ele poderá convocar uma auditoria. Um cenário semelhante pode acontecer se virem os seus colegas a lidar mal com as PHI ou se o seu empregador lhes pedir para se envolverem em atividades que violem a HIPAA. A mídia geralmente desempenha um papel fundamental na conscientização sobre tais violações.

2. Relatórios de violação

As entidades cobertas, bem como os parceiros comerciais, devem reportar todas as violações de PHI ao OCR. No entanto, nem todas as violações desencadearão automaticamente uma auditoria. O OCR normalmente considerará vários fatores ao decidir se deve iniciar uma auditoria após uma violação. Esses fatores incluem a natureza e a extensão da violação, o histórico anterior de conformidade da organização e as ações tomadas para mitigar a violação e prevenir incidentes futuros.

Aqui estão as principais causas de violações de dados na área da saúde:

• Erros dos funcionários: muitas auditorias da HIPAA são acionadas por erros dos funcionários, como cair em um ataque de phishing, não usar senhas fortes ou enviar registros médicos errados aos pacientes.
• Má conduta dos funcionários: às vezes, os funcionários violam intencionalmente a HIPAA, seja para ganho pessoal ou por curiosidade. Os exemplos incluem roubar registros de pacientes ou acessá-los sem a devida autorização.
• Erros de terceiros: se um parceiro comercial sofrer uma violação significativa de dados, a entidade coberta também será auditada, pois é responsável por garantir que seus BAs sigam a HIPAA.
• Incidentes de segurança: dispositivos perdidos ou roubados, principalmente os não criptografados, são incidentes de segurança comuns que acionam uma auditoria HIPAA. Outro gatilho é o software não corrigido que leva a ataques de malware ou ransomware.

3. Incumprimento Prévio

Se uma organização já violou a HIPAA, provavelmente estará sujeita a uma auditoria de acompanhamento para garantir que implementou medidas corretivas e agora está em conformidade. O OCR emitirá um Plano de Ação Corretiva (CAP) que descreve as ações específicas que a organização deve tomar para abordar as violações identificadas, mitigar riscos e alcançar a conformidade.

Durante a auditoria de acompanhamento, o OCR analisará minuciosamente a execução do CAP pela organização. Eles avaliarão se a organização fez as melhorias necessárias e avaliarão a eficácia da conformidade contínua da organização. A falha em abordar adequadamente as violações provavelmente resultará em multas e outras penalidades por parte do OCR.

O que será auditado?

Praticamente todos os aspectos das operações de uma organização estão potencialmente sujeitos a escrutínio durante uma auditoria HIPAA. As especificidades do que um auditor de OCR pode solicitar dependerão do motivo que desencadeou a auditoria.

Em geral, sua organização deve estar preparada para apresentar evidências visíveis e demonstráveis de conformidade. Evidências relevantes incluem:

• Documentação de políticas relacionadas à conformidade com as regras de privacidade, segurança e notificação de violação.
• Documentação de incidentes que fornece um registro de quaisquer incidentes, violações ou reclamações relacionadas a PHI, bem como a resposta da sua organização.
• Acordos de Parceria Comercial, que devem delinear as responsabilidades do parceiro comercial para proteger as PHI e seguir a HIPAA.

• Proteções administrativas, como procedimentos para gerenciar a segurança e a privacidade das PHI, incluindo treinamento de conscientização sobre segurança da força de trabalho, controles de acesso e resposta a incidentes.
• Proteções físicas, como controles de acesso às instalações e segurança das estações de trabalho.
• Proteções técnicas, como controles de acesso, criptografia e registros de auditoria, que protegem as PHI contra acesso ou divulgação não autorizada.

O auditor também pode realizar visitas in loco para avaliar as salvaguardas físicas de uma organização e entrevistar funcionários para garantir que estejam seguindo as políticas e procedimentos estabelecidos.

Como se preparar para uma auditoria HIPAA?

Preparar-se para uma auditoria HIPAA significa alcançar total conformidade com os regulamentos da HIPAA. Fazer isso requer mais do que apenas ter políticas em vigor. É crucial ter um programa abrangente que inclua processos tangíveis que apoiem suas políticas.

Além disso, mecanismos de rastreamento são essenciais para fornecer evidências visíveis e demonstráveis de conformidade. Você precisa capturar e registrar todas as informações relevantes, como registros de treinamento de funcionários, relatórios de avaliação de risco e registros de resposta a incidentes. Você usará esses dados para provar ao OCR que sua organização possui um programa de conformidade robusto e está comprometida em proteger a privacidade e a segurança das PHI.

Também é crucial lembrar que a conformidade com a HIPAA não é um evento único, mas um processo contínuo que requer monitoramento, treinamento e avaliação regulares. As organizações devem estar alertas para encontrar e abordar potenciais vulnerabilidades e adaptar as políticas conforme necessário.

Abaixo estão as etapas que uma organização deve seguir para se preparar para uma auditoria HIPAA:

Atribuir um responsável pela privacidade e segurança

Nomear um Diretor de Privacidade é essencial para a conformidade. Elas vão:

• Supervisionar todos os esforços relacionados à HIPAA.
• Servir como principal ponto de contato para pacientes, funcionários e agências reguladoras.
• Desempenhar um papel fundamental na formação e educação da força de trabalho.
• Monitore as práticas de privacidade.
• Desenvolver medidas de segurança.
• Agende revisões regulares de políticas.
• Documente qualquer violação ou incidente.

O Diretor de Privacidade normalmente é auxiliado pelo Diretor de Segurança da Informação, cuja função é supervisionar o programa de segurança da empresa. Em uma organização pequena, uma pessoa pode possuir os dois títulos.

Conduza uma avaliação de risco

Durante uma auditoria HIPAA ou após uma violação, uma avaliação de risco é o primeiro documento que você precisará apresentar a um auditor. Isso prova seu compromisso em manter um programa de conformidade e uma postura de segurança robustos.

Uma avaliação de riscos também revela quaisquer lacunas e pontos fracos em seu negócio, permitindo que você os resolva de forma proativa antes que se tornem um problema. Tomar a iniciativa minimiza a chance de vulnerabilidades não resolvidas expostas durante uma auditoria.

Treinamento de funcionário

Um forte programa de compliance depende de uma força de trabalho bem treinada e vigilante. Todos os membros da equipe que lidam com PHI, incluindo prestadores de serviços e funcionários de meio período, devem compreender como protegê-las durante o armazenamento, transporte e repouso.

Educar a equipe sobre as práticas recomendadas de segurança de e-mail é fundamental para manter a conformidade. Garantir a comunicação segura por meio de protocolos de criptografia reduz bastante o risco de acesso não autorizado ou divulgação de ePHI.

Também é crucial manter a documentação do treinamento concluído para os funcionários e fornecer educação HIPAA aos novos contratados logo após a data de início. A reciclagem anual é obrigatória e os auditores solicitam frequentemente acesso aos registos de formação dos últimos 3-4 anos.

Revise e documente as políticas e procedimentos da HIPAA

É fundamental revisar e atualizar consistentemente suas políticas e procedimentos de conformidade com a HIPAA, garantindo que estejam alinhados com as mudanças nos requisitos.

As revisões regulares também ajudam a garantir que sua organização esteja atualizada sobre quaisquer mudanças regulatórias ou melhores práticas emergentes. Além disso, documentar meticulosamente todas as mudanças nas políticas e procedimentos fornecerá evidências vitais caso você seja auditado.

Revise os acordos de parceria comercial

Como entidade coberta, é sua responsabilidade garantir que a conformidade se estenda aos seus parceiros comerciais. A revisão e atualização regulares de todos os acordos de parceria comercial são, portanto, cruciais para cumprir esta obrigação.

Para garantir a conformidade, os BAA devem refletir com precisão os requisitos atuais da HIPAA e delinear claramente as responsabilidades e obrigações dos seus parceiros comerciais quando se trata de proteger as PHI.

Realize auto-auditorias e monitoramento regulares

Considere realizar autoauditorias regulares e revisar vários aspectos de suas operações para avaliar sua conformidade com a HIPAA. A principal diferença entre autoauditorias e avaliações de risco reside no seu foco e escopo.

Uma autoauditoria é uma revisão interna que encontra possíveis lacunas nas políticas e procedimentos da organização. Por outro lado, uma avaliação de risco é uma avaliação mais ampla que se concentra em potenciais riscos e vulnerabilidades para a segurança das PHI.

Aproveite os avanços tecnológicos

Para mitigar os riscos de segurança, as organizações de saúde podem se beneficiar muito investindo em uma estratégia robusta de segurança de confiança zero. A confiança zero se concentra na verificação e validação de cada usuário e dispositivo que tenta acessar dados confidenciais, fornecendo uma camada extra de proteção.

Além disso, as organizações de saúde devem priorizar a segurança dos endpoints e da rede. Estas medidas fortalecem as defesas contra ameaças externas, garantindo proteção abrangente de PHI contra hackers.

O que mais você deve saber sobre auditorias HIPAA

Nem todas as auditorias HIPAA são iguais. Eles variam em escopo, intensidade e duração, dependendo da natureza e da gravidade do problema que está sendo investigado. Algumas auditorias são limitadas a uma área específica, enquanto outras podem ser mais abrangentes e cobrir todos os aspectos da conformidade com a HIPAA.

Quanto tempo leva uma auditoria HIPAA?

Uma auditoria HIPAA pode levar de várias semanas a vários meses, dependendo de fatores como:

• O escopo da auditoria.
• O tamanho e a complexidade da organização que está sendo auditada.
• A presença de entidades externas, o que complica e alonga a investigação.

O OCR normalmente avisa com antecedência antes de realizar uma auditoria. As organizações auditadas também são informadas sobre o propósito, o escopo e a duração esperada da auditoria. Dependendo da gravidade de quaisquer problemas identificados, o OCR também poderá realizar auditorias de acompanhamento para garantir que a organização implementou as ações corretivas necessárias.

Quanto custa uma auditoria HIPAA?

Se uma organização for selecionada para uma auditoria oficial da HIPAA por OCR, não haverá custos diretos para a organização que está sendo auditada. No entanto, existem custos indiretos de preparação para a auditoria, como a contratação de consultores, e os custos de oportunidade de alocação de tempo da equipe.

Além disso, uma organização pode realizar uma autoauditoria voluntária com um auditor externo ou interno. Os auditores externos normalmente cobram honorários de alguns milhares a dezenas de milhares de dólares, com base no escopo da auditoria e no tempo necessário.

O que acontece se você violar a HIPAA?

A violação da HIPAA incorre em multas e penalidades significativas, tanto civis quanto criminais. As multas e penalidades da HIPAA variam de US$127 a quase US$2 milhões, enquanto violações intencionais ou imprudentes podem resultar em prisão de até 10 anos. Violações particularmente graves podem gerar tanto multas civis quanto acusações criminais, bem como ações judiciais coletivas contra a entidade coberta ou parceiro comercial.

Além de multas e ações legais, o OCR também pode exigir que o infrator tome medidas corretivas para resolver a violação e prevenir futuros incidentes. O OCR frequentemente emite planos de ação corretiva (CAPs) que exigem que o infrator adote novas políticas conforme indicado pelo OCR. Estas PAC também implicam auditorias de acompanhamento, com sanções mais rigorosas caso a PAC não seja cumprida.

Uma violação da HIPAA também prejudicará a reputação do infrator se o incidente resultar na atenção da mídia. A publicidade negativa leva à perda de confiança entre os pacientes e outras partes interessadas e pode ter consequências duradouras. Finalmente, os infratores da HIPAA também podem perder sua licença ou credenciamento médico.

Conclusão

É compreensível ficar apreensivo com as auditorias da HIPAA. No entanto, não pretendem ser punitivos, mas sim um meio de avaliar a conformidade de uma organização. Se você estiver genuinamente comprometido em manter a segurança das informações, é improvável que enfrente problemas significativos durante uma auditoria.

Além disso, se o OCR encontrar problemas de conformidade, normalmente colaborará com a organização auditada para implementar um plano de ação corretiva em vez de impor uma multa. Na esmagadora maioria dos casos, o OCR primeiro fornecerá assistência técnica e orientação para ajudar a resolver os problemas e melhorar a conformidade geral.

No entanto, o OCR não é tolerante com a negligência intencional da HIPAA e espera que as organizações adotem uma abordagem proativa. As recentes violações de dados de alto perfil no setor da saúde elevaram os padrões de conformidade a novos patamares. No mínimo, os prestadores de cuidados de saúde precisam de manter a confiança dos seus pacientes e levar a sério a protecção das PHI. Para satisfazer estas expectativas, é crucial fazer um esforço de boa-fé para seguir os regulamentos da HIPAA - ou correr o risco de multas dispendiosas e ações legais. Além disso, saiba mais sobre as principais diferenças entre HIPAA e HITRUST, duas estruturas críticas que regem a conformidade no setor de saúde.