HIPAA

O que é HIPAA?

HIPAA ou o Lei de Portabilidade e Responsabilidade do Seguro de Saúde, é uma lei federal promulgada em 1996 para proteger informações de saúde sensíveis de pacientes. Ela define padrões para proteger informações de saúde individualmente identificáveis, conhecidas como informações de saúde protegidas (PHI). Ela estabelece regulamentações para provedores de saúde, planos de saúde e câmaras de compensação de saúde para garantir a segurança e privacidade dos dados.

Visão geral do HIPAA

• Lei: Lei de Portabilidade e Responsabilidade do Seguro de Saúde
• Região: U.S.A
• Assinado em: 21-08-1996
• Data efetiva: 21-08-1996
• Indústria: Assistência médica e organizações que prestam serviços a uma entidade coberta

Dados pessoais sob o HIPAA

A HIPAA protege uma categoria de informações de saúde conhecida como Protected Health Information (PHI). PHI são quaisquer detalhes sobre suas condições médicas, tratamentos e pagamentos passados, presentes ou futuros. Aqui está uma análise dos tipos de informações protegidas pela HIPAA.

• Informação médica inclui diagnósticos, resultados de testes, planos de tratamento, medicamentos, alergias e registros de imunização.
• Informações sobre o tratamento inclui consultas médicas, internações hospitalares, cirurgias e outros procedimentos médicos.
• Informações de pagamento inclui informações sobre cobertura de seguro de saúde, extratos de cobrança e pagamentos feitos por serviços de saúde.
• Informação demográfica inclui informações como nome, endereço, data de nascimento, número de telefone e endereço de e-mail do paciente somente se estiverem vinculadas a outras informações médicas.

Principais componentes do HIPAA

• Regra de privacidade: Define padrões para proteger PHI e descreve os direitos dos indivíduos em relação às suas informações de saúde.
• Regra de segurança de dados: Exige salvaguardas técnicas, físicas e administrativas específicas para proteger as PHI eletronicamente.
• Regra de transações e conjuntos de códigos: Estabelece formatos de dados padrão para transações de saúde e identifica códigos exclusivos para entidades médicas.

Imagem

Além disso, os regulamentos de Execução, Notificação de Violação, Ônibus e outros relacionados descrevem os requisitos para proteger as PHI, garantindo sua confidencialidade, integridade e disponibilidade, e estabelecendo penalidades para a não conformidade.

Princípio de proteção de dados

• Mínimo necessário: Utilize o PHI mínimo necessário para a finalidade pretendida.
• Controle individual: Os indivíduos têm o direito de acessar, alterar e solicitar restrições em suas PHI.
• Prestação de contas: Entidades cobertas (provedores de serviços de saúde, planos de saúde, câmaras de compensação de assistência médica) devem implementar e manter programas de conformidade com a HIPAA.

Direitos sob a HIPAA

• Direito de acesso: Obter uma cópia dos seus registros médicos.
• Direito de correção: Solicitar correções de imprecisões em seus registros.
• Direito à contabilização das divulgações: Rastreie as divulgações de suas PHI.
• Direito de solicitar restrições: limitar como suas PHI são usadas ou compartilhadas.
• Direito de registrar uma reclamação: denuncie suspeitas de violações da HIPAA.

Quem precisa cumprir a HIPAA?

A HIPAA se aplica a entidades cobertas, como:

• Prestadores de cuidados de saúde (hospitais, médicos, dentistas)
• Planos de saúde (seguradoras, HMOs)
• Centros de compensação de saúde (entidades que processam dados de saúde)
• Parceiros comerciais que acessam ou transmitem PHI em nome de entidades cobertas também enfrentam obrigações de conformidade.

Exceções

• A HIPAA permite a divulgação de PHI sem consentimento individual em situações específicas, como emergências de saúde pública, investigações policiais ou pesquisas.
• Dados de saúde desidentificados, não facilmente identificáveis ​​por indivíduos, estão fora do escopo da HIPAA.

Penalidades Regulatórias

As multas por não conformidade para HIPAA podem ser bem complexas e dependem de vários fatores, incluindo o nível de culpa, o número de violações e o tipo de violação. Aqui está uma análise dos níveis de culpabilidade:

• Sem saber: Nenhum conhecimento da violação e não poderia ter evitado razoavelmente com o devido cuidado. As penalidades variam de $100 a $50,000 por infração, limitadas anualmente a $1.5 milhão para violações idênticas.
• Causa razoável: Sabia ou deveria saber sobre a violação, mas não agiu com negligência intencional. As multas variam de $ 1,000 a $ 100,000 por violação, com um máximo anual de $ 250,000.
• Negligência intencional: Sabia sobre a violação e desconsiderou sua significância ou demonstrou indiferença. As multas variam de $ 10,000 a $ 250,000 por violação, com um máximo anual de $ 1.5 milhão.
• Violação corrigida: Negligenciou intencionalmente a violação, mas tomou medidas corretivas depois. As multas são reduzidas em 25%.
• Acusações criminais: Violações intencionais podem resultar em prisão de até 10 anos e multas de até US$ 250,000.

Autoridade de conformidade para o HIPAA

O Office for Civil Rights (OCR) dentro do Department of Health and Human Services (HHS) é a Autoridade de conformidade com a HIPAA. O OCR aplica a Privacy Rule, Security Rules e Transaction and Code Sets Rule por meio de investigações, revisões de conformidade e penalidades civis.

Concluindo, a HIPAA é uma pedra angular da privacidade e segurança no setor de saúde, exigindo salvaguardas rigorosas para proteger as informações de saúde confidenciais dos pacientes. A conformidade com os regulamentos da HIPAA é essencial para que as entidades cobertas e os associados comerciais mantenham a confiança do paciente, evitem multas caras e mitiguem os riscos de violações de dados. Ao implementar técnicas robustas de mascaramento de dados, anonimização de dados, criptografia de dados, redação de dados e se manter informado sobre os regulamentos emergentes, você pode capacitar sua organização com confiança para navegar nas complexidades da HIPAA.

Perguntas frequentes