O que é a Lei HITECH?

A Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) O ato é parte do American Recovery and Reinvestment Act de 2009, que visa impulsionar a adoção de registros eletrônicos de saúde (EHR) e fortalecer a privacidade e a segurança dos dados de assistência médica. Ele ofereceu incentivos financeiros para o uso significativo de EHRs e aumentou as penalidades para violações do HIPAA. O ato também expandiu os requisitos do HIPAA para “associados comerciais” que lidam com dados de pacientes, impulsionando a proteção geral de dados.

Visão geral da Lei HITECH

  • Lei: Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica
  • Região: U.S.A
  • Assinado em: 17-02-2009
  • Indústria: Assistência médica

Dados pessoais sob a Lei HITECH

O HITECH Act foi criado com base na regra de privacidade HIPAA, então os dados pessoais que ele protege são essencialmente os mesmos: informações de saúde protegidas (PHI). Em essência, qualquer informação que uma entidade coberta pelo HITECH cria, usa ou transmite que pode ser usada para identificar um paciente e se relaciona com seu

  • Histórico médico: Diagnósticos, tratamentos, medicamentos, alergias e resultados de testes
  • Informação de pagamento: Detalhes de faturamento médico, informações de seguro, valores de copagamento
  • Dados demográficos: Nome, endereço, número de telefone, data de nascimento, endereços de e-mail
  • Informação genética: Dados de DNA ou outros detalhes sobre a composição genética de um indivíduo

Principais componentes da Lei HITECH

  • Incentivos financeiros: Incentiva a adoção de Registros Eletrônicos de Saúde (RES) por meio de incentivos financeiros, promovendo melhoria na qualidade e eficiência da assistência médica.
  • Regras HIPAA reforçadas: Expande o alcance do HIPAA para associados comerciais, introduz a Regra de Notificação de Violação e aprimora os mecanismos de execução.
  • Padrões de privacidade e segurança: Define medidas específicas de proteção de dados que as organizações de saúde devem implementar para proteger as informações dos pacientes.

Princípio de proteção de dados

De acordo com o HITECH Act, as organizações de saúde e seus associados comerciais devem implementar salvaguardas para proteger a confidencialidade, integridade e disponibilidade das PHI. O HITECH Act defende os princípios básicos de HIPAA, focando em

  • Privacidade: Os pacientes podem acessar, alterar e solicitar restrições sobre o uso de suas informações de saúde protegidas (PHI).
  • Segurança: As organizações de saúde devem implementar salvaguardas razoáveis ​​e apropriadas para proteger as PHI contra acesso, uso, divulgação, alteração ou destruição não autorizados.
  • Notificação de violação: A notificação imediata é obrigatória para violações de dados que afetam 500 ou mais indivíduos para garantir mitigação e resposta oportunas.

Direitos sob a Lei HITECH

  • Acesso a PHI: Os pacientes podem obter uma cópia de seus registros médicos em formato eletrônico (se disponível) gratuitamente.
  • Emenda de PHI: Solicitar correções de informações imprecisas ou incompletas em seus registros médicos.
  • Restrições de uso e divulgação: Limite o uso e a divulgação de suas PHI para fins específicos.
  • Contabilização de divulgações: Obtenha uma lista de divulgações de suas PHI feitas para finalidades diferentes de tratamento, pagamento ou operações de assistência médica.

Quem precisa cumprir a Lei HITECH?

A Lei HITECH se aplica a duas categorias principais de entidades:

  • 1. Entidades abrangidas: Essas entidades já estão definidas como “entidades cobertas” pela Regra de Privacidade HIPAA. Elas incluem
    1. Prestadores de cuidados de saúde: Hospitais, clínicas, médicos, dentistas, quiropráticos, profissionais de saúde mental, casas de repouso, etc.
    2. Planos de saúde: Companhias de seguros, HMOs e programas de saúde governamentais, como Medicare e Medicaid.
    3. Centros de compensação de saúde: Entidades que processam informações de saúde para diversas entidades cobertas.
  • 2. Parceiros comerciais: O HITECH Act expandiu significativamente o escopo da conformidade com a HIPAA ao introduzir o conceito de “Associados Comerciais”. Qualquer entidade que receba, transmita ou mantenha Informações de Saúde Protegidas (PHI) em nome de uma entidade coberta deve cumprir o HITECH Act, mesmo que não trate diretamente pacientes ou gerencie planos de saúde. Isso abrange vários negócios, como:
    1. Administradores terceirizados (TPAs) de planos de saúde.
    2. Empresas de cobrança e codificadores médicos.
    3. Provedores de serviços de TI e fornecedores de computação em nuvem.
    4. Agências de marketing e publicidade que lidam com dados de saúde.
    5. Instituições de pesquisa que conduzem estudos usando PHI.

É importante observar que até mesmo subcontratados de parceiros comerciais também estão sujeitos à conformidade se acessarem ou transmitirem PHI.

Multas por não conformidade

A Lei HITECH estabeleceu um sistema de penalidades escalonadas com diferentes níveis de multas com base na culpabilidade associada à violação:

  • Nível 1 (Causa Razoável): US$ 100 a US$ 50,000 por violação, com um limite anual de US$ 100,000 para violações idênticas.
  • Nível 2 (Negligência): US$ 1,000 a US$ 50,000 por violação, limitado a US$ 1.5 milhão anualmente para violações idênticas.
  • Nível 3 (Negligência Intencional): US$ 10,000 a US$ 50,000 por violação, limitado a US$ 1.5 milhão anualmente para violações idênticas.
  • Nível 4 (Ação corrigida necessária): US$ 50,000 por violação, limitado a US$ 1.5 milhão anualmente para violações idênticas.

Autoridade de conformidade para a Lei HITECH

O Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA (HHS) é responsável por fazer cumprir a lei e investigar reclamações de não conformidade.

Concluindo, entender e aderir às disposições do HITECH Act são essenciais para proteger informações eletrônicas de saúde e manter a conformidade dentro do setor de saúde. As organizações podem mitigar o risco de violações de dados, manter a confidencialidade do paciente e evitar multas caras priorizando os princípios de proteção de dados, direitos e medidas de conformidade descritos no HITECH Act.

Perguntas frequentes

O HITECH exige que todos os provedores de saúde usem registros eletrônicos de saúde (EHRs)?

Não, a HITECH não exige a adoção de EHR para todos os provedores. No entanto, ela incentivou a mudança para EHRs oferecendo recompensas financeiras para “uso significativo”. Essas recompensas foram amplamente eliminadas, mas muitos provedores já adotaram EHRs devido aos benefícios e potenciais penalidades por não usá-los efetivamente.

O que acontece se um provedor de saúde sofrer uma violação de dados sob o HITECH?

A HITECH exige que as entidades cobertas relatem certas violações de dados aos indivíduos afetados e ao Departamento de Saúde e Serviços Humanos (HHS), dependendo da gravidade da violação e do risco aos pacientes.

O HITECH se aplica a dados coletados em estudos de pesquisa médica?

O HITECH geralmente não se aplica diretamente a dados de pesquisa, mas pesquisas envolvendo dados identificáveis ​​de pacientes podem precisar estar em conformidade com a HIPAA e suas regras de privacidade. Processos adicionais de aprovação do conselho de revisão institucional (IRB) também podem ser necessários para estudos de pesquisa.

O que você pode fazer com Solix

Solicitar uma demonstração
Cadastre-se para um teste gratuito e ganhe um vale-presente Amex

Participe para ganhar um vale-presente Amex de $ 100

Notícias

Acesse nossos outros recursos relacionados