O que torna a conformidade com o HIPAA tão difícil?

As consequências de não implantar e manter medidas eficazes de conformidade com o HIPAA foram deixadas muito claras nos últimos anos. Semi-relacionado também está o problema de hospitais e consultórios médicos usarem tecnologia e soluções desatualizadas que dificultam a conformidade com a conformidade de saúde como um todo.

Violações de dados que expõem informações de saúde dos pacientes em massa e ataques de ransomware que comprometem seriamente a capacidade das organizações de saúde de fornecer serviços são dois dos exemplos mais recentes de tecnologia desatualizada causando problemas. Deixando de lado o dano monetário que a falha em cumprir traz para uma organização de saúde, o impacto que esses eventos têm em sua reputação é ainda mais preocupante.

Não acha que sua organização precisa cumprir o HIPAA? Quatro tipos de empresas de saúde devem estar cientes e aderir à regulamentação do HIPAA: planos de saúde, clearinghouses de saúde, prestadores de cuidados de saúde e associados de negócios. (A falha em perceber que sua empresa não está em conformidade ou que tal regulamentação sequer existe não pode mais ser usada como uma defesa razoável caso sua empresa seja multada.)

Qualquer empresa que se enquadre nesses quatro tipos coleta, processa e armazena regularmente dados médicos e financeiros de pacientes. Já sobrecarregada com grandes quantidades de dados, qualquer uma dessas empresas pode comprometer inadvertidamente os dados dos pacientes ou a rede de saúde sem a ajuda de um software de conformidade específico do HIPAA ou de uma agência de consultoria.

No entanto, só porque uma organização ou empresa de saúde decidiu dar passos sérios em direção à conformidade com o HIPAA não significa que seja um processo fácil. E assim, compilamos uma lista de verificação que você pode usar para transformar sua organização em uma que seja deliberada e resolutamente compatível.

Lista de Verificação de Conformidade com o HIPAA

Existem quatro componentes nesta lista de verificação:

1. Realize uma avaliação de risco abrangente da sua organização — Primeiro de tudo, você deve entender como o HIPAA se aplica à sua prática, instalação ou empresa específica. Você faz isso realizando uma avaliação de risco para entender fraquezas, vulnerabilidades potenciais e quaisquer lacunas nas medidas existentes. Você pode realizar auto-auditorias regulares ou contratar uma agência de consultoria para auditar sua organização. O objetivo final é identificar quais elementos do HIPAA você está em risco de não conformidade.
2. Remediação — Uma vez que você tenha identificado as lacunas e riscos na conformidade, deve criar planos para garantir que esses problemas sejam resolvidos. Algo a ser observado: os planos de remediação não podem ser genéricos. Os planos devem ser adaptados às diferentes regras do HIPAA que existem; políticas e procedimentos variam se você está aderindo à Regra de Privacidade do HIPAA, à Regra de Segurança do HIPAA ou à Regra de Notificação de Violação do HIPAA. (Discutiremos essas diferentes regras e salvaguardas mais adiante.)
3. Monitore, relate e treine — As soluções de conformidade com o HIPAA oferecem relatórios de conformidade automatizados, o que é útil para tarefas como identificar, rastrear, investigar e relatar incidentes. As diferentes regras do HIPAA exigem salvaguardas administrativas, físicas ou técnicas, todas as quais são facilitadas com ferramentas que automatizam as responsabilidades de monitoramento e relatório. Além disso, a conformidade com cuidados de saúde de qualquer tipo é eficaz apenas se todos os membros da equipe e funcionários participarem. O treinamento é crucial e essencial para garantir que seus esforços de conformidade bem preparados sejam mantidos.
4. Gestão contínua — A documentação é necessária para provar que sua organização está acompanhando os esforços de conformidade. Organizações como os Centros de Serviços Medicare & Medicaid (CMS), o ONC (Office of the National Coordinator for Health Information Technology) e o HHS (Departamento de Saúde e Serviços Humanos dos EUA) auditam regularmente prestadores de cuidados de saúde e associados de negócios para garantir que permaneçam em conformidade, ano após ano. Além disso, gerenciar e avaliar continuamente o risco ajudará a manter suas salvaguardas em excelente forma.

Regras a seguir (sempre)

Existem quatro regras do HIPAA que as organizações de saúde seguem, independentemente do tipo de negócio. As Regras de Privacidade e Segurança devem ser cumpridas em todos os momentos. Elas vêm com três salvaguardas. As Regras de Aplicação e Notificação de Violação estabelecem estruturas pós-incidentes.

1. Regra de Privacidade do HIPAA — A Regra de Privacidade protege todas as informações de saúde individualmente identificáveis que são compartilhadas ou armazenadas por organizações ou empresas. A Regra de Privacidade protege as informações de saúde protegidas (PHI), tanto eletronicamente (ePHI) quanto em papel, além de dar aos pacientes direitos sobre o acesso e compartilhamento de suas próprias informações de saúde pessoais. Os tipos de organizações que cuidam especialmente da Regra de Privacidade são: prestadores de cuidados de saúde, clearinghouses de seguros de saúde e qualquer empresa que utilize dados de pacientes.
2. Regra de Segurança do HIPAA — A Regra de Segurança protege o ePHI dos indivíduos; a regra define especificamente parâmetros em torno da criação, compartilhamento e armazenamento de tais informações de saúde. Manter a confidencialidade enquanto também regula o acesso a esses dados são aspectos cruciais que a Regra de Segurança garante que as organizações de saúde tenham. A Regra de Segurança ajuda as organizações a identificar lacunas de segurança que podem então ser abordadas por meio de várias salvaguardas adaptadas aos diferentes padrões das organizações.

Salvaguardas

As salvaguardas existem para prevenir o compartilhamento não autorizado ou ilegal de PHI, independentemente de esse compartilhamento ter sido feito intencionalmente ou não. Em última análise, essas salvaguardas existem para proteger as informações dos pacientes, mas também são destinadas a proteger a organização de saúde de comprometer seus esforços de conformidade.

• Salvaguardas administrativas — As salvaguardas administrativas ajudam a estabelecer políticas e procedimentos internos por meio de processos de gerenciamento de segurança, treinamento de conscientização de segurança e planejamento de contingência. A equipe médica e os funcionários devem ser capazes de se referir a essas políticas para reduzir quaisquer violações inadvertidas da confidencialidade do paciente. A documentação é fundamental para implementar salvaguardas administrativas eficazes; assim como o fácil acesso a essa documentação pelos funcionários.
• Salvaguardas técnicas — As salvaguardas técnicas ajudam a formular a Regra de Segurança do HIPAA por meio de controle de acesso, controle de auditoria e autenticação de entidade. Com salvaguardas técnicas, as organizações de saúde podem garantir a segurança e a integridade dos ePHIs. Além disso, as salvaguardas técnicas monitoram o acesso do usuário aos sistemas de armazenamento de ePHI.
• Salvaguardas físicas — Salvaguardas físicas como controles que ordenam o acesso às instalações e o uso de dispositivos e mídia ajudam a guiar a criação das políticas que protegem os sistemas eletrônicos que abrigam ePHIs. Com salvaguardas físicas, tanto a instalação de saúde quanto os funcionários podem entender e prevenir ameaças potenciais e ações não autorizadas que comprometerão a manutenção da confidencialidade do paciente.

Regras a seguir pós-incidente

1. Regra de Aplicação do HIPAA — A Regra de Aplicação define e aplica os procedimentos que devem ser seguidos uma vez que uma possível violação do HIPAA é determinada. A Regra de Aplicação fornece os procedimentos que ajudam as organizações de saúde a navegar pelas multas e penalidades que podem recair sobre elas caso essa violação exija consequência após investigação. A Regra de Aplicação só é acionada uma vez que o departamento de Saúde e Serviços Humanos decide investigar sua organização.
2. Regra de Notificação de Violação do HIPAA — A Regra de Notificação de Violação garante que as organizações de saúde notifiquem os pacientes após as PHIs serem comprometidas. Uma violação de PHI só deve ocorrer se sua organização estiver em não conformidade com a Regra de Privacidade do HIPAA, por exemplo, você não conseguiu proteger as informações dos seus pacientes.

Equipar sua instalação de saúde com as ferramentas e recursos para manter a conformidade com o HIPAA é uma medida difícil, mas necessária. Empregar soluções como sistemas de mensagens compatíveis com o HIPAA pode proteger o hospital ou consultório médico de se abrir acidentalmente para responsabilidade quando tudo o que estão fazendo é enviar um e-mail de confirmação de consulta ao paciente. As organizações devem considerar os prós e contras de manter a segurança e a confidencialidade do paciente versus acompanhar a tecnologia que capacita os pacientes a terem acesso regular às suas próprias informações de saúde. Com aplicativos móveis como Apple Health Records e gerenciadores de diabetes ou rastreadores de glicose criando o que é essencialmente nova tecnologia EHR e médica, a linha entre compartilhar e fornecer acesso aos dados de saúde do paciente, versus aderir às leis de liberação médica, tornou-se turva.

Como atender à conformidade com o HIPAA

Agora que você conhece os diferentes componentes que compõem a conformidade com o HIPAA, como você pode atendê-la?

Aqui estão quatro regras que ajudarão você a criar e marcar uma lista de verificação de conformidade com o HIPAA:

1. Padronize a documentação e comunicação clínica — A codificação é crucial para que os profissionais médicos documentem e transmitam notas de pacientes. Conjuntos de códigos específicos existem para simplificar a elaboração de gráficos, unificar a comunicação de saúde e codificar transmissões. Alguns exemplos comuns de códigos médicos incluem: NDC (National Drug Codes) para identificação e distribuição de medicamentos; ICD-10-CM (Classificação Internacional de Doenças, Décima Revisão, Modificação Clínica) para diagnóstico de sintomas; e HCPCS (Sistema de Codificação de Procedimentos Comuns de Saúde/CPT (Terminologia de Procedimentos Correntes) para faturamento médico. A maioria dos EHRs automatiza a formatação de codificação. Certifique-se de que sua instalação esteja atualizada nas melhores práticas de codificação.
2. Registro NPI — NPI (Identificador Nacional de Prestador) é um número de 10 dígitos usado por planos de saúde, prestadores de cuidados de saúde e clearinghouses de saúde para verificar e validar transações financeiras. O HIPAA exige o uso de NPIs únicos ao transmitir dados de saúde, então sua prática deve obter e usar NPIs para se diferenciar de outros profissionais com nomes semelhantes.
3. Melhores práticas de privacidade do paciente — Desenvolva procedimentos de privacidade para sua instalação e designe um ponto de contato para monitorar sua implementação ou crie um banco de dados facilmente acessível dessas políticas. Mantenha um registro do PHI da sua instalação, particularmente os cenários de uso e divulgação autorizados de PHI, e certifique-se de que sua organização exija tanto treinamento contínuo sobre esses procedimentos de privacidade quanto avaliações regulares de risco sobre a integridade de suas salvaguardas de segurança.
4. Planejamento de contingência — Sua organização de saúde deve estar preparada para lidar com quaisquer incidentes ou violações que violem o HIPAA. Independentemente de sua prática realmente violar o HIPAA, é melhor estabelecer procedimentos que estejam alinhados com as Regras de Aplicação e Notificação de Violação do HIPAA. Quanto mais preparada sua organização estiver, mais equipada estará quando se trata de investigações.