Nossa revisão da história da HIPAA começa em 21 de agosto de 1996, quando a Lei de Portabilidade do Seguro de Saúde e Responsabilidade Civil (HIPAA) foi promulgada, mas por que a Lei HIPAA foi formulada?
A Lei HIPAA foi formulada para “melhorar a portabilidade e a responsabilidade da cobertura do seguro de saúde” para os trabalhadores que se deslocam entre empregos. Outros objetivos da Lei foram abordar o desperdício, fraude e abuso nos seguros de saúde e na prestação de cuidados de saúde. A Lei também incluiu passagens para incentivar o uso de contas poupança médicas através da criação de incentivos fiscais, oferece cobertura para os funcionários com condições médicas preexistentes e simplifica a administração do seguro de saúde.
Os processos para simplificar a administração do seguro de saúde tornaram-se uma forma de incentivar a indústria da saúde a informatizar os registros médicos dos pacientes. Essa parte específica da lei gerou a Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) em 2009, que resultou na introdução do programa de incentivo ao Uso Significativo – descrito pelos líderes do setor de saúde como “a peça mais importante da legislação de saúde a ser aprovada nos últimos 20 a 30 anos”.
- As Regras de Privacidade e Segurança HIPAA Começam a Evoluir
- Quando a HIPAA se tornou executável?
- A promulgação da Regra de Execução
- HITECH 2009 e a Regra de Notificação de Violação
- A Regra Final Omnibus de 2013
- HIPAAA Histórico Datas Significativas
- Impacto da Regra Final Omnibus
- O Programa de Auditoria de Conformidade HIPAAA
- Como garantir a total conformidade com a HIPAA
As Regras de Privacidade e Segurança HIPAA Começam a Evoluir
Após a HIPAA ter sido promulgada a lei, o Departamento de Saúde e Serviços Humanos dos EUA iniciou o desenvolvimento das primeiras Regras de Privacidade e Segurança HIPAA. A Regra de Privacidade tinha uma data de cumprimento efectivo de 14 de Abril de 2003, e referia-se às Informações de Saúde Protegidas (PHI) como “qualquer informação detida por uma entidade coberta que esteja relacionada com o estado de saúde, a prestação de cuidados de saúde, ou pagamento por cuidados de saúde que possam estar ligados a um indivíduo”.
Instruções foram disponibilizadas sobre como as PHI devem ser partilhadas e que a permissão deve ser recebida dos pacientes antes de usar os seus dados pessoais para marketing, angariação de fundos ou pesquisa. Também deu aos pacientes a permissão para reter informações sobre seus cuidados de saúde dos provedores de seguro de saúde quando seu tratamento é financiado privadamente.
A Regra de Segurança HIPAA tornou-se executável dois anos após a legislação original em 21 de abril de 2005. Referindo-se especificamente aos DCC armazenados electronicamente (ePHI), a Regra de Segurança estabeleceu três medidas de segurança – administrativas, físicas e técnicas – que devem ser cumpridas por completo para cumprir com a HIPAA. As medidas de segurança tinham estes objectivos:
- Administrativos – para desenvolver políticas e processos estabelecidos para indicar claramente como a entidade irá cumprir com o acto.
- Física – para gerenciar o acesso físico a áreas de armazenamento de dados para proteger contra acesso impróprio
- Técnica – para salvaguardar as comunicações incluindo PHI quando enviadas eletronicamente através de redes abertas
Quando a HIPAA se tornou executável?
Em que ano a HIPAA foi promulgada a lei? A HIPAA foi promulgada em 21 de Agosto de 1996, mas houve grandes emendas à HIPAA ao longo dos últimos 20 anos: A introdução da Regra de Privacidade, Regra de Segurança, Regra de Notificação de Violação e a Regra Final Omnibus.
As datas efectivas mais significativas são: 14 de abril de 2003 para a Regra de Privacidade HIPAA, embora houvesse uma extensão de 12 meses para pequenos planos de saúde, que eram obrigados a aderir às disposições da Regra de Privacidade HIPAA até 14 de abril de 2004.
A data efetiva de adesão à Regra de Segurança HIPAA foi 21 de abril de 2005. Semelhante à Regra de Privacidade HIPAA, os pequenos planos de saúde receberam um ano extra para aderir às disposições da Regra de Segurança HIPAA e tiveram uma data de cumprimento efectivo de 21 de Abril de 2006.
A Regra de Notificação de Violação HIPAA tornou-se executável em 23 de Setembro de 2009 e a Regra Final Omnibus tornou-se executável em 26 de Março de 2013.
A promulgação da Regra de Execução
A falha de muitos equipamentos cobertos em aderir plenamente às Regras de Privacidade e Segurança HIPAA levou à introdução da Regra de Execução em Março de 2006. A Regra de Aplicação da Lei deu ao Departamento de Saúde e Serviços Humanos o poder de analisar queixas contra entidades cobertas por não cumprimento da Regra de Privacidade, e de multar os trajes cobertos por violações evitáveis da ePHI devido ao não cumprimento da medida de segurança estabelecida pela Regra de Segurança.
O Gabinete dos Direitos Civis do Departamento também recebeu a autoridade para apresentar acusações criminais contra infractores reincidentes que não introduzam medidas correctivas no prazo de 30 dias. As pessoas também têm o direito de tomar uma ação civil legal contra a entidade coberta se suas informações pessoais de saúde tiverem sido compartilhadas sem sua permissão se isso as causar “danos graves”.
HITECH 2009 e a Regra de Notificação de Violação
HIPAAA história se acelerou em 2009 com a introdução da Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH). A HITECH tinha como objetivo principal obrigar as autoridades de saúde a colocar em prática o uso dos Registros Eletrônicos de Saúde (EHR) e decretou o programa de incentivo ao Uso Significativo. A primeira etapa do Programa de Uso Significativo foi introduzida no ano seguinte, incentivando grupos de saúde a manter as Informações de Saúde Protegidas dos pacientes em formato eletrônico, ao invés de arquivos em papel.
Com o programa de incentivo também veio uma extensão das Regras da HIPAA aos associados comerciais e fornecedores terceirizados do setor de saúde, e a introdução da Regra de Notificação de Infração – que afirmava que todas as violações da ePHI que afetem mais de 500 indivíduos devem ser levadas ao conhecimento do Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis. Os critérios para relatar violações da ePHI foram então estendidos na Regra Final Omnibus de março de 2013.
A Regra Final Omnibus de 2013
O último ato de legislação na história da HIPAA foi a Regra Final Omnibus de 2013. A regra não introduziu realmente nenhuma nova legislação, mas abordou lacunas nas regulamentações HIPAA e HITECH existentes – por exemplo, especificando os padrões de criptografia que precisam ser aplicados a fim de tornar o ePHI inutilizável, indecifrável e ilegível no caso de uma violação ocorrer.
Muitas definições foram alteradas ou ampliadas para abordar as áreas cinzentas – por exemplo, a definição de “força de trabalho” foi alterada para deixar claro que o termo inclui empregados, voluntários, estagiários e outras pessoas cuja conduta, no desempenho do trabalho para uma entidade coberta ou Associado de Negócios, está sob a gestão direta da entidade coberta ou Associado de Negócios.
As Regras de Privacidade e Segurança também foram alteradas para permitir que as informações de saúde dos pacientes sejam mantidas indefinidamente (a legislação anterior havia declarado que elas seriam mantidas por 50 anos), enquanto novos procedimentos foram acrescentados à Regra de Notificação de Infração. Novas penalidades também foram aplicadas – como ditado pela HITECH – para cobrir os trajes que foram infringidos pela Regra de Execução da HIPAA.
Alterações também foram incluídas para levar em conta as mudanças nas práticas de trabalho trazidas pelos avanços tecnológicos, abrangendo o uso de dispositivos móveis em particular. Um grande número de profissionais da saúde está agora usando seus próprios dispositivos móveis para visualizar e compartilhar ePHI, e a Regra Final Omnibus incluiu novos procedimentos administrativos e políticas para levar isso em conta, e para incluir cenários que não poderiam ter sido previstos em 1996. O texto completo da Regra Final Omnibus pode ser encontrado aqui.
Após uma série de atrasos, o prazo para os Estados Unidos usarem o CID-10-CM de Modificação Clínica para codificação de diagnóstico e Sistema de Codificação de Procedimentos CID-10-PCA para codificação de procedimentos hospitalares internados foi finalmente estabelecido como 1º de outubro de 2015. Todos os trajes cobertos pelo HIPAA devem usar o CID-10-CM. Outro requisito é este do EDI Versão 5010.
HIPAAA Histórico Datas Significativas
- Agosto de 1996 – HIPAA Promulgado pelo Presidente Bill Clinton.
- Abril de 2003 – Data Efetiva da Regra de Privacidade HIPAA.
- Abril de 2005 – Data Efetiva da Regra de Segurança HIPAA.
- Março 2006 – Data de vigência da Regra de Notificação de Violação da HIPAA.
- Setembro 2009 – Data de vigência da HITECH e da Regra de Notificação de Violação.
- Março 2013 – Data de vigência da Regra Final Omnibus.
Alguns EC e BAs receberam um período de tempo para aderir com as disposições de cada Regra. Por exemplo, apesar da data efectiva da Regra Final Omnibus ser Março de 2013, foi dado às EC e às AA 180 dias para cumprirem.
Impacto da Regra Final Omnibus
O que a Regra Final Omnibus conseguiu mais do que qualquer legislação anterior foi tornar as entidades abrangidas mais conscientes das salvaguardas HIPAA que tinham de cumprir. Muitos equipamentos de saúde – que tinham violado a HIPAA há quase 20 anos – implementaram uma série de medidas para cumprir os regulamentos, tais como o uso de criptografia de dados em dispositivos portáteis e redes de computadores, o uso de soluções seguras de mensagens para comunicações internas com equipes de atendimento, a configuração de filtros web e o maior cuidado para arquivar e-mails com segurança.
As penalidades financeiras agora sendo sancionadas por violações de dados juntamente com os enormes custos de emitir notificações de violação, fornecer serviços de monitoramento de crédito e conduzir a mitigação de danos faz com que o investimento em nova tecnologia para proteger os dados pareça barato em comparação.
O Programa de Auditoria de Conformidade HIPAAA
Em 2011, o Escritório de Direitos Civis iniciou uma série de auditorias piloto de conformidade para analisar o quão bem os provedores de cuidados de saúde estavam cumprindo as Regras de Privacidade e Segurança HIPAA. A primeira constatação de auditorias foi concluída em 2012 e destacou o estado chocante da conformidade da saúde.
Os grupos auditados registraram muitas violações da Regra de Notificação de Violação, Regra de Privacidade e Regra de Segurança da HIPAA, sendo que esta última levou à maior parte das violações. O OCR emitiu planos de ação para ajudar essas organizações a alcançar a conformidade; entretanto, para a segunda fase de auditorias não se espera que seja tão indulgente.
Auditorias estão previstas para focar em áreas específicas que se mostraram problemáticas para tantos prestadores de serviços de saúde, enquanto um plano de auditoria permanente está sendo planejado para garantir a conformidade contínua com a HIPAA. A era dos padrões de segurança laxistas já passou e a área de saúde, assim como o setor financeiro antes dele, deve melhorar os padrões para garantir que os dados confidenciais permaneçam privados.
Uma entidade coberta que não adapta os controles necessários enfrenta penalidades financeiras, sanções, perda potencial de licença e até mesmo condenações criminais por falhar em garantir a ePHI.
Como garantir a total conformidade com a HIPAA
Nossa “Lista de Verificação de Conformidade HIPAA” abrange as facetas da Lei de Portabilidade e Responsabilização do Seguro de Saúde (Health Insurance Portability and Accountability Act) relativas ao armazenamento, transmissão e descarte de Informações de Saúde Protegidas eletrônicamente, as ações que devem ser tomadas para resolver uma violação e as apólices e procedimentos que devem ser utilizados para alcançar a conformidade total.
Os regulamentos da HIPAA podem ser rigorosos, mas é permitida alguma flexibilidade sobre as medidas de privacidade e segurança utilizadas para proteger os dados. A criptografia de dados, por exemplo, deve ser abordada, mas não necessariamente implementada se outros controles permitirem a proteção necessária.