A Lei de Portabilidade e Responsabilidade do Seguro de Saúde foi promulgada em 1996. É aplicada pelo Escritório de Direitos Civis do Governo dos Estados Unidos. Trata-se de um conjunto de diretrizes federais criadas para permitir que os funcionários levem o seguro médico com eles se deixarem um empregador, permitir o acesso a seguro médico apesar das condições pré-existentes (sob algumas condições) e estabelecer padrões de privacidade para a saúde do paciente. em formação.
- A regra de privacidade da HIPAA protege a privacidade de informações de saúde individualmente identificáveis.
- A Regra de Segurança da HIPAA estabelece padrões nacionais para a segurança das informações eletrônicas de saúde.
É exigido por lei que forneça educação e treinamento da HIPAA a indivíduos que trabalham no setor de saúde para garantir a responsabilidade pela privacidade e segurança de informações de saúde protegidas. As entidades cobertas devem treinar todos os membros da força de trabalho nas políticas e procedimentos da HIPAA.
1 -
Regra de privacidade da HIPAAOs Padrões para a Privacidade de Informações de Saúde Individualmente Identificáveis (a Regra de Privacidade) foram criados para abordar especificamente a proteção das informações de saúde pessoal de um indivíduo. É importante para a vitalidade do seu consultório médico manter a conformidade com a HIPAA.
Quem é coberto pela regra de privacidade?
- Planos de saúde
- Prestadores de cuidados de saúde
- Centros de Saúde
Uma entidade coberta, conforme definido no HIPAA, pode ser um plano de seguro de saúde, uma câmara de compensação de cuidados de saúde ou um fornecedor de cuidados de saúde que transmita electronicamente informações de saúde protegidas e que possam ser organizações, instituições ou pessoas.
Médicos e outros profissionais de saúde que trabalham com pacientes e seus registros médicos confidenciais devem aderir às políticas, procedimentos e leis criadas para proteger a privacidade e a confidencialidade do paciente. Todos os profissionais de saúde têm a responsabilidade de manter seus funcionários treinados e informados sobre a conformidade com a HIPAA . Seja intencional ou acidental, a divulgação não autorizada de PHI é considerada uma violação do HIPAA.
- Associados de negócios
Um associado de negócios, conforme definido pela HIPAA, é qualquer pessoa ou entidade que conduza negócios envolvendo o uso ou a divulgação de informações de saúde protegidas em nome de uma entidade coberta e não seja um funcionário da entidade coberta.
Quais informações são protegidas?
PHI ou Protected Health Information refere-se a qualquer informação de identificação individual incluída no prontuário médico de um paciente que seja transmitida ou mantida de qualquer forma.
Usos e Divulgações
Uma entidade coberta pode usar ou divulgar informações de saúde protegidas (PHI) sem autorização sob certas condições.
- Para o indivíduo
- Tratamento, pagamento e operações de assistência médica
- Usos e Divulgações com Oportunidade de Concordar ou Objeto
- Uso Incidental e Divulgação.
- Interesse Público e Atividades de Benefício
- Conjunto de dados limitados para fins de pesquisa, saúde pública ou operações de assistência médica
Aviso de Práticas de Privacidade
Os prestadores de cuidados de saúde têm a obrigação de fornecer aos seus pacientes um Aviso de Práticas de Privacidade. Este aviso, conforme exigido pela Regra de Privacidade do HIPAA, dá aos pacientes o direito de serem informados sobre seus direitos de privacidade no que se refere às suas informações de saúde protegidas (PHI).
O aviso deve descrever certas informações em termos fáceis de entender:
- Como o provedor usará e divulgará suas PHI
- Os direitos que os pacientes têm em relação às suas próprias PHI
- Uma declaração informando o paciente sobre as leis que exigem que o provedor mantenha a privacidade de suas PHI
- Quem os pacientes podem contatar para obter mais informações sobre as políticas de privacidade do provedor
Execução e Penalidades por Não Cumprimento
Penalidades em dinheiro civil
- US $ 100 por falha no cumprimento
- Máximo de US $ 25.000 por ano para várias violações do mesmo requisito
Penalidades criminais (por conscientemente obter ou divulgar PHI em violação da HIPAA)
- Multa de US $ 50.000 e até um ano de prisão
- Multa de $ 100.000 e até cinco anos de prisão (se a violação envolver falsos pretextos)
- Multa de $ 250.000 e até dez anos de prisão (se a violação envolver a intenção de vender, transferir ou usar PHI)
2 -
Regra de segurança da HIPAAOs Padrões de Segurança para a Proteção de Informações de Saúde Protegidas Eletrônicas (a Regra de Segurança)
A segurança da HIPAA se refere ao estabelecimento de salvaguardas para PHI em qualquer formato eletrônico. Isso inclui qualquer informação usada, armazenada ou transmitida eletronicamente. Qualquer instalação definida pela HIPAA como entidade coberta tem a responsabilidade de garantir a privacidade e a segurança das informações de seus pacientes, além de manter a confidencialidade de suas PHI.
Quem é coberto pela regra de segurança?
- Planos de saúde
- Prestadores de cuidados de saúde
- Centros de Saúde
Uma entidade coberta, conforme definido no HIPAA, pode ser um plano de seguro de saúde, uma câmara de compensação de cuidados de saúde ou um fornecedor de cuidados de saúde que transmita electronicamente informações de saúde protegidas e que possam ser organizações, instituições ou pessoas.
- Associados de negócios
Um associado de negócios, conforme definido pela HIPAA, é qualquer pessoa ou entidade que conduza negócios envolvendo o uso ou a divulgação de informações de saúde protegidas em nome de uma entidade coberta e não seja um funcionário da entidade coberta.
Quais informações são protegidas?
PHI Eletrônico ou Informações de Saúde Protegidas referem-se a qualquer informação de identificação individual incluída no prontuário médico de um paciente que seja transmitida ou mantida de qualquer forma. A regra de segurança exclui as PHI transmitidas oralmente ou por escrito.
Simplificação Administrativa
As disposições de simplificação administrativa da HIPAA estabelecem padrões nacionais para a segurança das informações eletrônicas de saúde protegidas. Isso inclui as regras e os padrões para transações e conjuntos de códigos e identificadores para empregadores e provedores.
Transações e padrões de conjunto de códigos
Transações padrão para o Electronic Data Interchange (EDI) de dados de assistência médica incluem informações sobre reclamações e encontros, avisos de pagamento e remessa, status de solicitações, elegibilidade, inscrição e cancelamento, referências e autorizações, coordenação de benefícios e pagamento de prêmios.
Conjuntos de código padrão para diagnósticos, procedimentos e códigos de medicamentos incluem o HCPCS (Serviços / Procedimentos Auxiliares), CPT-4 (Procedimentos Médicos), CDT (Terminologia Dentária), CID-9 (Diagnóstico e Procedimentos hospitalares de internação), CID-10 ( A partir de 1º de outubro de 2015) e os códigos NDC (National Drug Codes).
Padrões de Identificador para Empregadores e Provedores
Os identificadores padrão incluem o Número de Identificação do Empregador (EIN) e o Identificador do Provedor Nacional (NPI). O EIN é usado para identificar os empregadores nas transações padrão. A National Provider Identification ou NPI é um número de identificação exclusivo de 10 dígitos usado para substituir os identificadores de provedor, como um número exclusivo de identificação de provedor (UPIN) nas transações padrão da HIPAA. Os prestadores de cuidados de saúde são obrigados pela regulamentação da HIPAA a obter um NPI.
As regras para manter a segurança da HIPAA incluem salvaguardas para três áreas principais.
Salvaguardas Administrativas
- Desenvolver um processo formal de gerenciamento de segurança, incluindo o desenvolvimento de políticas e procedimentos, auditorias internas, plano de contingência e outras salvaguardas para garantir a conformidade da equipe do consultório médico.
- Atribuir responsabilidade de segurança a uma pessoa designada para gerenciar e supervisionar o uso de medidas de segurança e a conduta do pessoal.
- Implemente recursos que garantam que a equipe tenha treinamento adequado e autorização adequada para acessar o PHI.
- Definir níveis de acesso para todos os funcionários e como eles são concedidos
- Exigir que toda a equipe do consultório médico, inclusive a gerência, seja submetida a treinamento de segurança e tenha lembretes periódicos e educação do usuário.
Salvaguardas Físicas
- Arquive PHI em um local seguro e espaço de trabalho para funcionários (isso inclui o uso de bloqueios, chaves e crachás que abrem portas) que restringem o acesso a pessoas não autorizadas e intrusos.
- Desenvolver políticas para verificar autorizações de acesso, controle de equipamentos e tratamento de visitantes. Desenvolva e forneça documentação, incluindo instruções sobre como o seu consultório médico pode ajudar a proteger o PHI (por exemplo, fazer logoff do computador antes de deixá-lo desacompanhado)
- Fornecer proteção contra fogo e outros perigos
Salvaguardas Técnicas
- Estabeleça uma identificação de usuário exclusiva, incluindo senhas e números de pinos
- Adote um controle de logoff automático
- Registrar e examinar a atividade do sistema para fins de auditoria
- Utilize controles de criptografia para proteger dados transmitidos em uma rede
Execução e Penalidades por Não Cumprimento
Penalidades em dinheiro civil
- US $ 100 por falha no cumprimento
- Máximo de US $ 25.000 por ano para várias violações do mesmo requisito
Penalidades criminais (por conscientemente obter ou divulgar PHI em violação da HIPAA)
- Multa de $ 50.000 e até um ano de prisão
- Multa de $ 100.000 e até cinco anos de prisão (se a violação envolver falsos pretextos)
- Multa de $ 250.000 e até dez anos de prisão (se a violação envolver a intenção de vender, transferir ou usar PHI)
3 -
Dicas para evitar a violação da HIPAA- Tome as medidas necessárias para impedir a divulgação de informações por meio de conversas de rotina. Evite a divulgação de informações através de conversas de rotina; discutir informações do paciente em áreas de espera, corredores ou elevadores; descarte adequado de PHI; e o acesso à informação deve ser estritamente limitado aos funcionários cujos trabalhos requeiram essa informação. Informações básicas podem parecer tão insignificantes que podem ser facilmente mencionadas em conversas de rotina, mas só devem ser compartilhadas com base na necessidade de saber.
- Evite discutir informações do paciente em áreas de espera, corredores ou elevadores. Informações confidenciais podem ser ouvidas pelos visitantes ou por outros pacientes. Certifique-se também de manter registros de pacientes fora das áreas acessíveis ao público. Como os balcões de check-in e os postos de enfermagem estão abertos, esforce-se para garantir que os computadores estejam sempre seguros. Os suportes de gráficos devem ser montados e o painel frontal coberto de acordo com os padrões HIPAA.
- A PHI nunca deve ser descartada na lata de lixo. Qualquer documento lançado no lixo é aberto ao público e, portanto, uma violação de informações. Há muitas maneiras de descartar PHI. Descarte correto de papel O PHI inclui queima ou trituração. O PHI eletrônico pode ser eliminado apagando, excluindo, reformatando, incinerando, derretendo ou retalhando.
- Existem várias tecnologias disponíveis projetadas para proteger os dados do paciente. Seja seletivo na escolha de dispositivos e softwares que protejam dados por meio de uma conexão sem fio, incluindo firewalls, antivírus, antispyware e tecnologia de detecção de invasão. Tenha muito cuidado ao acessar dados em uma conexão remota. Especialistas em TI sugerem o uso de um sistema de autenticação de dois fatores com tokens e senhas de segurança.