A confidencialidade das informações médicas é um ponto crítico em qualquer organização de saúde. E se no Brasil há a LGPD (Lei Geral de Proteção de Dados), nos Estados Unidos a HIPAA é a responsável em garantir esse sigilo de informações médicas.
A regra de privacidade da HIPAA foi emitida pelo Departamento de Saúde e Serviços Humanos (HHS) americano para restringir o uso e divulgação de informações de identificação pessoal que pertencem a um paciente ou consumidor de serviços de saúde. Esses dados são chamados de informações de saúde protegidas (PHI).
A exigência de uma legislação em favor da proteção de dados é ainda mais importante diante de dados alarmantes desse tipo de ocorrência. De acordo com um estudo da Ponemon Institute feito em 2019, 53% das organizações de saúde tiveram um ataque hacker.
Pelas regras da lei, uma entidade coberta deve fazer esforços práticos para usar, divulgar e solicitar apenas a quantidade mínima necessária de PHI exigida para qualquer tarefa específica. A regra de privacidade também dá aos pacientes direitos sobre suas informações de saúde e o direito de acessar seus próprios registros médicos.
O que é a HIPAA?
A HIPAA (Health Insurance Portability and Accountability Act, ou Lei de Portabilidade e Responsabilidade de Seguro Saúde) é uma lei americana. Ela é a legislação que fornece confidencialidade de dados e provisões de segurança para proteger informações médicas.
A lei ganhou maior destaque nos últimos anos com as muitas violações de dados de saúde causadas por ataques cibernéticos a seguradoras e provedores de saúde.
A lei federal foi assinada pelo presidente Bill Clinton em 21 de agosto de 1996. Ela anula as legislações estaduais relativas à segurança das informações médicas, a menos que a lei estadual seja considerada mais rigorosa do que a nacional.
Qual é o objetivo da HIPAA?
A HIPAA, também conhecida como Lei Pública 104-191, tem dois objetivos principais. O primeiro deles é fornecer cobertura contínua de seguro saúde para trabalhadores que perdem ou mudam de emprego. Ela também visa, em última instância, reduzir o custo da saúde por meio da padronização da transmissão eletrônica de transações administrativas e financeiras.
Outros objetivos incluem o combate ao abuso, fraude e desperdício em seguros de saúde e prestação de cuidados de saúde. E por fim, objetiva melhorar o acesso a serviços de cuidados de longo prazo e seguro saúde.
Ela contém componentes principais:
Reforma do seguro saúde
O Título I protege a cobertura de seguro saúde para indivíduos que perdem ou mudam de emprego. Também proíbe os planos de saúde coletivos de negar cobertura a pessoas com doenças específicas e condições preexistentes e de estabelecer limites de cobertura vitalícia.
Simplificação Administrativa
O Título II orienta o Departamento de Saúde e Serviços Humanos (HHS) dos Estados Unidos a estabelecer padrões nacionais para o processamento de transações eletrônicas de saúde.
Também exige que as organizações de saúde implementem acesso eletrônico seguro aos dados de saúde e permaneçam em conformidade com os regulamentos de privacidade definidos pelo HHS.
Disposições de saúde relacionadas com impostos
O Título III inclui disposições relacionadas a impostos e diretrizes para cuidados médicos.
Aplicação e execução dos requisitos do plano de saúde do grupo
O Título IV ainda define a reforma do seguro saúde, incluindo disposições para indivíduos com doenças preexistentes e aqueles que buscam cobertura contínua.
Compensações de receita
O Título V inclui disposições sobre seguro de vida de propriedade da empresa e o tratamento daqueles que perdem sua cidadania americana para fins de imposto de renda.
Conformidade com a HIPAA
Nos círculos de saúde, aderir ao Título II é o que a maioria das pessoas quer dizer quando se refere à conformidade com a HIPAA. Também conhecido como às disposições de simplificação administrativa, o Título II inclui ainda os seguintes requisitos de conformidade:
Padrão de identificador de provedor nacional
Cada entidade de saúde, incluindo indivíduos, empregadores, planos de saúde e provedores de saúde, deve ter um número de Identificador de Provedor Nacional exclusivo de 10 dígitos, ou NPI.
Padrão de transações e conjuntos de códigos
As organizações de saúde devem seguir um mecanismo padronizado para intercâmbio eletrônico de dados (EDI) para enviar e processar reivindicações de seguros.
Regra de segurança
Os Padrões de Segurança para a Proteção de Informações de Saúde Protegidas Eletrônicas (ePHI) definem padrões para a segurança dos dados do paciente.
Regra de aplicação
Esta regra estabelece diretrizes para investigações sobre violações de conformidade da HIPAA. O HHS Office for Civil Rights (OCR), que impõe a lei, realiza auditorias e pode emitir penalidades para o descumprimento. As violações podem representar elevadas multas para as organizações de saúde.
Regra de privacidade
Os Padrões de Privacidade de Informações de Saúde Individualmente Identificáveis, comumente conhecidos como Regra de Privacidade, estabelecem os primeiros padrões nacionais nos Estados Unidos para proteger as informações pessoais ou protegidas de saúde (PHI) dos pacientes.
O HHS emitiu a regra para limitar o uso e divulgação de PHI confidenciais. Ele visa proteger a privacidade dos pacientes, exigindo que os médicos forneçam uma conta de cada entidade para fins de faturamento e administrativos. Enquanto ainda permite que informações de saúde relevantes fluem pelos canais apropriados.
A regra de privacidade também garante aos pacientes o direito de receber suas próprias PHI, mediante solicitação de prestadores de saúde cobertos pela HIPAA.
A regra de privacidade se aplica a organizações que são consideradas entidades cobertas pela HIPAA. Também exige que as entidades cobertas que trabalham com um associado comercial produzam um contrato que imponha salvaguardas específicas sobre o PHI que o BA usa ou divulga.
O que são entidades cobertas?
A HIPAA só se aplica a entidades cobertas e seus BAs, que podem ser qualquer organização ou corporação que lida diretamente com PHI ou registros pessoais de saúde (PHRs).
As entidades cobertas são obrigadas a cumprir os mandatos da Lei e HITECH (Tecnologia da Informação em Saúde para Saúde Clínica e Econômica) para a proteção de PHI e PHRs.
As entidades cobertas se enquadram em três categorias:
Prestador de cuidados de saúde
Os prestadores de cuidados de saúde incluem médicos, clínicas, psicólogos, dentistas, quiropráticos, lares de idosos e farmácias.
Plano de saúde
Os planos de saúde incluem companhias de seguro saúde, organizações de manutenção de saúde (HMOs), planos de saúde empresariais e programas do governo, como Medicare, Medicaid e programas de saúde militar.
Câmara de compensação de saúde
Câmaras de compensação de saúde são entidades que processam informações de saúde não padronizadas que recebem de outra entidade em um formato padrão ou vice-versa. Os exemplos incluem serviços de cobrança e sistemas de saúde comunitários para o gerenciamento de dados de saúde.
As entidades podem usar a ferramenta online da HHS para determinar se elas se qualificam como cobertas pela HIPAA e, consequentemente, se devem cumpri-las ou não.
Por que a HIPAA é importante para os pacientes?
Provavelmente, os maiores benefícios da HIPAA são para os pacientes. Ela é importante porque garante que provedores de assistência médica, planos de saúde, câmaras de compensação de saúde e associados comerciais de entidades cobertas devem implementar várias salvaguardas para proteger informações pessoais e de saúde confidenciais.
Embora nenhuma organização de saúde deseje expor dados confidenciais ou ter informações de saúde roubadas, sem a regulamentação não haveria nenhuma exigência para proteção dos dados — e nenhuma repercussão se não o fizessem.
A HIPAA estabeleceu regras que exigem que as organizações de saúde controlem quem tem acesso aos dados, restringindo quem pode ver as informações e com quem estas podem ser compartilhadas.
Ela ainda ajuda a garantir que qualquer informação divulgada, criada, transmitida ou armazenada pelos provedores e planos de saúde, esteja sujeita a controles de segurança rígidos.
Ainda que o cuidado seja grande, as instituições podem cometer erros ao registrar os dados. Neste caso, dar um papel mais ativo ao paciente é primordial para que estes verifiquem se há alterações e garanta que sejam corrigidos.
Avanço no controle de informações
Portanto, antes da introdução da regra de privacidade da HIPAA, não havia requisitos para as organizações de saúde liberarem cópias das informações aos pacientes. Hoje, eles também têm controle sobre para quem elas são divulgadas e com quem são compartilhadas.
Dessa forma, ao procurarem atendimento com outros profissionais, os dados podem ser repassados. Isso evita gastos extras com exames repetitivos, e os novos profissionais já terão acesso a todo o prontuário do paciente.
Nesse sentido, a interoperabilidade das informações também proporcionada pela HIPAA é um tema bastante importante e que já vem sendo colocado em prática no Brasil. Porém, ainda é necessário investimentos em tecnologia para tornar essa troca mais prática, rápida e segura.
E é sobre esse tema que abordamos neste artigo, saiba mais sobre o intercâmbio seguro de dados na saúde.
