Além das medidas de segurança já mostradas nos artigos anteriores, a HIPAA pede que os estabelecimentos de saúde tenham em sua organização algumas políticas, procedimentos e documentos, e que todos sejam devidamente guardados e atualizados para atender os quesitos de segurança.

A HIPAA considera que como um associado ou terceiro qualquer pessoa ou empresa (que não seja empregada do próprio estabelecimento de saúde em questão) que desempenha funções pelo estabelecimento de saúde, por exemplo convênios e planos.

Contratos de associados ou terceiros

A HIPAA exige que todos associados ou terceirizados que venham a ter possíveis contatos com as informações de saúde dos pacientes, tenham contratos de confidencialidade onde assumam a responsabilidade em caso de vazamento, perda ou adulteração de informações.

Os contratos devem deixar de forma claro que os associados ou terceiros irão:

  • Implementar medidas administrativas, físicas e técnicas de segurança apropriadas e razoáveis, e que protejam apropriadamente a confidencialidade, integridade e viabilidade das informações de saúde em meio eletrônico,  
  • Garanta que qualquer agente, mesmo que subcontratado, entenda que as informações devem ser por ele resguardadas da mesma maneira,
  • Reporte para o estabelecimento de saúde contratante qualquer falha de segurança que aconteça,
  • Que o contrato possa ser anulado caso seja provado que a contratada violou as informações e outros termos do contrato.

Requerimentos para planos de saúde

Os documentos referente aos grupos de planos de saúde devem incorporar provisões que:

  • Implementem medidas de segurança administrativas, físicas e técnicas que protejam apropriadamente a confidencialidade, integridade e viabilidade dos dados sobre saúde inseridos em meios eletrônicos, que são criados, recebidos, mantidos ou transmitidos em nome do grupo de planos de saúde;
  • Garantir que qualquer funcionário, incluindo subcontratados e terceirizados, que tenham acesso as informações de confidenciais de saúde concordem em tomar as providências necessárias para garantir  a segurança das informações;
  • Reportar qualquer problema de segurança detectado para o plano de saúde.

Requerimentos de políticas, procedimentos e documentos

Implementar políticas e procedimentos razoáveis e apropriados que obedeçam as normas de segurança previamente expostas e novos requerimentos que possam surgir no âmbito da segurança de dados.

As especificações desse tópico não podem ser criadas visando ações que permitam violar ou criar desculpas para a violação dos dados de saúde protegidos por lei. Os planos de saúde podem mudar suas políticas, procedimentos e documentos quando acharem necessário, desde que todas as mudanças continuem de acordo com as normas.

Documentos

A medida sobre documentos pede que, mesmo em forma electronica, os documentos criados devem seguir as diretrizes de segurança, e se alguma outra ação for necessária, ela deve ser documentada.

Os documentos criados devem ser mantidos por 6 anos, independente de ainda estarem válidos ou não, sendo essa normativa chamada de "tempo de limite". Sendo esses seis ano o tempo mínimo para a guarda desses documentos, mas pode ser estendido caso o plano de saúde ache necessário.

Viabilidade dos documentos diz que os funcionários que precisam ter acesso aos documentos devem possuir esse acesso sempre que necessário, sendo esses documentos impressos ou em meios eletrônicos.

Os documentos devem passar por revisões periodicamente e se necessário serem atualizados,  sendo o período dessas revisões e atualizações livre para cada plano de saúde e estabelecimento, conforme as operações internas mudam, mantendo sempre a segurança das informações.

Fonte: HHS