Dentro da Regra de Segurança da HIPAA encontramos uma divisão de 7 tópicos que devem ser levados em consideração quando falamos de segurança de estabelecimentos que lidam com informações confidenciais de pacientes, e dentre eles estão as medidas administrativas de segurança.
Em resumo, as medidas administrativas de segurança exigem que seja incluído um gerenciamento de segurança, atribuição de um responsável ou delegação de responsabilidade pela segurança para um grupo de funcionários, treinamento e documentação de todas as decisões. Em outras palavras, os estabelecimentos que lidam com essas informações devem implementar políticas e procedimentos que previnem, detectem, contenham e corrijam violações de segurança.
Gerenciamento de segurança
O gerenciamento de segurança tem o propósito de implementar a segurança no ambiente de trabalho, devendo ser feita análise de riscos, gerenciamento de riscos, políticas de penalidades e uma revisão das informações de atividade do sistema usado.
- Análise de riscos: deve ser feito um levantamento de possíveis riscos e vulnerabilidades ao sigilo, integridade e viabilidade das informações inseridas em meio eletrônico que são mantidas pela clínica, consultório ou demais provedores de serviços de saúde. Determinar a probabilidade de um risco ocorrer também deve ser feito dentro deste item.
- Gerenciamento de riscos: o gerenciamento de riscos irá dizer como cada um deles serão amenizados através das medidas corretivas, sendo assim reduzidos a níveis aceitáveis.
- Políticas de penalidades: devem ser criadas políticas e medidas de penalidades apropriadas contra os funcionários que não sigam as regras de forma proposital e danosa. O objetivo é que essas penalidades reforcem a importância de manter a segurança dos dados dos pacientes em sigilo.
- Informações de atividade do sistema: implementar revisões de rotina e checagem de quais usuários estão acessando o sistema e manter relatórios sobre incidentes relacionados a segurança.
Responsável de segurança
A segunda medida a ser tomada é apontar e identificar um responsável pela segurança, que deverá desenvolver e implementar as políticas de segurança. Esse funcionário ficará responsável por se certificar que o estabelecimento está cumprindo todas as medidas de segurança impostas pela HIPAA, e apesar desta pessoa ser a principal responsável pela segurança, ela pode e deve delegar funções para as demais.
Segurança de funcionários
Na terceira medida, temos a segurança relacionada ao acesso de funcionários, sendo que deve ser garantido que todos os funcionários que precisam ter acesso às informações pessoais de saúde possam ter ele de forma apropriada, e que os que não devem ter esse tipo de acesso não consiga obter ele. Há três questões principais, sendo elas: autorização de acesso, nível de acesso, e término de acesso.
Noções de segurança e treinamentos
Essa medida pede que exista uma rotina de treinamentos e noções básicas de segurança, não só para funcionários mas também para os gerentes e administradores. Podendo existir lembretes ou dicas de segurança, as melhorias feitas devem ser documentadas, proteção contra vírus e outros softwares malignos devem ser instalados e mantidos atualizados, e o monitoramento de logins devem ser sempre checados, assim como senhas não devem ser compartilhadas.
Procedimentos para incidentes e planos de contenção
Mesmo com todas as medidas de segurança sendo tomadas de maneira correta, incidentes ainda podem acontecer, e para isso é necessário ter planos de contenção para as mais diversas situações, tais como: roubo ou apropriação indevida de dados, ataques de vírus que podem interferir com o funcionamento do software escolhido, roubos de mídias físicas que podem conter informações sobre pacientes, falha ao encerrar o acesso de ex-funcionários ou até mesmo o empréstimo de dispositivos com acesso a prontuários à pessoas que não devem ter este tipo de acesso.
O plano de contenção deve ter medidas que abordem todas essas possíveis situações, com uma resposta de forma rápida para as situações de emergência, ou até mesmo para situações como incêndios, vandalismo e desastres naturais.
Avaliação
Por último temos as medidas de avaliação, onde as clínicas, consultórios, hospitais e demais estabelecimentos que lidam com informações de saúde de pacientes devem fazer periodicamente uma avaliação completa, tanto da parte tecnológica dos sistemas de segurança quanto das não tecnológicas.
A recomendação da norma é que a avaliação completa das medidas de segurança seja feita pelo menos uma vez a cada dois anos, para que as tecnologias e medidas não fiquem ultrapassadas, e as mesmas devem ser também documentadas.
Contratos e documentos
Este tópico é bem simples, tudo deve ser documentado, e caso seja necessário envolver terceiros na leitura e acesso de informações de saúde, os mesmos devem assinar contratos de sigilo para a segurança dessas informações.
Gostou dessas informações? Continue seguindo o blog para não perder nenhuma das novidades do Ninsaúde Apolo, e se você não for um de nossos clientes ainda, nos contate e solicite uma demonstração.