A segunda entre as três regras da HIPAA fala sobre a proteção dos dados de saúde em meios eletrônicos: a Regra de Segurança. Esta regra estabelece em âmbito nacional dos EUA, padrões para manter e proteger as informações de saúde que são mantidas ou transmitidas de formas eletronicamente, e tais parâmetros também podem ser aplicados em sua clínica para maior segurança de seus pacientes e seus dados.

A Regra de Segurança exige que os planos de saúde, clínicas, consultórios, etc., adotem medidas administrativas, técnicas e físicas razoáveis e apropriadas para a segurança de dados de saúde. Dentro dessas medidas é necessário considerar e garantir:

  • Confidencialidade, integridade e viabilidade de todas as informações pessoais de saúde e prontuários que são criados, recebidos, mantidos ou transmitidos;
  • Identificar e proteger contra ameaças de segurança (dentro das que podem ser previsíveis), ou ameaças a integridade da informação;
  • Garantir que sua equipe trabalhe dentro das políticas de segurança estabelecidas.

A regra considera confidencialidade quando a informação pessoal de saúde e os prontuários não ficam disponíveis ou não são divulgados para pessoas não autorizadas. O conceito de integridade significa que os prontuários e informações de saúde não devem ser alterados ou destruídos sem autorização prévia. Já a viabilidade diz que essas informações devem estar disponíveis em todos os momentos conforme a necessidade das pessoas autorizadas.

E é claro, a Regra de Segurança deve se apoiar e levar em consideração as diretrizes das Regras de Privacidade. Você pode ver com mais detalhes essa regra em nosso blog no artigo "Regras de Privacidade segundo a HIPAA".

Segurança Administrativa

Para a parte administrativa, a regra pede que exista uma análise de risco como rotina de todos os processos de segurança. Essa análise de risco pode incluir a avaliação da probabilidade de um risco ocorrer, implementar medidas que reconheçam os riscos, e documentar as medidas de segurança adotadas, e quando necessário, documentar também o motivo pelo qual essas medidas estão sendo tomadas. Além, é claro, de manter continuamente e de forma racional proteções de segurança.

As clínicas e consultórios podem designar uma pessoa de confiança para lidar com os assuntos de segurança, desenvolver e implementar eles, controlando o acesso a informação como for necessário usando o conceito de "mínimo necessário" apresentado na Regra de Privacidade. Toda a equipe deve possuir treinamento sobre as regras de segurança, e deve ter uma autorização única para trabalhar com as informações pessoais de saúde, e periodicamente fazer uma avaliação de todo o processo para identificar o quão bem está a segurança.

Segurança física

Clínicas, consultórios, hospitais, planos de saúde e demais organizações que lidam com informações sobre a saúde de pessoas, prontuários e dados protegidos por lei, devem limitar a terceiros o acesso à essas informações, ainda garantindo que funcionários que precisam acessá-las consigam trabalhar os dados de forma segura.

A segurança física também inclui procedimentos que especificam o uso apropriado de bancadas de trabalho e mídias eletrônicas como computadores na recepção, tablets, etc. Além disso, é importante a existência de hardwares, softwares, ou mecanismos que identifiquem quem está acessando os equipamentos e informações de saúde, ou até mesmo transmitindo elas.

Dentro da segurança física, também pode-se enquadrar a proteção contra fenômenos naturais e acidentes. Por exemplo, no caso de um incêndio, essas informações pessoais de saúde não podem ser perdidas, por conta disso, salvar backups devem fazer parte da rotina da equipe.

Segurança tecnológica

Os softwares e programas usados precisam ter algum nível de proteção, como a criptografia dos dados inseridos ou transmitidos pelo sistema. Além disso, é necessário possuir maneiras de controlar através de senhas ou outras formas de restrições, os usuários que acessam ou não as informações de saúde.

De forma geral, a regra não limita o uso de uma tecnologia específica, pois entende que este campo está em constante movimento e alteração e que a tecnologia avança muito rapidamente, variando muito. Assim, os planos de saúde, clínicas e consultórios e até mesmo hospitais são livres para escolher a tecnologia que melhor se enquadra ao seu dia a dia, desde que os itens de segurança mínimos possam ser atendidos.

Nesses quesitos o Ninsaúde Apolo atende completamente as regras da HIPAA, você pode conferir em mais detalhes no artigo "HIPAA e Ninsaúde Apolo - Como deixar sua clínica segura".

Ainda não é um cliente do Ninsaúde Apolo? Entre em contato com nossa equipe e marque uma demonstração.

Fonte: HHS - Security Rule