A terceira normativa da Regra de Segurança da HIPAA, fala das medidas quanto a segurança e proteção física dos locais, equipamentos e acesso ao armazenamento das informações de pacientes. Neste tópico são apresentadas quatro diretrizes que podem ser aplicadas.

Controles de Acesso da Unidade

Nas medidas de acesso da unidade é necessário decidir e aplicar políticas e procedimentos que limitem o acesso não apenas aos dados do paciente, mas também às áreas restritas da unidade de saúde. Dentro dessa medida temos os seguintes controles:

  • Contenção de operações - estabelecer e implementar se necessário, procedimentos que permitam facilidade de acesso em apoio à restauração de dados perdidos por conta de desastres, ou emergências;
  • Plano de segurança da unidade - ter políticas e procedimentos para proteger a instalação e os equipamentos contidos no prédio contra acesso físico não autorizado, adulteração e roubo. Normalmente nesse item são levados em consideração trancas, alarmes, câmeras, tags de acesso para funcionários e visitantes, e até mesmo segurança particular;
  • Acesso e verificação - é necessário que antes da entrada de um funcionário ou visitante, o mesmo seja identificado de alguma forma;
  • Registros - mantenha registros de todas as manutenções feitas em equipamentos.

Local de trabalho e bancadas

O local de trabalho pode ser definido como qualquer equipamento eletrônico, notebooks, computadores desktop, ou outros que tenham funções similares onde se encontre informações guardadas e disponibilizadas para acesso, podendo estes equipamentos estarem dentro da unidade de saúde, ou ainda nas casas dos funcionários que estiverem de homeoffice, por exemplo.

Dentro deste item também temos a segurança dos locais de trabalho, que prega que deve ser implementado segurança física para todos equipamentos e locais que armazenam informações confidenciais de pacientes, restringindo assim o acesso de pessoas não autorizadas.

Aos equipamentos utilizados também é necessário levar em consideração como será feito o descarte dos mesmos quando suas tecnologias ficarem ultrapassadas, seu reúso, de quem é a responsabilidade para acessar, editar e manter eles, bem como manter um backup atualizado.

Fonte: HHS - Physical Safeguards