A próxima medida de segurança da HIPAA traz normativas sobre as técnicas e tecnologias que devem ser empregadas em todos os equipamentos, dispositivos e softwares que possuem informações confidenciais de pacientes.

Essa regra exige que as clínicas, consultórios, hospitais e outros tenham o mínimo aceitável de segurança empregada nas tecnologias utilizadas para garantir a privacidade dos dados dos pacientes nela inseridos, ainda sendo flexível o suficiente para que as empresas que lidam com essas informações possam decidir quais tecnologias melhor se enquadram à sua rotina de trabalho.

O que a norma diz

"Ter a tecnologia, políticas e procedimentos que protegem as informações eletrônicas de saúde e controlem quem tem o acesso a elas".

Vamos começar pelo acesso às informações. A medida diz que apenas as pessoas que precisam ter acesso devem possui-la, ou seja, deve existir um motivo para um funcionário ter acesso as informações confidenciais dos pacientes. Dentro desse tópico ainda, a medida diz que cada funcionário deve ter um acesso único de usuário, provido de senha para conseguir o acesso, devendo ser possível identificar os usuários e seus últimos acessos caso necessário.

Quanto ao acesso pessoal, o estabelecimento de saúde pode exigir senhas, PINs, um token, cartão, chave, ou até mesmo um reconhecimento biométrico como impressão digital, padrões de voz, rosto ou íris, dependendo das necessidades do estabelecimento.

Caso alguma emergência ocorra no local, é necessário que existam maneiras para salvar as informações em casos de catástrofes. Esses procedimentos devem ser registrados e devem ser treinados pela equipe, para que em caso de real catástrofe todos saibam como salvar as informações dos pacientes.

O logoff automático é outro ponto que pode ajudar na segurança de dados, uma vez que ele encerra sozinho a sessão de um usuário depois que o mesmo fica um tempo determinado sem mexer no sistema, impossibilitando pessoas não autorizadas de usarem e coletarem dados que não deveriam. Dados encriptados também são uma barreira extra contra ataques e roubos de informação.

Dentro da proteção desses dados, existe também a questão da integridade, que dispõe sobre a alteração e destruição das informações contidas no sistema utilizado, sendo que o estabelecimento de saúde deve garantir que exista procedimentos que protejam os dados de quaisquer tipos de ataques.

Para a transmissão de dados, é necessário que o sistema tenha proteções contra possíveis erros, e até mesmo capturas ou interceptação desses dados enquanto ocorre a transmissão e comunicação entre servidores da rede. Para decidir melhor sobre a segurança da transmissão, o estabelecimento de saúde primeiro tem que definir quais os métodos usados, por exemplo, por e-mail, por rede, por algum outro tipo de equipamento, etc. Desde que sejam mantidos a integridade dos dados e segurança, os mesmos podem ser transmitidos por qualquer meio.

Fonte: HHS - Tech Safeguards