A computação em nuvem assume diversas formas, indo desde um armazenamento de informações online simples, até mesmo um software com soluções mais completas, e a HIPAA não deixaria de sugerir normatizações de segurança, administração e privacidade para os mesmos que são voltados para a área da saúde.

Dentro das categorias de softwares, encontram-se os Softwares as a Service - SaaS, ou em uma tradução livre, Softwares como Serviço, que dão ao cliente a opção de usar um serviço, aplicação ou um software através de um navegador de internet, que também podem ser chamados de softwares sob demanda, ou softwares hospedados. Também vale citar os softwares de Plataforma como Serviço e os de Infraestrutura como Serviço.

Modelos de Softwares

Dentro dos modelos que podem ser usados em softwares de nuvem, eles podem ter uma base em:

  • Nuvem privada - onde a estrutura da nuvem é fornecida de forma exclusiva para uma organização ou empresa tendo vários usuários. Pode ser desenvolvida, manejada e operada pela empresa, um terceiro ou uma combinação dos dois, existindo dentro das instalações da empresa ou fora dela.
  • Nuvem comunitária - a estrutura da nuvem é de uso de uma comunidade específica, onde os usuários de organizações diferentes têm interesses em comum. Pode ser desenvolvida, manejada e operada por uma das empresas da comunidade ou terceiros, podendo também existir o desenvolvimento dentro ou fora das empresas.
  • Nuvem pública - a estrutura da nuvem é aberta para uso geral do público, pode ser desenvolvida, manejada ou operada por empresas, instituições de ensino, organizações governamentais, ou ainda uma combinação desses, existindo dentro das instalações do provedor.
  • Nuvem híbrida - a estrutura da nuvem é composta por duas ou mais estruturas de nuvem distintas (privada, comunitária ou pública), que são unidas por tecnologias que permitam a portabilidade e transmissão dos dados.

HIPAA e Softwares em nuvem

A HIPAA permite para as clínicas, profissionais de saúde e entidades maiores, como hospitais, o uso de softwares em nuvem para criar, armazenar, receber, manter, ou ainda transmitir eletronicamente informações protegidas de saúde, desde que exista um contrato entre as partes que esteja de acordo com as regras da HIPAA. Este contrato deve delimitar e estabelecer as permissões e usos requeridos dos dados, baseados nas relações entre os usuários, atividades e serviços desenvolvidas pelos associados.

O contrato também deve conter requerimentos mínimos de segurança, que devem ser atendidos para garantir a integridade das informações protegidas de saúde, integrando aqui as regras de segurança da HIPAA. Os associados no contrato também devem fazer regularmente um avaliação de riscos, manejo de riscos, e criar políticas dentro de seu sistema que controlem possíveis danos.

Além disso, a HIPAA também considera relevante os aspectos de um Acordo de Nível de Serviço - ANS, que normatiza os serviços entre as partes contratante e contratada, e dá instruções sobre a construção do mesmo, no artigo sobre HIPAA E NINSAUDE APOLO falamos com mais detalhes sobre o assunto, mas vale ressaltar que os seguintes aspectos são pontos chaves de qualquer ANS de saúde:

  • Viabilidade e confiabilidade do sistema escolhido;
  • Back-up e restauração de dados (em casos que seja necessário uma ação para responder a um ataque de ransomware ou outras situações de emergência);
  • A forma como os dados e informação irão ser entregues novamente ao contratante em caso de término do contrato;
  • Responsabilidades quanto a segurança das informações e dados;
  • Limites e restrições quanto ao uso, retenção e divulgação dos dados.

Dispositivos móveis

Outra questão importante é o acesso de softwares em nuvem em dispositivos móveis, como os smartphones, tablets, entre outros. A HIPAA permite o acesso das informações de saúde nesses dispositivos, mas relembra que deve ser feita de forma segura, atendendo as normas técnicas, de segurança física e administrativa, para proteger a integridade, confiabilidade e viabilidade das informações.

Para isso, a HIPAA também fornece dicas de como se prevenir ao usar dispositivos móveis, tais como:

  • Identificação de acesso no aparelho, além da identificação de acesso ao sistema;
  • Usar aplicativos encriptadores e instalar ou ativar limpadores de dados no dispositivo;
  • Usar ou habilitar um antivírus, assim como desabilitar o compartilhamento de arquivos;
  • Manter o software do dispositivo atualizado e ler a respeito sobre novos aplicativos, antes de instalar os mesmos;
  • Manter o controle físico do aparelho, assegurando-se da melhor forma que ele não será extraviado;
  • Usar métodos seguros para transmitir informações de saúde em redes abertas de Wi-Fi;
  • Ao descartar o aparelho, ter certeza de que todas as informações foram permanentemente deletadas.

E aí, gostou das dicas? Continue acompanhando o blog para saber mais. Ainda não é cliente Ninsaúde Apolo? Entre em contato através de nosso site, ou através do Whatsapp, pressionando no ícone ao lado direito da tela, e solicite já uma demonstração.

Fontes: HHS - Special topics; HHS FAQ e Healthit