HIPAA: Guia de Conformidade para o Líder de Segurança

Aug 23, 2023
Share

Na área da saúde, a segurança e a privacidade dos dados são um dos princípios mais importantes para a prestação e o recebimento de cuidados de qualidade. A confiança é fundamental — e precisa ser mantida; uma vez perdida, é quase impossível recuperá-la. É compreensível que as pessoas esperem que suas informações pessoais de saúde sejam mantidas em sigilo.

Ao longo do tempo, foram desenvolvidas regulamentações para seguradoras, prestadores de serviços e profissionais de saúde, com o objetivo de auxiliá-los na implementação e aplicação de políticas e procedimentos de privacidade de dados. De fato, as regras se aplicam a qualquer pessoa que acesse ou utilize seus dados. informações de saúde protegidas (PHI). A principal lei desse tipo nos EUA é a Lei de Portabilidade e Responsabilidade do Seguro Saúde de 1996 (HIPAA).

O que é HIPAA?

A HIPAA estabelece "normas nacionais para proteger informações sensíveis de saúde do paciente contra divulgação sem o consentimento ou conhecimento do paciente".

No cerne da HIPAA estão cinco Títulos / alterações que melhoram a administração e a cobertura dos seguros de saúde e de vida. Existem diversas regras individuais além das relativas à privacidade, nomeadamente segurança, aplicação da lei, proteção do paciente e notificação de violações de dados.

Para líderes focados em dados, tanto do ponto de vista de segurança quanto de privacidade, o Título II (Simplificação Administrativa da HIPAA), a Regra de Privacidade e a Regra de Segurança são os mais relevantes.

O Título II estabelece “padrões nacionais para transações eletrônicas de saúde e identificadores nacionais para provedores, planos de saúde e empregadores. [...] A adoção desses padrões melhorará a eficiência e a eficácia do sistema de saúde do país, incentivando o uso generalizado da troca eletrônica de dados na área da saúde.”

O Regra de Privacidade Afirma o “direito dos indivíduos de compreender e controlar como suas informações de saúde são utilizadas”.

O Regra de segurança HIPAA Tem implicações mais amplas para as informações eletrônicas de saúde protegidas (e-PHI) para "garantir a confidencialidade, integridade e disponibilidade" desses dados.

O que é PHI?

PHI“Dados pessoais” é um termo genérico usado para dados de saúde… “paciente”, “pessoal”, “privado”, “protegido”, etc., dependendo do site consultado. De acordo com o Departamento de Saúde dos EUA, Resumo do HHS De acordo com a lei, "protegido" é o termo preferido e se aplica a metadados, registros, transações/compartilhamento, planos e pagamentos. Mas será que existem dados pessoais que não se qualificam como PHI (Informações de Saúde Protegidas)?

Sim. O Título II define 18 “tipos únicos”identificadoresDados eletrônicos de saúde protegidos (e-PHI, como o número de registro de um documento de tratamento) são considerados dados protegidos, mas dados "desidentificados" — informações que tiveram quaisquer marcadores que as associassem a uma pessoa específica removidos ou ocultados — não estão sujeitos às mesmas restrições ou regulamentações.

De acordo com a seção 164.514 De acordo com o texto final da norma, os seguintes itens são considerados identificadores de dados (a HIPAA foi aprovada há mais de vinte anos e muitas novas tecnologias foram introduzidas desde então. Podem existir novos tipos de dados que não se enquadrem nesses atributos):

  1. Nomes
  2. Estado, endereço, cidade, condado, distrito eleitoral, código postal e seus respectivos geocódigos.
  3. Datas (exceto o ano), incluindo nascimento, internação, alta e óbito; idades acima de 89 anos.
  4. Números de telefone
  5. Números de fax
  6. Endereços de correio eletrônico
  7. números de segurança social
  8. Números de prontuário médico
  9. números de beneficiários do plano de saúde
  10. Números de conta
  11. Números de certificado/licença
  12. Identificadores e números de série de veículos, incluindo números de placas.
  13. Identificadores de dispositivos e números de série
  14. Localizadores Uniformes de Recursos da Web (URLs)
  15. Números de endereço do Protocolo de Internet (IP)
  16. Identificadores biométricos, incluindo impressões digitais e vocais.
  17. Fotografias de rosto inteiro e quaisquer imagens comparáveis.
  18. Qualquer outro número de identificação exclusivo, característica ou código.

Como a Cyera pode me ajudar a cumprir os requisitos de dados da HIPAA?

A Cyera oferece uma abordagem abrangente para a descoberta de informações de saúde, permitindo que você proteja melhor a privacidade dos seus clientes por meio da análise e geração de relatórios sobre a localização, o tipo, o status, a idade e outros dados contextuais relacionados. Esse contexto pode então ser usado para anonimizar, excluir e controlar os dados, atendendo aos requisitos da HIPAA.

1. Desidentificação

Como os dados em sua organização provavelmente existem em muitos lugares e para muitos usos, você primeiro precisa inventariá-los e classificá-los, o que aborda diretamente a seção 164.502-(B)(2)(d) referente a “usos e divulgações de informações de saúde protegidas anonimizadas” no padrão.

A Cyera informa se os dados foram desidentificados ou não, e em que formato estão: mascarados, criptografados, redigidos ou tokenizados. Se você tiver informações de saúde protegidas (PHI) que não foram desidentificadas, elas deverão ser processadas e anonimizadas antes de serem divulgadas ou utilizadas.

2. Gestão do ciclo de vida dos dados

A Seção 164.530(iv)(2) exige um período de retenção para a documentação de uma entidade coberta: “seis anos a partir da data de sua criação ou da data em que esteve em vigor pela última vez, o que ocorrer por último”. No entanto, as Informações de Saúde Protegidas (PHI) diferem da documentação de sistemas. O período de retenção não se aplica, na verdade, às PHI, mas sim aos registros contidos em logs de segurança, planos de continuidade de negócios e recuperação de desastres (BCDR), políticas, etc., que são usados ​​para administrar o sistema de processamento de dados. A HIPAA não possui requisitos de retenção para registros de pacientes, além da regra de acesso de seis anos, que diferencia uma entidade coberta (por exemplo, um hospital) de uma que processa, mas não detém os dados (por exemplo, uma plataforma de armazenamento).

O Cyera resume as datas dos seus dados, incluindo a data de criação e a data da última modificação, ajudando você a determinar quais arquivos estão em conformidade ou não. Isso ajuda a evitar exclusões acidentais antes do término do período e permite a migração de dados (como arquivos com mais de 2 anos) para armazenamento a frio, gerando economia de custos.

3. Controle de acesso

A Norma de Segurança HIPAA cita o princípio de “mínimo necessário”, também conhecido como “acesso mínimo do usuário”, para reduzir a exposição nesses casos, incentivando os administradores a restringir o uso de dados de acordo com a função, classificação, associação a grupo ou outros critérios gerenciáveis. Especificamente, “uma entidade coberta deve desenvolver e implementar políticas e procedimentos que restrinjam o acesso e os usos de [PHI] com base nas funções específicas dos membros de sua força de trabalho”.

A Cyera ajuda você a implementar políticas de Governança de Acesso a Dados (DAG). A Cyera informa o nível de risco que os dados representam. Ao compreender o risco dos dados, você estará em melhor posição para decidir quais controles de acesso são mais apropriados para eles.

Além disso, a Cyera informa quem tem acesso às informações de saúde protegidas (PHI), incluindo funcionários atuais e antigos. Com essas informações, você pode limitar o acesso apenas àqueles que precisam dos dados e revogar o acesso de ex-funcionários.

4. Classificação dinâmica

O nível de segurança necessário para um ativo depende não apenas do risco atual, mas também do risco futuro. Se um arquivo perder sua importância em seis meses, provavelmente você não precisará de criptografia quântica. Mas se as Informações de Saúde Protegidas (PHI) precisarem ser mantidas por seis anos, você precisará garantir que os dados permaneçam seguros durante todo esse período. As Salvaguardas Administrativas da Norma de Segurança fornecem contexto adicional sobre a supervisão de dados, como avaliações de risco e vulnerabilidade e planos de resposta. Estes, em particular, estão sujeitos a uma auditoria HIPAA (ou outra).

Como os dados são dinâmicos, sua compreensão deles também deve ser dinâmica. A Cyera informa sobre a mudança de estado e, consequentemente, a sensibilidade dos seus dados. Em um determinado momento, os dados podem se referir a um menor de idade. Meses depois, esses mesmos dados podem se referir a um adulto. O contexto sobre o que seus dados representam em diferentes momentos pode ajudar você a aplicar os níveis adequados de governança da informação.

A forma como você gerencia seus dados também depende da identificabilidade – se esses dados podem ser vinculados a um indivíduo específico. O Cyera destaca quando os dados são expostos como texto simples ou anonimizados em seu ambiente. 

5. Salvaguardas

Da seção 164.530-(c)(1), “Uma entidade coberta deve manter salvaguardas administrativas, técnicas e físicas razoáveis ​​e apropriadas para prevenir a divulgação intencional ou não intencional […] de [PHI …] e para limitar seu uso incidental […].” Tais salvaguardas técnicas (164.312(a, b, c)) podem incluir controles de acesso baseados em função (RBAC), sistemas de detecção de intrusão e até mesmo treinamento de segurança para funcionários.

A Cyera informa o contexto dos seus controles de segurança. O contexto indica se os dados foram redigidos, criptografados, transformados por outro método ou expostos como texto simples. O contexto também mostra se o repositório de dados é acessível e por quem (por exemplo, se está aberto a todos os funcionários, a um único departamento, a pessoas específicas ou à internet).

Garanta a conformidade com a HIPAA com a Cyera.

Os requisitos técnicos, legais e processuais da HIPAA são variados e complexos. Mas, com a abordagem correta, você pode compreender a profundidade e a distribuição das Informações de Saúde Protegidas (PHI) em sua organização, e a Cyera o preparará para auditorias com análises detalhadas de descoberta e postura de segurança de dados, personalizadas para sua empresa. organização de saúde.

A plataforma de segurança de dados da Cyera fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.

A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como você pode apoiar a conformidade com a HIPAA com a Cyera, Agende uma demonstração hoje.

Share