HIPAA: Guia de Conformidade para o Líder de Segurança

Na indústria da saúde, a segurança e a privacidade dos dados são um dos pilares mais importantes para fornecer e receber cuidados de qualidade. A confiança é fundamental—a confiança deve ser mantida; uma vez perdida, é quase impossível recuperá-la. As pessoas esperam, compreensivelmente, que suas informações pessoais de saúde sejam mantidas em sigilo.

Regulamentações foram desenvolvidas ao longo do tempo para companhias de seguros, prestadores de serviços e profissionais de saúde para ajudá-los a empregar e aplicar políticas e procedimentos de privacidade de dados. De fato, as regras se aplicam a qualquer pessoa que acesse ou use informações de saúde protegidas (PHI). A principal lei desse tipo nos EUA é a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA).

O que é HIPAA?

A HIPAA estabelece "padrões nacionais para proteger informações confidenciais de saúde do paciente contra divulgação sem o consentimento ou conhecimento do paciente."

No cerne da HIPAA estão cinco Títulos / emendas que melhoram a administração e a cobertura de seguros de saúde e de vida. Existem várias regras individuais além da privacidade, nomeadamente segurança, aplicação, segurança do paciente e notificação de violação.

Para líderes focados em dados tanto de uma perspectiva de segurança quanto de privacidade, o Título II (Simplificação Administrativa da HIPAA), a Regra de Privacidade e a Regra de Segurança são os mais relevantes.

O Título II promulga "padrões nacionais para transações eletrônicas de assistência médica e identificadores nacionais para prestadores de serviços, planos de saúde e empregadores. [...] A adoção desses padrões melhorará a eficiência e a eficácia do sistema de saúde do país, incentivando o uso generalizado do intercâmbio eletrônico de dados na área da saúde."

A Regra de Privacidade afirma que "os direitos dos indivíduos de entender e controlar como suas informações de saúde são usadas."

A Regra de Segurança da HIPAA tem implicações mais amplas para PHI eletrônica (e-PHI) para "garantir a confidencialidade, integridade e disponibilidade" de tais dados.

O que é PHI?

"PHI" é usado como um termo genérico para dados de saúde… "paciente", "pessoal", "privado", "protegido", etc., dependendo de qual site você lê. De acordo com o Departamento de resumo do HHS dos EUA sobre a lei, "protegido" é o termo preferido e se aplica a metadados, registros, transações / compartilhamento, planos e pagamentos. Mas existe algum dado pessoal que não se qualifica como PHI?

Sim. O Título II define 18 "identificadores" exclusivos de e-PHI (como o número de registro de um documento de tratamento), mas dados "desidentificados" — informações que tiveram quaisquer marcadores que as associem a uma pessoa específica removidos ou ofuscados — não estão sujeitos às mesmas restrições ou regulamentação.

De acordo com a seção 164.514 do texto da regra final, os seguintes são considerados identificadores de dados (a HIPAA foi aprovada há mais de vinte anos, e muitas novas tecnologias foram introduzidas desde então. Pode haver novos tipos de dados que não se encaixariam nesses atributos):

1. ​Nomes
2. Estado, endereço, cidade, condado, distrito, CEP e seus geocódigos equivalentes
3. ​​​​​Datas (exceto ano) incluindo nascimento, admissão, alta, óbito; idades acima de 89
4. Números de telefone
5. Números de fax
6. Endereços de e-mail
7. Números de segurança social
8. Números de prontuário médico
9. Números de beneficiários do plano de saúde
10. Números de conta
11. Números de certificado/licença
12. Identificadores de veículos e números de série, incluindo números de placas
13. Identificadores de dispositivo e números de série
14. Localizadores Universais de Recursos (URLs) da Web
15. Números de endereço de Protocolo de Internet (IP)
16. Identificadores biométricos, incluindo impressões digitais e de voz
17. Imagens fotográficas de rosto completo e quaisquer imagens comparáveis
18. Qualquer outro número de identificação único, característica ou código

Como a Cyera pode me ajudar a cumprir os requisitos de dados da HIPAA?

A Cyera oferece uma abordagem abrangente para a descoberta de informações de saúde, permitindo que você proteja melhor a privacidade dos clientes ao analisar e relatar a localização, o tipo, o status, a idade e outros contextos relacionados aos dados. Esse contexto pode então ser usado para anonimizar, excluir e controlar dados para atender aos requisitos da HIPAA.

1. Desidentificação

Como os dados em sua organização provavelmente existem em muitos lugares e para muitos usos, você primeiro precisa inventariá-los e classificá-los, o que atende diretamente à seção 164.502-(B)(2)(d) referente a "usos e divulgações de informações de saúde protegidas desidentificadas" no padrão.

A Cyera informa se os dados estão desidentificados ou não, e seu formato, seja mascarado, com hash, criptografado, redigido ou tokenizado. Se você tiver PHI coberto que não está desidentificado, ele deve ser processado e anonimizado antes de poder ser divulgado ou usado.

2. Gerenciamento do ciclo de vida dos dados

A Seção 164.530(iv)(2) determina um período de retenção para documentação por uma entidade coberta: "seis anos a partir da data de sua criação ou da data em que esteve em vigor pela última vez, o que for posterior". No entanto, PHI difere da documentação de sistemas. O período de retenção não se aplica realmente ao PHI, mas aos registros contidos em logs de segurança, planos de BCDR, políticas, etc. que são usados para administrar o sistema de processamento de dados. A HIPAA não possui requisitos de retenção para registros de pacientes, além da regra de acesso de seis anos, diferenciando uma entidade coberta (por exemplo, um hospital) de uma que processa mas não possui os dados (por exemplo, uma plataforma de armazenamento).

A Cyera resume as datas dos seus dados, incluindo a data de criação e última modificação, ajudando você a determinar quais arquivos estão ou não em conformidade. Isso ajuda a evitar exclusões acidentais antes do término do período e permite migrar dados (como aqueles com mais de 2 anos) para armazenamento frio visando economia de custos.

3. Controle de acesso

A Regra de Segurança da HIPAA cita o princípio de "mínimo necessário", também conhecido como "acesso mínimo do usuário", para reduzir a exposição nesses casos, incentivando os administradores a restringir o uso de dados de acordo com a função, classificação, associação de grupo ou outros critérios gerenciáveis. Especificamente, "uma entidade coberta deve desenvolver e implementar políticas e procedimentos que restrinjam o acesso e os usos de [PHI] com base nas funções específicas dos membros de sua força de trabalho."

A Cyera ajuda você a aplicar políticas de Governança de Acesso a Dados (DAG). A Cyera informa o nível de risco que os dados apresentam. Ao compreender o risco dos dados, você fica em melhor posição para decidir quais controles de acesso são mais apropriados para os dados.

Além disso, a Cyera informa quem tem acesso às PHI, incluindo funcionários atuais e antigos. Com essas informações, você pode limitar o acesso apenas àqueles que precisam dos dados e remover o acesso de ex-funcionários.

4. Classificação dinâmica

O nível de segurança necessário para um ativo depende não apenas do risco atual, mas do risco futuro. Se um arquivo perde sua importância em seis meses, então você provavelmente não precisa de criptografia quântica. Mas se as PHI precisam ser mantidas por seis anos, você precisará garantir que os dados permaneçam protegidos por todo esse tempo. As Salvaguardas Administrativas da Regra de Segurança fornecem contexto adicional sobre a supervisão de dados, como avaliações de risco e vulnerabilidade e planos de resposta. Estas, em particular, estão sujeitas a uma auditoria HIPAA (ou outra).

Como os dados em si são dinâmicos, sua compreensão dos dados também deve ser dinâmica. A Cyera informa você sobre o estado em constante mudança e, portanto, a sensibilidade de seus dados. Em um determinado momento, os dados podem ser sobre um titular de dados que é menor de idade. Meses depois, esses mesmos dados podem ser sobre um adulto. O contexto sobre o que seus dados representam em diferentes momentos pode ajudá-lo a aplicar os níveis apropriados de governança de informações aos dados.

A forma como você governa seus dados também depende da identificabilidade – se esses dados podem ser vinculados a um indivíduo específico. A Cyera destaca quando os dados são expostos como texto simples ou desidentificados em seu ambiente. ‍

5. Salvaguardas

Da seção 164.530-(c)(1), "Uma entidade coberta deve manter salvaguardas administrativas, técnicas e físicas razoáveis e apropriadas para prevenir a divulgação intencional ou não intencional [...] de [PHI ...] e para limitar seu uso incidental [...]." Tais salvaguardas técnicas (164.312(a, b, c)) podem incluir controles de acesso baseados em função (RBAC), sistemas de detecção de intrusão e até treinamento de segurança para funcionários.

A Cyera informa o contexto dos seus controles de segurança O contexto indica se os dados foram redatados, criptografados, transformados por outro método ou expostos como texto simples. O contexto também mostrará se o armazenamento de dados está acessível e por quem (por exemplo, se está aberto para todos os funcionários, um único departamento, pessoas específicas ou a internet).

Suporte à conformidade com HIPAA com a Cyera

Os requisitos técnicos, legais e processuais da HIPAA são variados e complexos. Mas com a abordagem adequada, você pode compreender a profundidade e a distribuição de PHI em sua organização, e a Cyera deixará você pronto para auditoria com descoberta profunda e análise de postura de segurança de dados adaptada à sua organização de saúde.

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar medidas imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como você pode apoiar a conformidade com a HIPAA usando a Cyera, agende uma demonstração hoje.