O que é a HIPAA?

A HIPAA (a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996) foi projetada para proteger dados de saúde ou informações eletrônicas de saúde protegidas (ePHI). É uma lei dos EUA projetada para fornecer padrões de privacidade para proteger os registros médicos dos pacientes e outras informações de saúde. A HIPAA estabelece definições de ePHI, regras e políticas para usar e compartilhar ePHI e penalidades por uso indevido ou violação de ePHI para partes não autorizadas. Embora os objetivos originais abranjam a governança da privacidade de dados por meio de acesso consentido e a garantia da portabilidade de ePHI para simplificar as alterações no plano de seguros, a HIPAA estabeleceu uma parte fundamental da política a ser desenvolvida à medida que as necessidades do setor mudam. 

A lei é mais relevante do que nunca hoje, pois as ePHI estão incluídas na maioria dos formatos padrão de troca de serviços de saúde, com todas as partes (incluindo os agentes de ameaça) interessadas no acesso aos dados confidenciais. Um relatório de 2023 do Escritório de Segurança da Informação do Departamento de Saúde e Serviços Humanos (HHS) dos EUA mostra uma tendência crescente nas violações de dados de saúde entre 2012 e 2021. O relatório também destaca que as violações de dados de saúde dobraram nos três anos anteriores. Os institutos de saúde e órgãos associados, como seguros, são guardiões de informações de saúde protegidas (PHI). Isso torna essas organizações um alvo atraente para cibercriminosos. Os ataques cibernéticos na área de saúde incluem a ameaça insidiosa de ransomware e problemas de segurança de dados, que geralmente começam com acesso não autorizado e falta de controles de acesso com privilégios mínimos. 

A HIPAA foi promulgada em 21 de agosto de 1996. No entanto, desde então, a estrutura teve várias adições importantes. Isso inclui a Regra de Segurança, Regra de Privacidade, Regra de Notificação de Violação e a Regra Final Omnibus. O HHS regula a HIPAA, mas o Escritório de Direitos Civis (OCR) a aplica.

Em "Simplificação administrativa", a HIPAA é definida por meio de vários componentes, incluindo:

• Padrões de Definição de Código e Transações
• Padrões de Identificador
• Regra de Privacidade
• Regra de Segurança
• Regra de Aplicação
• Regra de Notificação de Violação

Juntos, essas regras e padrões definem a base para a proteção de ePHI.

A proteção de ePHI está no centro da conformidade com a HIPAA. As soluções de segurança da Akamai oferecem inteligência e proteção de ponta a ponta para dar suporte à proteção ePHI contra violações e exposição acidental. A Akamai ajuda suas equipes de segurança a melhorar a eficácia e o ROI de seus investimentos em segurança, indo além da detecção de endpoint tradicional para fornecer uma solução Zero Trust eficiente para a segurança e a privacidade dos dados. 

A Akamai oferece:

• Uma plataforma global que possibilita segurança Zero Trust com cobertura abrangente de seu ambiente de TI

• Visibilidade profunda de ativos, acesso e fluxos de rede

• Aplicação granular de políticas de segurança configuradas pelo cliente

Qualquer entidade de saúde, incluindo qualquer associado comercial que esteja lidando com dados de saúde, deve atender às rigorosas regras de segurança e privacidade de dados da HIPAA. Se a sua organização estiver sob o escopo da HIPAA, você deverá cumprir as normas que afetam o acesso e o manuseio de PHI. Se uma entidade afetada violar as regras de segurança e privacidade da HIPAA, ela estará vinculada às regras de notificação de violação. Se mais de 500 usuários forem afetados por uma violação, a notificação do incidente deve ser passada para o OCR. Os detalhes da violação estão listados em um site público pesquisável, o "Portal de violação: Notificação à Secretaria de Violação de Informações Médicas Protegidas Não Seguras da HHS".

Os tipos específicos de organizações que são afetados pela HIPAA incluem os seguintes:

_Hospitais

A Regra de Privacidade da HIPAA exige que os hospitais forneçam explicações claras sobre os direitos de privacidade dos pacientes. Além disso, a segurança é um componente essencial para proteger os dados do paciente, com a regra HIPAA 45 CFR 164,502(b), 164,514(d) declarando explicitamente o requisito de que as entidades cobertas devem "... avaliar suas práticas e aprimorar as proteções conforme necessário para limitar o acesso desnecessário ou inadequado e a divulgação de informações de saúde protegidas". 

Os hospitais, portanto, devem ter medidas para minimizar o risco de acesso não autorizado a dados. Uma abordagem de segurança Zero Trust para acesso a dados fornece a estrutura para mitigar os riscos às PHI em um ambiente hospitalar.

_{Associados comerciais}

Um associado comercial de acordo com a HIPAA é definido como qualquer empresa que "cria, recebe, mantém ou transmite informações de saúde protegidas (PHI)" em nome de uma entidade coberta. Isso inclui empresas como fornecedores de software, prestadores de serviços de nuvem e agências de cobrança. Os associados comerciais devem proteger e manter a confidencialidade, integridade e acessibilidade das PHI usando medidas e proteções técnicas. As medidas de segurança para identificar riscos e proteger PHI são um requisito da HIPAA. Uma plataforma Zero Trust oferece visibilidade em um ecossistema de dados expandido para aplicar medidas de segurança robustas para proteger contra o acesso não autorizado a dados.

A HIPAA tem medidas de proteção rigorosas para garantir a segurança e a privacidade de ePHI. A aplicação dos princípios da HIPAA oferece uma série de benefícios para entidades e pacientes cobertos. Entre alguns dos benefícios mais importantes:

Aprimora a privacidade do paciente: as informações pessoais e confidenciais sobre a saúde do paciente são limitadas apenas àqueles que precisam saber. Em determinadas condições, os pacientes devem consentir em compartilhar seus dados de saúde.

Aplica o acesso baseado em função e os princípios de privilégio mínimo: os dados só estão disponíveis para aqueles que precisam saber. A segurança Zero Trust pode ajudar a aplicar esses princípios.

Exige autenticação robusta: a HIPAA exige que todas as entidades cobertas implementem autenticação robusta para ajudar a aplicar políticas de controle de acesso.

Protege contra malware: o ransomware ataca hospitais e outros institutos de saúde. Isso deixa as ePHI vulneráveis. A conformidade com a HIPAA protege contra infecção por malware.

A Akamai fornece uma família de soluções abrangente que oferece segurança Zero Trust para ajudar a atender e manter a conformidade com a HIPAA. Nossos clientes reconhecem as principais soluções de segurança da Akamai como as melhores da categoria; nossos clientes de saúde usam a Akamai para proteger ePHI e aplicar os princípios de menor privilégio e controles de acesso robustos. O portfólio de segurança da Akamai cresceu de uma coleção de soluções pontuais para uma plataforma Zero Trust abrangente e poderosa. As soluções de classe mundial da Akamai fornecem controles de segurança para dar suporte à Regra de Segurança e Privacidade da HIPAA que abrange segurança, disponibilidade, integridade, confidencialidade e privacidade de dados. A Akamai oferece visibilidade profunda do seu ambiente de TI e de toda a sua infraestrutura expandida para incluir associados de negócios.

Akamai Cloud: nossa plataforma de edge e nuvem amplamente distribuída oferece computação em nuvem, segurança e entrega de conteúdo. A Akamai Cloud foi projetada para garantir que as entidades cobertas pela HIPAA possam usar a computação em nuvem e permanecer em conformidade.

Akamai Identity Cloud: a privacidade e a segurança são incorporadas ao Akamai Identity Cloud por padrão. A solução oferece gerenciamento de identidade altamente escalonável e lida com casos de uso complexos: O Identity Cloud armazena dados de clientes de maneira altamente segura, aplicando princípios de privilégio mínimo para mitigar ataques cibernéticos. Além disso, a solução tem gerenciamento de consentimento integrado para cumprir normas, incluindo HIPAA, RGPD, CCPA, PIPEDA e outras.

O HHS coloca as entidades cobertas pela HIPAA em três classes:

1. Prestadores de serviços de saúde: inclui médicos, clínicas, dentistas e farmácias
2. Planos de saúde: inclui seguradoras de saúde e planos de saúde empresariais
3. Câmaras de compensação de saúde: organizações que processam informações de saúde não padrão de outra entidade 

A proteção de PHI é estendida pela Regra Omnibus para incluir qualquer associado comercial que lida com dados de saúde.

Informações eletrônicas de saúde protegidas (Electronic Protected Health Information, ePHI) de acordo com as normas HIPAA referem-se a dados de saúde identificáveis individualmente ou informações pessoais de saúde: a HIPAA inclui 18 "identificadores". Esses identificadores representam os diferentes tipos de dados de identificação que a HIPAA abrange. Os tipos de informações incluem nomes de pacientes, endereços de e-mail, números de seguro social, registros eletrônicos de saúde (EHR), registros médicos, dados biométricos e assim por diante. A autorização do paciente é necessária para liberar registros que contenham qualquer um desses dados.

As ePHI serão excluídas dos controles HIPAA se puderem ser desidentificadas usando o "Padrão de desidentificação" de acordo com a ​​Seção 164,514(a) da Regra de Privacidade da HIPAA.

Qualquer entidade coberta pela HIPAA que crie, receba, use ou mantenha PHI deve cumprir a Regra de Segurança da HIPAA. A regra abrange explicitamente as proteções administrativas, físicas e técnicas que garantem a confidencialidade, integridade e segurança de ePHI. As proteções técnicas para ajudar a aderir à HIPAA e proteger PHI incluem:

• Controle de acesso a ePHI
• Autenticação de pessoa ou entidade
• Segurança de transmissão, por exemplo, criptografia

Outras disposições de segurança incluem treinamento e conscientização sobre a conformidade dos funcionários e proteções de acesso físico.

A Regra de Privacidade da HIPAA foi adicionada em dezembro de 2000 e atualizada em agosto de 2002. Ele fornece a estrutura de privacidade para proteger informações de saúde identificáveis individualmente por entidades cobertas e para controlar a divulgação de informações de saúde protegidas. Os dados associados também são cobertos pela Regra de Privacidade, por exemplo:

• Condições físicas ou mentais no passado, presente e futuro
• O tratamento para uma condição
• Informações de pagamento relativas ao tratamento

A HIPAA e a HITECH Act (Health Information Technology for Economic and Clinical Health Act ou "Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica", em tradução livre) estão preocupadas com a proteção de ePHI. No entanto, a HITECH expande os requisitos de conformidade de criptografia da HIPAA e a divulgação de violações de dados de PHI "desprotegidas" (não criptografadas). Isso significa que os pacientes podem solicitar aviso de qualquer divulgação de suas PHI.

A HIPAA tem uma Regra de Notificação de Violação que define o que aciona uma notificação de violação sob violações da HIPAA. As regras básicas para notificação de violação são:

• Violações que afetam 500 ou mais indivíduos: as entidades cobertas devem notificar a Secretaria sem atraso injustificado dentro de 60 dias após uma violação.
• Violações que afetam menos de 500 pessoas: as entidades cobertas podem notificar a Secretaria anualmente, mas dentro de 60 dias após o final do ano da violação.

A Regra de Notificação de Violação da HIPAA pode ser encontrada na HIPAA 45 CFR seção 164,400-414.

As penalidades por não conformidade com a HIPAA incluem multas de até US$ 50 mil por violação da HIPAA e podem incluir penalidades criminais.