A escritora técnica freelancer Kayla Matthews discute como garantir que seu produto medtech seja HIPAA compliant.
Rendering competent and high-quality aid to those in need is the top priority in the cuidados com a saúde sector. These days, data security and integrity comes in at a very close second. Manter as informações de saúde protegidas dos pacientes (PHI) seguras é a própria razão pela qual a HIPAA (Health Information and Portability and Accountability Act) passou a existir - e por que ela tem visto várias atualizações desde que a tecnologia e as expectativas de segurança amadureceram ainda mais.
Uma dessas mudanças, conhecida como a Lei HITECH de 2009, fortaleceu a HIPAA removendo as brechas exploráveis para organizações de saúde e criando incentivos para que a comunidade de saúde faça a transição para os registros de saúde eletrônicos (EHRs). O moderno sistema de saúde - incluindo registros históricos e recentes de pacientes - deve ser móvel, seguro e capaz de acompanhar pacientes entre médicos e instalações.
Trabalhar na saúde significa praticar a devida diligência e estabelecer uma cultura que respeite a HIPAA e a soberania e importância de dados precisos dos pacientes. As expectativas se tornaram mais rígidas ao longo dos anos, pois a comunidade médica encontrou novas maneiras de coletar e colocar os dados dos pacientes para trabalhar.
Descubra o que é preciso para manter a tecnologia médica - medtech - em conformidade com o conjunto de requisitos sempre em evolução da HIPAA.
Por que a conformidade HIPAA é essencial na MedTech?
O cumprimento da HIPAA não é opcional para prestadores de serviços médicos, conhecidos como Entidades Cobertas. Como os dados de saúde assumiram um papel central em ambientes de cuidados de todo tipo, as entidades tiveram que reavaliar as técnicas que utilizam para capturar, armazenar, transmitir e comunicar os registros de pacientes.
Financial concerns are the first and probably most significant worry for saúde providers. In 2018, Fresenius Medical Care North America was serviu uma multa de $3,5 milhões pelo Escritório de Direitos Civis e pelo Departamento de Saúde e Serviços Humanos. A FMCNA concordou com os termos, incluindo a exigência de elaborar um plano de ação de âmbito completo para corrigir múltiplas violações da HIPAA.
As perdas financeiras são uma grande parte do motivo pelo qual as organizações de saúde devem assegurar o cumprimento rigoroso dos requisitos da HIPAA. As reputações comprometidas são outras.
A FMCNA fornece produtos e serviços a 170.000 pacientes e emprega mais de 60.000 indivíduos em vários locais e tipos de instalações. Uma multa como esta quase invariavelmente leva à perda de confiança e à perda de negócios.
Agora que sabemos por que isso é essencial para as entidades de saúde, por que a medtech e a HIPAA são vitais para os pacientes?
Para começar, as informações sanitárias protegidas são alguns dos dados mais valiosos no mercado negro de hoje - mais do que dados financeiros, incluindo números de cartões de crédito. As violações das PHI podem levar mais tempo para detectar do que a perda de dados financeiros, mas não é menos útil para os cibercriminosos.
Com PHI, os hackers podem pedir dispositivos médicos e prescrições sob o nome de outra pessoa, cometer fraude de seguro e realizar qualquer outro número de crimes que possam colocar os pacientes e as instalações de cuidados de saúde de volta consideravelmente.
Consider some of the specific requirements that saúde organizations must adhere to as they adopt medical technologies and seek new ways to improve patient outcomes.
1. Os Backups de dados devem ser completos e criptografados
Sob a HIPAA, as organizações de saúde devem permanecer consistentes sobre como, com que freqüência e por quanto tempo eles fazem backup dos dados dos pacientes. Estes requisitos se enquadram em duas categorias - o Plano de Backup de Dados da instituição de saúde e o Período de Retenção requerido.
A HIPAA exige que as organizações de saúde mantenham backups completos, recuperáveis e criptografados de todos os registros eletrônicos de saúde dos pacientes. Detalhes adicionais incluem:
- Criptografia: Os dados em repouso devem ser criptografados utilizando a criptografia AES de 256 bits.
- Redundância: Pelo menos dois ou três locais de armazenamento separados.
- Dados em trânsito: Os dados transferidos utilizando redes públicas devem ser criptografados AES de 256 bits.
- Monitoramento: As organizações devem monitorar os backups de dados e planos de backup para erros e falhas de backup.
Além disso, os repositórios físicos de dados - como as salas de servidores - devem ter controles de acesso robustos para garantir que somente pessoal qualificado e autorizado possa entrar.
Quanto aos períodos de retenção, as coisas se complicam um pouco. Os Estados têm suas próprias leis sobre quanto tempo os provedores devem manter registros médicos. Na Flórida, são cinco anos após o último contato com o paciente. Entretanto, a HIPAA exige que as organizações de saúde mantenham a documentação relacionada à HIPAA em segurança por seis anos, inclusive:
- Autorizações de divulgação PHI
- PHI atualização e registro de registros
- Análise de risco e arquivos de avaliação
- Documentação relativa a notificações de violação
- Revisões de segurança e mudanças ou auditorias de sistema
- Notificações sobre as práticas de privacidade da organização
Os prestadores de serviços de saúde gerenciados pela Medicare e Medicaid têm outras exigências, incluindo a retenção de relatórios de custos por cinco e 10 anos, respectivamente.
2. Os canais de comunicação devem ser assegurados
Mantendo a medicina conformidade sob a HIPAA se estende também aos métodos de comunicação utilizados pelas Entidades Cobertas. Os modernos canais de comunicação, tais como telefone, e-mail, fax e mensagens de texto, são todos um pouco diferentes quando se trata de estar em conformidade com a HIPAA.
A HIPAA não proíbe o uso de mensagens de texto para transmitir PHI. Se a Entidade Coberta notificou o paciente sobre os riscos, e o paciente consentiu, os provedores de saúde podem enviar mensagens de texto de PHI a essa pessoa e a nenhuma outra parte. A HIPAA requer controles de auditoria para a criação e transmissão dos DCC, mas isto é difícil dado o número de ferramentas de comunicação e sistemas operacionais em uso.
Na maioria das situações, é melhor usar outros métodos. Qualquer que seja a ferramenta de comunicação utilizada, as Entidades Cobertas devem prestar contas do seguinte:
- Fortes controles de acesso para os dispositivos que enviam e recebem textos
- Criptografia de ponta a ponta - uma preocupação endereçável sob HIPAA
- Prevenção de perdas para dispositivos facilmente deslocados ou roubados
O envio de faxes faz parte da comunidade médica há muito tempo. Na verdade, algo como 75% de todas as comunicações na indústria de saúde dos Estados Unidos acontece via fax. Os sistemas de fax eletrônico baseados em nuvem fornecem o ecossistema estruturado, seguro e criptografado necessário para o intercâmbio seguro deste tipo de informação entre as partes.
Ao contrário dos sistemas tradicionais de fax, onde todos os registros ficam no local e permanecem em risco de roubo, os faxes eletrônicos proporcionar segurança de acesso e auditabilidade para Entidades Cobertas. Os sistemas de E-fax armazenam todas as informações de comunicação - incluindo as próprias mensagens, mais todos os dados históricos que as acompanham - fora do local de um fornecedor, em um local secundário seguro.
As Entidades Cobertas devem ter várias proteções essenciais em mente ao comunicar os registros, inclusive:
- Senhas fortes ou autenticação biométrica
- Criptografia padrão da indústria, no dispositivo
- Planos abrangentes para remover os PHI dos dispositivos antes de aposentá-los
- Proteção física e digital para redes Wi-Fi e infra-estrutura de TI
- Firmware e atualizações de software para todos os tipos de dispositivos, assim que estiverem disponíveis
3. As entidades de saúde devem realizar análises de risco abrangentes
A falha em realizar uma análise de risco em toda a organização é uma das principais razões pelas quais as organizações de saúde são multadas por violar a HIPAA. As Entidades Cobertas devem realizar análises de risco regularmente, inclusive cada vez que sua infra-estrutura digital muda. O Cancer Care Group, Lahey Hospital & Medical Center, Cardionet e Oregon Health & Science University têm todas as multas suportadas. entre $750.000 e $2,7 milhões por excessos desta natureza.
O methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:
- Definir como PHI flui por toda a organização: Como a PHI entra no sistema? Onde ela é armazenada? Como ele sai? Existem locais potenciais para vazamentos?
- Conta para todo o ciclo de vida das PHI: Quais terceiros entram em contato com a PHI? Outros parceiros comerciais? Empresas de reciclagem ou de trituração? Serviços de reparo ou gerenciamento de computadores?
- Saiba sobre suas vulnerabilidades específicas: Não há duas organizações de saúde que sejam exatamente iguais. As fraquezas podem incluir negligência interna, treinamento incompleto dos funcionários para evitar phishing, senhas de baixa qualidade, ameaças físicas a locais de armazenamento de dados como falhas de energia e condições climáticas extremas, ciberataques deliberados e muito mais.
- Priorizar as ameaças por probabilidade e impacto: Todas as vulnerabilidades organizacionais devem receber um nível de ameaça Baixo, Médio ou Alto para assegurar que as equipes alocam fundos adequadamente, e a empresa pode detalhar os lapsos de treinamento, contratação ou procedimentos resultantes da perda de dados.
Para um olhar mais detalhado sobre os requisitos de análise de risco no âmbito da HIPAA, o governo tem uma folha de trabalho disponível para organizações de assistência médica que querem garantir que não deixaram nada de fora. A folha de trabalho vê revisões regulares à medida que a indústria e as tecnologias mudam.
Prestadores de serviços médicos em conformidade para um futuro mais saudável
Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.
A HIPAA e suas mudanças ao longo dos anos nos lembram o quanto os dados de saúde podem ser valiosos - tanto para os pacientes quanto para os futuros ladrões de dados.
Precisa de ajuda com Conformidade HIPAA ou desenvolver um produto medtech? Consulte especialistas freelancer sobre Kolabtree. É grátis para postar seu projeto e receber orçamentos.