Privacidade em saúde: Noções básicas da HIPAA

Postado: 1 de fevereiro de 2015 | Revisado: 01 de fevereiro de 2015

  1. Introdução
  2. O que é HIPAA?
    a. Uma breve história da HIPAA
    b. A HIPAA é a única lei que se aplica às informações de saúde?
  3. Quem deve cumprir a HIPAA?
    a. Entidades cobertas
    b. Associados de negócios
    c. Subcontratados
    d. Entidades híbridas
  4. Quem não é obrigado a cumprir a HIPAA?
  5. Quais informações a HIPAA cobre?
    a. A que informações se aplica a regra de privacidade da HIPAA?
    b. A quais informações a regra de segurança da HIPAA se aplica?
  6. Quais informações não são cobertas pela regra de privacidade da HIPAA?
    a. Informações de saúde nos registros de empregos
    b. Informações de saúde nos registros de educação (em sua maioria)
    c. Informações de saúde de uma pessoa falecida há mais de 50 anos
    d. Dados desidentificados
  7. Como o Departamento de Saúde e Serviços Humanos (HHS) dos EUA aplica a HIPAA?
    a. Quando o HHS investigará uma reclamação?
    b. Como o HHS determina a penalidade para uma violação?
    c. Se houver multa monetária, a pessoa que fez a reclamação receberá dinheiro?
    d. As pessoas podem processar segundo a HIPAA?
  8. Recursos

1. Introdução

Quase todo mundo reconhece a natureza sensível das informações médicas e de saúde. No entanto, a privacidade e a segurança das informações de saúde são tópicos complexos para pacientes e profissionais de saúde.

As regulamentações federais que regem a privacidade e segurança das informações de saúde são conhecidas como HIPAA, para Health Insurance Portability and Accountability Act que mandatados. Como paciente, é importante entender o escopo e as limitações do HIPAA. Este guia fornece informações sobre os princípios básicos do HIPAA, como a quem o HIPAA se aplica e quais informações ele cobre.

2. O que é o HIPAA?

A Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) é uma lei federal que fornece padrões básicos de privacidade e segurança para informações médicas. O Departamento de Saúde e Serviços Humanos (HHS) dos Estados Unidos é a agência federal responsável por criar regras que implementam HIPAA e também fazem cumprir a HIPAA.

a. Uma breve história da HIPAA

  • 1996 – O Congresso aprovou a Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA).
    A maioria das pessoas está familiarizada com a HIPAA como uma lei de privacidade e segurança médica. No entanto, o objetivo inicial da HIPAA era definir padrões para a transmissão de dados eletrônicos de saúde e permitir que as pessoas transferissem e continuassem com o seguro saúde depois de mudarem ou perderem o emprego.
    Em de fato, até 2003 não havia padrões nacionais de privacidade para informações médicas sob HIPAA. Todas as proteções foram baseadas na lei estadual.

  • 2003 – O Departamento de Saúde e Serviços Humanos (HHS) dos EUA emitiu e adotou a Regra de Privacidade HIPAA, Regra de Segurança HIPAA e a HIPAA Regra de aplicação.
    Em 2003, o HHS emitiu as primeiras regras nacionais de privacidade e segurança de dados sob a HIPAA.
    A regra de privacidade dá aos indivíduos direitos com relação às suas informações de saúde protegidas (PHI). Ele também explica como as entidades cobertas (aquelas que devem cumprir a HIPAA) podem usar e divulgar PHI.
    A regra de segurança define padrões para proteger PHI eletrônico.
    A regra de aplicação trata de conformidade, investigações e penalidades potenciais para violações da regra de privacidade e regra de segurança da HIPAA. O Office for Civil Rights (OCR) dentro do HHS é responsável por fazer cumprir os regulamentos da HIPAA.
  • 2009 – A Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) foi assinada em lei. A Lei HITECH é o Título XIII da Lei Americana de Recuperação e Reinvestimento (AARA).
    Entre 2003 e 2009, a tecnologia mudou o panorama da privacidade médica. Os registros médicos eletrônicos começaram a substituir os arquivos de papel. Os pacientes começaram a se comunicar com seus médicos por e-mail e por meio de portais online. As farmácias começaram a processar prescrições eletronicamente.
    A Lei HITECH criou incentivos financeiros para que prestadores de serviços de saúde e seguradoras continuassem mudando para registros médicos eletrônicos e também abordou questões de privacidade e segurança relacionadas à transmissão eletrônica de informações de saúde, incluindo acesso e dados não autorizados violações.
  • 2013 – HHS “Office for Civil Rights emitiu a regra geral HIPAA.
    A regra geral HHS” fez várias alterações importantes na privacidade, segurança e aplicação da HIPAA Regras. Ele implementou muitas disposições da Lei HITECH. Ele modificou e finalizou a regra de notificação de violação. Ele também implementou mudanças na Regra de Privacidade HIPAA exigida pela Lei de Não Discriminação de Informações Genéticas de 2008 (GINA).

b. A HIPAA é a única lei que se aplica às informações de saúde?

Não. A Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA) não é a única lei que se aplica a informações de saúde.

Existem leis federais que se aplicam a tipos específicos de informações de saúde (ou registros contendo informações de saúde), como informações genéticas, informações de saúde em registros escolares, informações identificáveis sobre indivíduos mantidos pelo governo federal, determinados tipos de álcool e registros de abuso de drogas e informações relacionadas a pesquisas médicas.

Além disso, os estados podem promulgar suas próprias leis para proteger as informações de saúde porque o HIPAA define uma linha de base a partir da qual os estados podem criar leis mais fortes. Para obter mais informações sobre a lei estadual, consulte HealthInfoLaw.org (um projeto do Programa de Política e Lei de Saúde Hirsh da George Washington University).

3. Quem deve cumprir a HIPAA?

A HIPAA não protege todas as informações de saúde. Nem se aplica a todas as pessoas que podem ver ou usar informações de saúde. A HIPAA só se aplica a entidades cobertas e seus associados comerciais.

a. Entidades cobertas

Existem três tipos de entidades cobertas pela HIPAA.

  • Os prestadores de cuidados de saúde são pagos para fornecer cuidados de saúde. Médicos, dentistas, hospitais, lares de idosos, farmácias, clínicas de cuidados urgentes e outros entidades que fornecem cuidados de saúde em troca de pagamento são exemplos de prestadores.
    Os prestadores de cuidados de saúde devem cumprir a HIPAA apenas se transmitirem informações de saúde eletronicamente em relação às transações cobertas. A maioria dos prestadores de serviços transmite informações eletronicamente para realizar funções como processar reclamações e receber o pagamento. Portanto, a maioria prova iders são cobertos pelo HIPAA.
  • Os planos de saúde pagam o custo dos cuidados médicos.
    A seguir estão alguns exemplos de planos de saúde cobertos pelo HIPAA: seguradoras de saúde, organizações de manutenção de saúde (HMOs), planos de saúde em grupo patrocinado por um empregador, planos de saúde financiados pelo governo, como Medicare e Medicaid, e a maioria das outras empresas ou acordos que pagam por cuidados de saúde.
  • As câmaras de compensação de cuidados de saúde processam as informações para que possam ser transmitidas em um formato padrão entre entidades cobertas. As câmaras de compensação geralmente atuam como intermediários entre os prestadores de cuidados de saúde e os planos de saúde, o que significa que raramente lidam diretamente com os pacientes. Por exemplo, uma câmara de compensação pode obter informações de um médico e colocá-las em um formato codificado padrão que pode ser usado para fins de seguro.

Para obter mais informações sobre se uma entidade é coberta pelo HIPAA, o HHS fornece um gráfico útil.

b. Parceiros de negócios

O que é um parceiro de negócios? Provedores de assistência médica, planos de saúde e câmaras de compensação de assistência médica são apenas alguns dos participantes do negócio de assistência médica. As entidades cobertas contratam ou contratam pessoas e empresas para a execução de vários serviços.

Um “parceiro comercial” cria, recebe, mantém ou transmite informações protegidas de saúde (PHI) em nome de uma entidade coberta ou outro parceiro comercial atuando como subcontratado.

Para a definição de um parceiro de negócios, consulte 45 CFR § 160.103.

O que os parceiros de negócios fazem? Os parceiros comerciais podem realizar muitos serviços diferentes para uma entidade coberta, incluindo (mas não se limitando a):

  • jurídico
  • atuarial
  • contabilidade
  • consultoria
  • agregação de dados
  • gerenciamento
  • credenciamento administrativo
  • processamento ou administração de reivindicações
  • dados análise
  • transmissão de dados
  • revisão de utilização
  • garantia de qualidade
  • certas atividades de segurança do paciente
  • faturamento
  • gerenciamento de benefícios
  • gerenciamento de prática
  • reprecificação.

Os parceiros de negócios costumam realizar serviços que não envolvem interação com o paciente. No entanto, um exemplo comum de um parceiro comercial com o qual os pacientes podem interagir é uma empresa que oferece um registro pessoal de saúde (PHR) a indivíduos em nome de entidades cobertas.

Quais são as responsabilidades dos parceiros comerciais? As entidades cobertas devem assinar contratos por escrito com seus associados de negócios para garantir que protejam as PHI de acordo com os padrões da HIPAA. Os associados comerciais devem fazer o mesmo com qualquer um de seus subcontratados que possam ser considerados associados comerciais. O site do HHS contém mais informações sobre relacionamentos com parceiros de negócios e também fornece exemplos de cláusulas para acordos de parceiros de negócios.

Os associados de negócios devem cumprir os contratos que assinam com as entidades cobertas. Além disso, os parceiros de negócios são diretamente responsáveis por violações da regra de segurança da HIPAA e de muitas disposições da regra de privacidade da HIPAA. Isso significa que os parceiros de negócios estão sujeitos à maioria dos mesmos padrões de privacidade e segurança de dados que se aplicam às entidades cobertas e podem estar sujeitos a auditorias de HHS e penalidades.

c. Subcontratados

Um subcontratado que cria, mantém ou transmite informações protegidas de saúde (PHI) em nome de um parceiro comercial tem as mesmas responsabilidades legais que um parceiro comercial segundo a HIPAA.Em outras palavras, as responsabilidades legais relacionadas à privacidade e segurança fluem “downstream” para subcontratados que executam trabalho para um parceiro de negócios.

Por exemplo, um parceiro de negócios de um hospital pode contratar uma empresa externa para destruir documentos contendo PHI ou para fornecer um serviço em nuvem para armazenar os dados. Em ambos os casos, a empresa externa (subcontratada) seria obrigada a cumprir a maioria das regras da HIPAA como um parceiro de negócios. Também estaria vinculada por um contrato com o parceiro de negócios, em vez de a entidade coberta (ou hospital neste exemplo).

d. Entidades híbridas

Uma entidade híbrida executa funções cobertas e não cobertas pelo HIPAA como parte de seus negócios. uma empresa que tem um plano de saúde autosseguro para seus funcionários pode optar por ser tratada como uma entidade híbrida. Outros exemplos são uma universidade com um centro médico ou uma mercearia que tenha uma farmácia.

Quando uma organização opta por ser tratada como uma entidade híbrida, apenas a parte do a empresa que é uma entidade coberta (chamada de componente de saúde) está sujeita ao HIPAA. As entidades híbridas devem garantir que o componente de saúde não divulgue informações protegidas de saúde para outro componente não coberto do negócio. Eles também devem proteger as informações eletrônicas de saúde protegidas.

4. Quem não é obrigado a cumprir a HIPAA?

Lembre-se, muitas empresas e pessoas não são obrigadas a cumprir a HIPAA e muitas vezes as informações sobre saúde podem estar disponíveis para essas pessoas e empresas . A HIPAA se aplica apenas a entidades cobertas e seus associados comerciais.

Aqui estão apenas alguns exemplos daqueles que não são cobertos pela HIPAA, mas podem lidar com informações de saúde:

  • seguradoras de vida e de longo prazo
  • seguradoras de indenização de trabalhadores, agências administrativas ou empregadores (a menos que sejam considerados entidades cobertas)
  • agências que oferecem benefícios de seguridade social e bem-estar
  • planos de seguro de automóveis que incluem benefícios de saúde
  • mecanismos de pesquisa e sites que fornecem informações médicas ou de saúde e não são operados por uma entidade coberta
  • profissionais de marketing
  • ginásios e clubes de fitness
  • direto para empresas de teste genético (DTC) do consumidor
  • muitos aplicativos (aplicativos) móveis usam d para fins de saúde e condicionamento físico
  • aqueles que realizam exames em farmácias, shopping centers, feiras de saúde ou outros locais públicos para verificar a pressão arterial, colesterol, alinhamento da coluna e outras condições
  • certos praticantes de medicina alternativa
  • maioria das escolas e distritos escolares
  • pesquisadores que obtêm dados de saúde diretamente de prestadores de cuidados de saúde
  • a maioria das agências de aplicação da lei
  • muitas agências estaduais, como serviços de proteção à criança
  • tribunais, onde as informações de saúde são relevantes para um caso

Para saber mais sobre quem é (ou não) coberto por HIPAA, consulte os Materiais de orientação do HHS para consumidores.

5. Quais informações o HIPAA cobre?

Para determinar se o HIPAA protege um determinado tipo de informação de saúde, é mais fácil descobrir primeiro se existe uma entidade coberta ou associado de negócios que deve cumprir a lei.

De acordo com a HIPAA, “informações de saúde” são quaisquer informações (incluindo informações genéticas) que são criadas ou recebidas por um provedor de saúde, plano de saúde, autoridade de saúde pública, empregador, seguradora de vida, escola ou universidade, ou saúde câmara de compensação e se relaciona com

  • a saúde ou condição física ou mental passada, presente ou futura de uma pessoa;
  • tratamento fornecido a uma pessoa; ou
  • pagamento passado, presente ou futuro por cuidados de saúde que um indivíduo recebe.

As informações de saúde podem existir em qualquer forma ou meio, incluindo papel, eletrônico ou oral.

Quando uma entidade coberta cria ou recebe informações de saúde que identificam – ou podem ser usadas para identificar – uma pessoa, a HIPAA chama de “identi individual informações de saúde fiáveis. “As informações de saúde individualmente identificáveis incluem informações demográficas e outras informações que identificam uma pessoa, como nome, endereço, data de nascimento e número do Seguro Social.

Para definições precisas de qualquer um dos termos deste seção, consulte 45 CFR § 160.103.

a. A quais informações a regra de privacidade da HIPAA se aplica?

A regra de privacidade da HIPAA se aplica a “informações de saúde protegidas” (PHI) que incluem todas as “informações de saúde individualmente identificáveis” que são transmitidas ou mantidas em qualquer formato ou meio.

Isso significa que as conversas entre um paciente e um médico têm as mesmas proteções de privacidade que notas manuscritas ou eletrônicas.

Para saber mais sobre a regra de privacidade da HIPAA, consulte: A regra de privacidade da HIPAA : Como as entidades cobertas podem usar e divulgar informações de saúde?

b. A quais informações se aplica a regra de segurança HIPAA?

A regra de segurança da HIPAA exige que as entidades cobertas estabeleçam medidas de segurança de dados apenas para PHI que é mantido em formato eletrônico, chamado de “informação de saúde protegida eletrônica” (ePHI). A regra de segurança não se aplica a PHI que é transmitido oralmente ou por escrito.

Para saber mais sobre a regra de segurança HIPAA, consulte Privacy Rights Clearinghouse Fact Sheet 8d: Protegendo informações de saúde: a notificação de segurança e violação da HIPAA Regras.

6. Que informações não são cobertas pela Regra de Privacidade da HIPAA?

a. Informações de saúde em registros de empregos

A HIPAA não se aplica a registros de empregos, mesmo quando esses registros incluem informações médicas. inclui registros de emprego que uma entidade coberta mantém em sua função de empregador. No entanto, se um funcionário de um provedor de saúde se tornar um paciente desse provedor, o HIPAA se aplicará.

Para saber mais sobre informações médicas no local de trabalho, consulte o HHS “Empregadores e informações de saúde no local de trabalho.

b. Informações de saúde em registros de educação (na maior parte)

As informações de saúde em registros de educação que estão sujeitos à Lei dos Direitos Educacionais e Privacidade da Família (FERPA) não são consideradas informações de saúde protegidas (PHI) de acordo com a HIPAA. Por exemplo, os registros K-12 de uma criança contendo informações sobre as visitas da enfermeira escolar não estão sujeitos ao HIPAA.

Para obter mais informações sobre o FERPA no que se refere a informações de saúde e HIPAA, consulte: Orientação conjunta sobre o Aplicação da Lei dos Direitos Educacionais e Privacidade da Família (FERPA) e da Lei de Responsabilidade e Portabilidade de Seguro Saúde de 1996 (HIPAA) aos Registros de Saúde do Aluno e Privacidade do Aluno 101: Privacidade de Saúde nas Escolas – que lei se aplica?

c. Informações de saúde sobre uma pessoa falecida há mais de 50 anos

As informações de saúde protegidas (PHI) não incluem informações de saúde sobre uma pessoa que faleceu há mais de 50 anos.

Para obter mais informações sobre as informações de saúde de pessoas falecidas, consulte o site do HHS.

d. Dados desidentificados

Dados desidentificados são informações de saúde que tiveram 18 dados específicos identificadores removidos e, portanto, é considerado para tornar o indivíduo que é o sujeito da informação uni dentificável. Isso significa que os dados não identificados não são protegidos pelas Regras de Privacidade da HIPAA, pois as PHI e as entidades cobertas podem usá-los e divulgá-los de forma mais ampla.

Os dados desidentificados costumam ser objeto de debate devido à possibilidade de reidentificar um indivíduo. O Prof. Latanya Sweeney fez um trabalho significativo na área de re-identificação.

Para obter mais informações sobre a desidentificação, consulte 45 CFR 164.514 e a Orientação do HHS sobre os métodos de desidentificação de Informações de saúde protegidas de acordo com a regra de privacidade da HIPAA.

7. Como o HHS aplica a HIPAA?

A regra de execução da HIPAA permite que o Departamento de Saúde e Serviços Humanos (HHS) do Departamento de Direitos Civis (OCR) investigue possíveis violações da HIPAA e avalie penalidades monetárias civis (CMP) para violações. Os procuradores-gerais estaduais também têm autoridade para fazer cumprir as regras da HIPAA. Os indivíduos não têm um direito privado de ação segundo a HIPAA e não podem processar por uma violação.

O OCR inicia o processo de aplicação ao abrir uma investigação de possíveis violações da regra de privacidade ou segurança da HIPAA. O OCR responde a reclamações individuais, mas pode descobrir violações da HIPAA de outras maneiras também (como a realização de auditorias). Após a investigação, o OCR pode resolver um problema determinando que não há violação, celebrando um acordo de resolução com a parte responsável ou descobrindo que a parte está violando e avaliando as penalidades.

Para saber mais sobre a HIPAA aplicação, consulte Como o OCR aplica as regras de privacidade e segurança da HIPAA, dados de aplicação, destaques da aplicação e aplicação da HIPAA.

a. Quando o HHS investigará uma reclamação?

Quando os indivíduos estão cientes de uma possível violação da HIPAA, eles podem registrar uma reclamação no Escritório de Direitos Civis (OCR) do HHS. Para ser considerada para investigação, uma reclamação deve atender aos seguintes critérios básicos:

  • Se a reclamação disser respeito a uma potencial violação da regra de privacidade, a ação deve ter ocorrido depois de abril de 2003. Se a reclamação se referir a um potencial Violação da regra de segurança, a ação deve ter ocorrido após abril de 2005.
  • Um indivíduo deve registrar uma reclamação contra uma pessoa, organização ou outra entidade que está sujeita ao HIPAA.
  • A reclamação deve alegar algo que violaria as regras da HIPAA.
  • Os indivíduos devem apresentar reclamações dentro de 180 dias a partir do momento em que souberam (ou deveriam saber) sobre a violação potencial.

Se o OCR acreditar que a reclamação tem mérito, a agência entrará em contato com a pessoa que apresentou a reclamação, bem como a entidade coberta envolvida para tentar chegar a uma resolução mútua.Algumas questões podem ser encaminhadas para uma audiência perante um juiz de direito administrativo.

b. Como o HHS determina uma penalidade para uma violação?

Para violações que ocorreram depois de 2009, o HHS determina penalidades para as violações da HIPAA com base na culpabilidade do violador. A penalidade mínima varia, mas a penalidade máxima é de $ 1,5 milhão por ano para violações da mesma disposição da HIPAA.

A estrutura da pena civil de quatro níveis é a seguinte:

Desconhecimento significa que a entidade coberta não tinha conhecimento da violação e não teria sabido através do exercício de diligência razoável.

Causa razoável significa que a entidade coberta saberia da violação, exercendo diligência razoável.

Negligência intencional corrigida significa que a entidade coberta violou intencionalmente a HIPAA ou agiu com indiferença imprudente, mas corrigiu a violação dentro de 30 dias da descoberta.

Negligência intencional não corrigida significa que a entidade coberta violou intencionalmente a HIPAA ou agiu com indiferença imprudente, mas não corrigiu a violação dentro de 30 dias da descoberta.

c . Se houver uma multa monetária, o indivíduo que registrou a reclamação receberá dinheiro?

Não. Qualquer dinheiro das penalidades que o HHS arrecadar é pago ao Tesouro dos Estados Unidos.

d. Pode indivíduos processam ao abrigo do HIPAA?

Não. Os indivíduos não têm o direito de processar ao abrigo do HIPAA. No entanto, o HIPAA não impede os estados de aprovar leis que fornecem proteção reforçada. George Washington University tem um guia, Informações de saúde e a Lei, que contém informações sobre as leis estaduais.

8. Recursos

Lei federal

Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH), Público Lei 111-5, 2009

Lei de Não Discriminação de Informação Genética de 2008 (GINA), (Lei Pública 110-223, 122 Estat. 881)

Regulamentos Federais

Regra de privacidade da HIPAA de 2003 e modificações subsequentes

Regra geral do HHS, Registro Federal 78, 25 de janeiro de 2013

Leis estaduais e privacidade de saúde

George Washington University, Health Information e o Lei

Associação Nacional de Comissários de Seguros

Departamento de Saúde e Serviços Humanos, Escritório de Direitos Civis

Materiais de orientação para consumidores

Tópicos especiais em privacidade de informações de saúde

Contratos de parceiros comerciais

Autorizações

Entidades cobertas

Empregadores e informações de saúde no local de trabalho

Write a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *