{"id":1670,"date":"2021-02-16T12:32:16","date_gmt":"2021-02-16T15:32:16","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=1670"},"modified":"2021-02-22T13:06:57","modified_gmt":"2021-02-22T16:06:57","slug":"o-que-e-o-hipaa-compliance","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/","title":{"rendered":"O que \u00e9 o HIPAA Compliance"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>A lei de portabilidade e responsabilidade de conv\u00eanio m\u00e9dico (HIPAA, na sigla em ingl\u00eas) \u00e9 uma lei desenhada para proteger a privacidade individual estabelecendo padr\u00f5es na ind\u00fastria americana para manter a informa\u00e7\u00e3o de sa\u00fade do paciente e registros m\u00e9dicos. As diretivas da HIPAA compliance podem ser utilizadas como boas pr\u00e1ticas para ambientes de sa\u00fade com rela\u00e7\u00e3o a LGPD.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#O_que_e_a_conformidade_HIPAA\" >O que \u00e9 a conformidade HIPAA?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#O_que_e_a_Informacao_de_saude_protegida_PHI\" >O que \u00e9 a Informa\u00e7\u00e3o de sa\u00fade protegida (PHI)?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Quem_deve_estar_em_conformidade_com_a_HIPAA\" >Quem deve estar em conformidade com a HIPAA?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Como_a_HIPAA_protege_a_privacidade_dos_pacientes\" >Como a HIPAA protege a privacidade dos pacientes<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Cumprindo_requisicoes_de_PHI\" >Cumprindo requisi\u00e7\u00f5es de PHI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Seguranca_e_Privacidade_EHR\" >Seguran\u00e7a e Privacidade EHR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Transacoes_padroes_da_HIPAA\" >Transa\u00e7\u00f5es padr\u00f5es da HIPAA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Gerenciamento_de_seguranca_para_a_HIPAA\" >Gerenciamento de seguran\u00e7a para a HIPAA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Protecoes_da_HIPAA\" >Prote\u00e7\u00f5es da HIPAA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Analise_de_risco_de_dados\" >An\u00e1lise de risco de dados<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/aiqon.com.br\/blog\/o-que-e-o-hipaa-compliance\/#Custo_das_violacoes_da_HIPAA\" >Custo das viola\u00e7\u00f5es da HIPAA<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Neste artigo, daremos detalhes dos requisitos da HIPAA e oferecer todos os detalhes que a sua organiza\u00e7\u00e3o precisa saber da perspectiva de seguran\u00e7a de TI para garantir a conformidade com a HIPAA.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"O_que_e_a_conformidade_HIPAA\"><\/span>O que \u00e9 a conformidade HIPAA?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Os requisitos para a conformidade HIPAA demanda padr\u00f5es para proteger os prontu\u00e1rios eletr\u00f4nicos dos pacientes e os dados m\u00e9dicos. A HIPAA foi estabelecida para atingir diversos objetivos:<\/p>\n<ul>\n<li>Aprimorar a \u00e1rea da sa\u00fade<\/li>\n<li>Proteger a privacidade do paciente<\/li>\n<li>Requer que as entidades ofere\u00e7am registros m\u00e9dicos para os pacientes quando requisitadas.<\/li>\n<li>Melhora a portabilidade do convenio m\u00e9dico<\/li>\n<li>Garante que os pacientes sejam notificados no evento de brechas de dados de sa\u00fade<\/li>\n<\/ul>\n<p><span style=\"color: #008080;\"><strong>Artigos relacionados<\/strong><\/span><\/p>\n<p><a href=\"https:\/\/aiqon.com.br\/blog\/atendendo-artigos-da-lgpd-artigo-43\/\">Atendendo artigos da LGPD \u2013 Artigo 43<\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"O_que_e_a_Informacao_de_saude_protegida_PHI\"><\/span>O que \u00e9 a Informa\u00e7\u00e3o de sa\u00fade protegida (PHI)?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Para entrar em conformidade com a HIPAA, a organiza\u00e7\u00e3o deve ter as medidas de seguran\u00e7a de dados apropriada para proteger a informa\u00e7\u00e3o da sa\u00fade.<\/p>\n<p>A informa\u00e7\u00e3o de sa\u00fade protegida (PHI) \u00e9 qualquer informa\u00e7\u00e3o pessoal identific\u00e1vel de sa\u00fade que \u00e9 transmitida ou armazenada eletronicamente, no papel ou verbalmente. A PHI inclui informa\u00e7\u00f5es sobre um indiv\u00edduo que se diz respeito a sa\u00fade do seu passado, presente ou futuro; detalhes dos tratamentos de sa\u00fade; e informa\u00e7\u00e3o de pagamento que pode identificar um indiv\u00edduo. Exemplos de PHI incluem:<\/p>\n<ul>\n<li>N\u00fameros de seguran\u00e7a social (RG, CPF, etc)<\/li>\n<li>Nome<\/li>\n<li>Datas de nascimento, morte ou tratamento e outras datas relacionadas ao cuidado do paciente<\/li>\n<li>Fotografias<\/li>\n<li>Informa\u00e7\u00f5es de contato<\/li>\n<li>Registros de n\u00fameros de exames m\u00e9dicos<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Quem_deve_estar_em_conformidade_com_a_HIPAA\"><\/span>Quem deve estar em conformidade com a HIPAA?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A HIPAA regula a informa\u00e7\u00e3o para dois grupos que gerenciam dados de tratamento de sa\u00fade de pacientes:<\/p>\n<ul>\n<li>Entidades cobertas<\/li>\n<li>Associadas de neg\u00f3cios<\/li>\n<\/ul>\n<h3>O que \u00e9 uma entidade coberta?<\/h3>\n<p>Uma <a href=\"https:\/\/www.hhs.gov\/hipaa\/for-professionals\/covered-entities\/index.html\">entidade coberta<\/a> \u00e9 uma pessoa ou organiza\u00e7\u00e3o que processa e mantem o PHI para clientes. Exemplos incluem doutores, farm\u00e1cias, casas de enfermagem, clinicas e companhias de conv\u00eanios m\u00e9dicos.<\/p>\n<p>Entretanto, nem toda organiza\u00e7\u00e3o que lida com informa\u00e7\u00e3o de sa\u00fade \u00e9 considerada uma entidade coberta. Um exemplo s\u00e3o as organiza\u00e7\u00f5es que realizam pesquisa que n\u00e3o oferecem servi\u00e7os de tratamento de sa\u00fade e n\u00e3o transmitem informa\u00e7\u00f5es do mesmo em conex\u00e3o com qualquer transa\u00e7\u00e3o coberta pela regula\u00e7\u00e3o da HIPAA.<\/p>\n<h3>O que \u00e9 uma associada de neg\u00f3cio?<\/h3>\n<p>Uma <a href=\"https:\/\/www.hhs.gov\/hipaa\/for-professionals\/privacy\/guidance\/business-associates\/index.html\">associada de neg\u00f3cio<\/a> \u00e9 uma organiza\u00e7\u00e3o que oferece servi\u00e7os para entidades cobertas auxiliando-as com fun\u00e7\u00f5es e atividades de tratamento de sa\u00fade. Entidades cobertas podem divulgar a PHI para associadas de neg\u00f3cio para aux\u00edlios nas fun\u00e7\u00f5es de tratamento de sa\u00fade mas n\u00e3o para prop\u00f3sitos de uso independente das associadas de neg\u00f3cio.<\/p>\n<p>No geral, um contrato ou acordo com uma associada de neg\u00f3cio \u00e9 necess\u00e1rio para estabelecer a rela\u00e7\u00e3o entra a entidade coberta e a associada de neg\u00f3cio. Em alguns casos, o acordo n\u00e3o \u00e9 necess\u00e1rio, sendo apenas necess\u00e1rio que as organiza\u00e7\u00f5es fa\u00e7am suas pr\u00f3prias pesquisas.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Como_a_HIPAA_protege_a_privacidade_dos_pacientes\"><\/span>Como a HIPAA protege a privacidade dos pacientes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A forma prim\u00e1ria da HIPAA de proteger o paciente \u00e9 a regra de privacidade. A regra de privacidade oferece padr\u00f5es de uso e divulga\u00e7\u00e3o das informa\u00e7\u00f5es de sa\u00fade dos indiv\u00edduos. Ela tamb\u00e9m criou padr\u00f5es para os direitos de privacidade dos pacientes e controles sobre a informa\u00e7\u00e3o do uso da informa\u00e7\u00e3o referente a sa\u00fade deles.<\/p>\n<h3>Direitos de acesso dos pacientes a PHI<\/h3>\n<p>Os pacientes individuais t\u00eam direito de acessar a sua pr\u00f3pria informa\u00e7\u00e3o de sa\u00fade sob a regra de privacidade. Eles podem tamb\u00e9m designar quem mais pode ver sua PHI com uma documenta\u00e7\u00e3o escrita e assinada.<\/p>\n<p>Quando um paciente requisita a PHI, a informa\u00e7\u00e3o normalmente \u00e9 entregue em um conjunto de registros designados que cont\u00e9m:<\/p>\n<ul>\n<li>Faturamento e registros m\u00e9dicos como resultados de exames de laborat\u00f3rio, registros de tratamento e raio-x<\/li>\n<li>Informa\u00e7\u00f5es de reclama\u00e7\u00f5es, inscri\u00e7\u00e3o e pagamento para o plano de sa\u00fade do paciente<\/li>\n<li>Outros registros usadas para tomar decis\u00f5es sobre o paciente<\/li>\n<\/ul>\n<p>Algumas informa\u00e7\u00f5es s\u00e3o exclu\u00eddas do conjunto de registros designados, j\u00e1 que essas informa\u00e7\u00f5es n\u00e3o foram usadas para tomar decis\u00f5es. Esses dados incluem:<\/p>\n<ul>\n<li>Registros de seguran\u00e7a do paciente<\/li>\n<li>Controle de qualidade da informa\u00e7\u00e3o<\/li>\n<li>Informa\u00e7\u00e3o coletada para procedimentos legais<\/li>\n<\/ul>\n<p><a href=\"https:\/\/aiqon.com.br\/blog\/direitos-dos-titulares-dos-dados-como-lidar-com-as-requisicoes\/\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1401 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/DSAR.png\" alt=\"dsar\" width=\"1000\" height=\"300\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/DSAR.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/DSAR-300x90.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/07\/DSAR-768x230.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Cumprindo_requisicoes_de_PHI\"><\/span>Cumprindo requisi\u00e7\u00f5es de PHI<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Uma entidade coberta pode requerer requisi\u00e7\u00f5es de PHI por escrito ou atrav\u00e9s de comunica\u00e7\u00e3o eletr\u00f4nica como e-mail ou um portal na web. A entidade coberta pode n\u00e3o criar uma medida razo\u00e1vel para requisi\u00e7\u00f5es ou verifica\u00e7\u00f5es e tamb\u00e9m n\u00e3o podem atrasar o acesso de um paciente.<\/p>\n<p>As requisi\u00e7\u00f5es podem ser preenchidas em formato eletr\u00f4nico ou no papel, dependendo da informa\u00e7\u00e3o requisitada. A entidade coberta deve oferecer a informa\u00e7\u00e3o requisitada em at\u00e9 30 dias do calend\u00e1rio ap\u00f3s a requisi\u00e7\u00e3o.<\/p>\n<p>A entidade coberta pode cobrar tarifas para recuperar custos incorridos de:<\/p>\n<ul>\n<li>Criar c\u00f3pias<\/li>\n<li>Compra de suprimentos para a requisi\u00e7\u00e3o<\/li>\n<li>Postagem<\/li>\n<li>Preparar resumos do PHI, caso de acordo pelo individuo<\/li>\n<\/ul>\n<p>Em certos casos, a entidade coberta poder\u00e1 negar uma requisi\u00e7\u00e3o de PHI. Essas circunstancias incluem:<\/p>\n<ul>\n<li>Notas de psicoterapia<\/li>\n<li>PHI que \u00e9 parte de uma pesquisa de estudo em andamento<\/li>\n<li>Situa\u00e7\u00f5es quando o acesso pode causar danos a algu\u00e9m.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Seguranca_e_Privacidade_EHR\"><\/span>Seguran\u00e7a e Privacidade EHR<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Em setembro de 2013, os legisladores incorporam a lei HITECH na HIPAA com a lei Omnibus. A lei HITECH foi designada para encorajar as provedores de plano de sa\u00fade a usar registros de sa\u00fade eletr\u00f4nico (EHRs), tamb\u00e9m conhecida como ePHI. A lei HITECH tamb\u00e9m\u00a0 estipula que as entidades encontradas que n\u00e3o estiverem em conformidade com a HIPAA podem ser submetidas a multas.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Transacoes_padroes_da_HIPAA\"><\/span>Transa\u00e7\u00f5es padr\u00f5es da HIPAA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A HITECH endere\u00e7a as transa\u00e7\u00f5es padr\u00f5es na lei de Conjunto de c\u00f3digos e transa\u00e7\u00f5es (TCS em ingl\u00eas). A lei TCS adota padr\u00f5es para a transmiss\u00e3o eletr\u00f4nica de dados de tratamento de sa\u00fade entre provedoras, seguradoras de sa\u00fade e clientes de planos de sa\u00fade.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Gerenciamento_de_seguranca_para_a_HIPAA\"><\/span>Gerenciamento de seguran\u00e7a para a HIPAA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3>A Regra de seguran\u00e7a da HIPAA<\/h3>\n<p>Para garantir a seguran\u00e7a das EHRs, a regra de seguran\u00e7a da HIPAA estabelece padr\u00f5es seguros para as entidades cobertas e associadas de neg\u00f3cio. De acordo com a regra, as entidades cobertas devem:<\/p>\n<ul>\n<li>Garantir a confidencialidade, integridade e disponibilidade de todos os ePHI que eles criam, recebem, mant\u00e9m ou transmitem.<\/li>\n<li>Identificar e proteger contra amea\u00e7as antecipadas para a seguran\u00e7a ou integridade da informa\u00e7\u00e3o<\/li>\n<li>Prote\u00e7\u00e3o contra uso ou divulga\u00e7\u00e3o n\u00e3o autorizada<\/li>\n<li>Garantir conformidade pela for\u00e7a de trabalho<\/li>\n<\/ul>\n<p>Para garantir a conformidade com a regra de seguran\u00e7a da HIPAA, uma organiza\u00e7\u00e3o pode seguir guias estabelecidos pelo instituto nacional de padr\u00f5es e tecnologias (NIST), que inclui controles e recomenda\u00e7\u00f5es de pol\u00edtica para as organiza\u00e7\u00f5es implementarem a HIPAA.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Protecoes_da_HIPAA\"><\/span>Prote\u00e7\u00f5es da HIPAA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A NIST descreve tr\u00eas categorias de prote\u00e7\u00e3o do EHR:<\/p>\n<ul>\n<li>Prote\u00e7\u00e3o administrativa<\/li>\n<li>Prote\u00e7\u00e3o t\u00e9cnica<\/li>\n<li>Prote\u00e7\u00e3o f\u00edsica<\/li>\n<\/ul>\n<p>Essas prote\u00e7\u00f5es podem ser requeridas (devem ser implementadas) ou endere\u00e7\u00e1veis (podem ser implementadas se razo\u00e1veis e apropriadas para o ambiente).<\/p>\n<h3>Prote\u00e7\u00e3o administrativa<\/h3>\n<ul>\n<li>Processo de gerenciamento de seguran\u00e7a: Use sistemas para detectar, prevenir, conter e corrigir viola\u00e7\u00f5es de seguran\u00e7a.<\/li>\n<li>Atribui\u00e7\u00e3o da responsabilidade seguran\u00e7a: Designe o oficial respons\u00e1vel para a implementa\u00e7\u00e3o e desenvolvimento de pol\u00edticas e procedimentos.<\/li>\n<li>For\u00e7a de trabalho de seguran\u00e7a: Garanta acesso a ePHI apenas para funcion\u00e1rios que precisam deles e previna acesso n\u00e3o autorizado de outros usu\u00e1rios.<\/li>\n<li>Gerenciamento de acesso a informa\u00e7\u00e3o: Use sistemas de seguran\u00e7a para autorizar o acesso a ePHI.<\/li>\n<li>Treinamento e consci\u00eancia de seguran\u00e7a: Treine os funcion\u00e1rios com as pr\u00e1ticas e cuidados com a seguran\u00e7a dos dados.<\/li>\n<li>Procedimentos de incidentes de seguran\u00e7a: Estabele\u00e7a controles de incidentes de seguran\u00e7a.<\/li>\n<li>Planos de conting\u00eancia: Desenvolva um plano de gerenciamento de emerg\u00eancia para danos em sistemas.<\/li>\n<li>Reavalia\u00e7\u00e3o: Realize reavalia\u00e7\u00f5es peri\u00f3dicas de sistema para medir a seguran\u00e7a dos dados e a sua confiabilidade.<\/li>\n<\/ul>\n<h3>Prote\u00e7\u00e3o t\u00e9cnica<\/h3>\n<ul>\n<li>Controle de acesso: Permita acesso apenas a indiv\u00edduos ou programas dos quais voc\u00ea concedeu direito de acesso.<\/li>\n<li>Controles de auditoria: Use sistemas para registrar e examinar a atividade relacionada ao ePHI<\/li>\n<li>Integridade: Estabele\u00e7a meios de prevenir a mal gerenciamento da<\/li>\n<li>Autentica\u00e7\u00e3o de pessoa ou entidade: Use sistema de seguran\u00e7a com medidas de verifica\u00e7\u00e3o robustas<\/li>\n<li>Transmiss\u00e3o segura: Implemente medidas de seguran\u00e7a para se manter protegido contra acesso a ePHI n\u00e3o autorizado durante a transmiss\u00e3o eletr\u00f4nica<\/li>\n<\/ul>\n<h3>Prote\u00e7\u00e3o f\u00edsica<\/h3>\n<ul>\n<li>Controle de acesso as instala\u00e7\u00f5es: Limite o acesso f\u00edsico a ePHI<\/li>\n<li>Uso da esta\u00e7\u00e3o de trabalho: Estabele\u00e7a fluxos de trabalho e requisitos de configura\u00e7\u00e3o para as esta\u00e7\u00f5es de trabalho onde a ePHI \u00e9 acessada.<\/li>\n<li>Seguran\u00e7a da esta\u00e7\u00e3o de trabalho: Restrinja o uso das esta\u00e7\u00f5es de trabalho a usu\u00e1rios autorizados.<\/li>\n<li>Controle de dispositivo e m\u00eddias: Controle a adi\u00e7\u00e3o e remo\u00e7\u00e3o de hardware e m\u00eddia que cont\u00e9m ePHI<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Analise_de_risco_de_dados\"><\/span>An\u00e1lise de risco de dados<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sob as diretrizes do processo de gerenciamento de seguran\u00e7a, a regra de seguran\u00e7a requer an\u00e1lise de risco ou avalia\u00e7\u00e3o e gerenciamento de risco.<\/p>\n<p>A diretriz da NIST sobre a an\u00e1lise de risco de dados tem diversos passos, incluindo:<\/p>\n<ol>\n<li>Identificar vulnerabilidades e amea\u00e7as<\/li>\n<li>Avaliar a seguran\u00e7a dos dados atual<\/li>\n<li>Determinar a probabilidade de amea\u00e7a e potenciais impactos<\/li>\n<\/ol>\n<p><span style=\"color: #008080;\"><strong>Conteudo relacionado<br \/>\n<a href=\"https:\/\/aiqon.com.br\/blog\/o-custo-de-um-vazamento-de-dados-e-como-pode-arruinar-o-seu-negocio\/\">O custo de um vazamento de dados e como pode arruinar o seu neg\u00f3cio<\/a><br \/>\n<\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Custo_das_violacoes_da_HIPAA\"><\/span>Custo das viola\u00e7\u00f5es da HIPAA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3>Notifica\u00e7\u00e3o de brecha<\/h3>\n<p>Uma brecha \u00e9 qualquer uso ou divulga\u00e7\u00e3o n\u00e3o autorizada da PHI sob a lei de privacidade. Em alguns casos uma organiza\u00e7\u00e3o pode demonstrar a baixa probabilidade de PHI comprometidos com base na an\u00e1lise de risco<\/p>\n<p>Se uma brecha de dados ocorrer, a organiza\u00e7\u00e3o deve notificar os indiv\u00edduos afetados por carta ou e-mail, alertar a imprensa e criar um relat\u00f3rio para a secretaria HHS atrav\u00e9s de um formul\u00e1rio online, tudo dentro de 60 dias.<\/p>\n<h3>Multas e penalidades da HIPAA<\/h3>\n<p>Quando uma brecha resulta em viola\u00e7\u00f5es da HIPAA, a regra de aplica\u00e7\u00e3o da HIPAA conduz as investiga\u00e7\u00f5es, as audi\u00eancias e as multas. Causas comuns de penalidades incluem dispositivos n\u00e3o criptografados serem perdidos ou roubados, falta de treinamento dos funcion\u00e1rios, brechas nos bancos de dados e informa\u00e7\u00f5es do paciente sendo faladas no escrit\u00f3rio.<\/p>\n<p>A lei HITECH define quatro n\u00edveis para as viola\u00e7\u00f5es:<\/p>\n<ul>\n<li>Tier A: Viola\u00e7\u00e3o onde uma pessoa ou entidade n\u00e3o sabia que ela tinha cometido uma viola\u00e7\u00e3o<\/li>\n<li>Tier B: Viola\u00e7\u00e3o de causa razo\u00e1vel mas n\u00e3o por negligencia<\/li>\n<li>Tier C: Viola\u00e7\u00e3o por negligencia, mas a pessoa ou entidade pode amenizar a situa\u00e7\u00e3o.<\/li>\n<li>Tier D: Tier C onde a situa\u00e7\u00e3o n\u00e3o foi amenizada ap\u00f3s 30 dias.<\/li>\n<\/ul>\n<p>A HHS OCR publica as viola\u00e7\u00f5es no \u201cmural da vergonha\u201d no seu site. Outros sites publicam multas e links aos assentamentos. Exemplos recentes incluem:<\/p>\n<ul>\n<li>Em setembro de 2020, a Premera Blue Cross foi multada em US$6.850.000 para resolver uma brecha de dados afetando mais de 6 milh\u00f5es de indiv\u00edduos.<\/li>\n<li>Em julho de 2020, a Lifespan Health System foi multando em mais de US$1 milh\u00e3o por um laptop roubado que n\u00e3o estava criptografado.<\/li>\n<li>Em Outubro de 2019, a Elite Dental Associates foi multada em US$10.000 por divulga\u00e7\u00e3o de informa\u00e7\u00e3o de paciente nas redes sociais.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/falhas_seguranca_anomalias_ameacas_netwrixauditor\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1673 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/02\/Netwirx-Compliance.png\" alt=\"hipaa ompliance\" width=\"800\" height=\"300\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/02\/Netwirx-Compliance.png 800w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/02\/Netwirx-Compliance-300x113.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/02\/Netwirx-Compliance-768x288.png 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>A lei de portabilidade e responsabilidade de conv\u00eanio m\u00e9dico (HIPAA, na sigla em ingl\u00eas) \u00e9 uma lei desenhada para proteger a privacidade individual estabelecendo padr\u00f5es na ind\u00fastria americana para manter a informa\u00e7\u00e3o de sa\u00fade do paciente e registros m\u00e9dicos. As diretivas da HIPAA compliance podem ser utilizadas como boas pr\u00e1ticas para ambientes de sa\u00fade com [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1671,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[96],"tags":[24,137,164],"class_list":["post-1670","post","type-post","status-publish","format-standard","has-post-thumbnail","category-seguranca-de-dados","tag-dados","tag-hipaa","tag-saude","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2021\/02\/Hipaa-compliance.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1670"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1670\/revisions"}],"predecessor-version":[{"id":1675,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1670\/revisions\/1675"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/1671"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}