0
0
A Lei de Portabilidade e Responsabilização de Seguros de Saúde de 1996 (HIPAA) é uma lei federal que foi criada para transformar o cenário de segurança do setor de saúde. As empresas consideradas culpadas de violação ou violação das regras da HIPAA terão que enfrentar repercussões. Parte da lei hipaa inclui a Regra de Notificação de Violação hipaa, que determina que as organizações reportem uma violação de segurança dentro de 60 dias após descobrir um incidente às autoridades, aos indivíduos afetados e, em alguns casos, à mídia. Por isso, é essencial que todos aqueles que lidam com informações de saúde protegidas (PHI) direta ou indiretamente saibam quais são as penalidades para tais violações.
No artigo de hoje, discutimos as regras de notificação de violação hipaa e hipaa para uma melhor compreensão da Lei HIPAA.
O que é considerado uma violação do HIPAA?
De acordo com o Departamento de Saúde e Serviços Humanos dos EUA (HHS), a violação do HIPAA pode ser definida como uso, acesso ou divulgação não autorizado do PHI sob a Regra de Privacidade que compromete a segurança e a privacidade de informações de saúde protegidas. O acesso ou uso não autorizado de informações de saúde protegidas é considerado uma violação, a menos que a entidade coberta ou associado de negócios demonstre que há uma baixa probabilidade de que o PHI esteja comprometido. Assim, em caso de violação, a organização tem que realizar uma Avaliação de Risco de Violação hipaa para avaliar o nível ou extensão da violação. Além disso, deve haver uma Avaliação de Risco de Violação hipaa realizada de acordo com o HHS com base nos seguintes fatores:
- A natureza e extensão da Violação do PHI envolvida
- A pessoa não autorizada que acessou o PHI
- Se o PHI foi adquirido ou visto
- Até que ponto o risco para o PHI tem ou pode ser mitigado
No entanto, é importante notar que a Avaliação de Risco não é um requisito obrigatório. Assim, normalmente, quando ocorre uma violação, as Entidades Cobertas e os Associados de Negócios podem fazer um dos seguintes:
- Realize uma avaliação de risco e, em seguida, decida notificar sobre a violação
- Decida diretamente notificar sem realizar uma avaliação de risco de violação do HIPAA
Quais são as exceções a uma brecha?
HIPAA também define algumas exceções a uma violação. Então aqui está uma lista de alguns incidentes de segurança que são categorizados como uma exceção e não qualificados como uma violação sob HIPAA:
- Acesso ou uso não intencional do PHI por um funcionário, feito de boa fé e no âmbito de sua autoridade.
- Divulgação acidental do PHI por uma pessoa autorizada, para outra pessoa que esteja autorizada a acessar o PHI da mesma organização ou outra organização.
- A organização está confiante e acredita que a pessoa que obteve ou acessou o PHI não reterá ou comprometerá os dados.
Qual é a Regra de Notificação de Violação do HIPAA?
A Regra de Notificação de Violação hipaa exige que uma organização que lida com informações de saúde divulgue violações de segurança cibernética. A Regra de Notificação se aplica tanto às Entidades Cobertas, incluindo organizações de saúde, médicos, seguradoras e Associados empresariais, todas organizações ou indivíduos que prestam serviços ao setor de saúde e que têm acesso indireto ao PHI. HIPAA é uma lei obrigatória para organizações que operam nos Estados Unidos que armazenam, transmitem ou usam dados PHI. A não conformidade com a HIPAA pode resultar em multas pesadas que variam de us$ 100 a US$ 50.000 por violação ou por registro de PHI afetado, com uma pena máxima de até US$ 1,5 milhão por ano.
O que inclui a Notificação HIPAA?
O Requisito de Notificação de Violação do HIPAA solicita que uma carta de notificação seja enviada. Inclui as seguintes informações:
- Descrição da violação
- Uma descrição detalhada do tipo de informação que foi violada
- Medidas cautelares que as vítimas da violação devem tomar depois disso
- Uma descrição detalhada das medidas corretivas e ações investigativas tomadas por conta de uma violação
- Informações de contato para a entidade coberta
No entanto, caso você tenha detalhes de contato incompletos de 10 ou mais vítimas, você é obrigado a postar a notificação em seu site por 90 dias e configurar um número gratuito para que as vítimas entrem em contato com você para obter mais informações. Novamente, se a violação afeta mais de 500 vítimas, você deve notificar a mídia no estado em que as vítimas residem. Por fim, você também deve notificar o OCR com base no número de vítimas identificadas.
- Se houver menos de 500 vítimas identificadas, o OCR deve ser notificado anualmente.
- Se houver mais de 500 vítimas, o OCR deve ser notificado dentro de 60 dias após a descoberta.
O que deve ser feito em caso de violação?
Em caso de violação, a Regra de Notificação de Violação do HIPAA exige que a organização notifique as vítimas ou indivíduos afetados, o HHS/OCR e a mídia, se necessário.
- Notifique os indivíduos afetados sobre seus dados phi estarem comprometidos.
- A notificação deve ser enviada por e-mail se o indivíduo concordou com a comunicação eletrônica no prazo de 60 dias após a descoberta da violação.
- Se você não tem detalhes de contato com menos de 10 indivíduos afetados, então você deve tentar um método de comunicação alternativo, como telefone ou aviso por escrito.
- Se você não tiver detalhes de contato com mais de 10 pessoas, você deve postar um aviso no site da sua empresa ou postar na mídia impressa ou mídia de transmissão no local de residência dos indivíduos.
Notifique o HHS/OCR
Você deve notificar o HHS/OCR da violação. Assim, se a violação afetou menos de 500 indivíduos, você deve manter um registro de violação anual e enviar o mesmo dentro de 60 dias do final do ano. Por outro lado, se os indivíduos afetados somam mais de 500, você deve notificar o HHS/OCR ao mesmo tempo que quando notificar os indivíduos afetados.
Notifique a mídia
Você só precisa notificar a mídia se a violação envolver mais de 500 indivíduos no mesmo estado ou jurisdição. Caso você precise notificar a mídia, você precisa fazê-lo enviando um comunicado de imprensa com as mesmas informações que enviou aos indivíduos afetados na mesma área. A mídia deve ser notificada dentro de 60 dias após a descoberta da violação.
Pensamento Final sobre conformidade e violação do HIPAA
Uma violação da HIPAA pode levar a uma enorme quantidade de penalidades, danificar a confiança e manchar a reputação de uma organização. Por isso, sugerimos que as organizações tomem todas as medidas de precaução descritas nas diretrizes da HIPAA para proteger os dados do PHI e prevenir incidentes de violação de dados. Certifique-se de que seus funcionários e fornecedores ajam de acordo com as Regras da HIPAA e faça esforços para manter-se em conformidade.
FONTE: THE STATE OF SECURITY