Quem deve seguir as Regras de Privacidade e Segurança da HIPAA?

As regras vinculam as entidades cobertas (a maioria dos prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde) e seus associados de negócios que criam, recebem, mantêm ou transmitem informações de saúde protegidas em seu nome. Elas não cobrem diretamente todas as organizações que lidam com dados relacionados à saúde.

O que é o padrão do mínimo necessário?

É o princípio da Regra de Privacidade de que, para a maioria dos usos e divulgações, as entidades cobertas devem fazer esforços razoáveis para limitar as informações de saúde protegidas ao mínimo necessário para cumprir o propósito pretendido, em vez de compartilhar registros inteiros por padrão.

Regras de Privacidade e Segurança da HIPAA

As Regras de Privacidade e Segurança da HIPAA são os principais padrões federais dos Estados Unidos que regem o uso, a divulgação e a proteção de informações de saúde identificáveis. Emitida sob a Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996, a Regra de Privacidade estabelece padrões nacionais para como as informações de saúde protegidas podem ser usadas e divulgadas e concede aos indivíduos direitos sobre suas informações, enquanto a Regra de Segurança estabelece padrões para salvaguardar essas informações quando são mantidas ou transmitidas eletronicamente.

Encontrar tema com PaperMindEm breveFind papers & topics

Tools & resources

Baixar slides

Learn & explore

VídeoEm breve

Definition

A Regra de Privacidade da HIPAA estabelece padrões nacionais para a proteção de informações de saúde individualmente identificáveis mantidas ou transmitidas por entidades cobertas e seus associados de negócios, definindo usos e divulgações permitidos e direitos individuais; a Regra de Segurança da HIPAA estabelece padrões para as salvaguardas administrativas, físicas e técnicas que protegem as informações de saúde protegidas eletronicamente.

Scope

Esta entrada explica a estrutura e os conceitos centrais das duas regras: a definição de informações de saúde protegidas, as categorias de entidades cobertas e associados de negócios que elas vinculam, os usos e divulgações permitidos e o princípio do mínimo necessário, os direitos individuais de acesso e alteração, e as salvaguardas administrativas, físicas e técnicas exigidas para informações eletrônicas. Ela trata as regras como uma estrutura regulatória para referência e educação e não fornece determinações de conformidade para qualquer organização ou situação específica.

Core questions

A quais organizações e informações as regras se aplicam?
Quais usos e divulgações de informações de saúde protegidas são permitidos sem autorização individual?
Quais direitos os indivíduos têm sobre suas próprias informações de saúde?
Quais salvaguardas devem proteger as informações de saúde protegidas eletronicamente?
Como as obrigações de fiscalização e relacionadas a violações reforçam as regras?

Key concepts

Informações de saúde protegidas (PHI)
Entidades cobertas e associados de negócios
Usos e divulgações permitidos
Padrão do mínimo necessário
Direitos individuais de acesso e alteração
Salvaguardas administrativas, físicas e técnicas
Especificações da Regra de Segurança obrigatórias versus endereçáveis
Aviso de práticas de privacidade

Mechanisms

A Regra de Privacidade funciona definindo informações de saúde protegidas e, em seguida, especificando quando elas podem ser usadas ou divulgadas: alguns usos (como para tratamento, pagamento e operações de saúde) são permitidos sem autorização, enquanto muitos outros exigem a autorização escrita do indivíduo, e as divulgações são restringidas pelo princípio do mínimo necessário. Ela também confere direitos individuais, incluindo acesso aos próprios registros e a capacidade de solicitar alterações. A Regra de Segurança complementa isso exigindo que entidades cobertas e associados de negócios que lidam com informações de saúde protegidas eletronicamente conduzam análises de risco e implementem salvaguardas em três domínios: administrativo (políticas, treinamento da força de trabalho, gerenciamento de acesso), físico (controles de instalações e dispositivos) e técnico (controle de acesso, controles de auditoria, integridade e segurança de transmissão). Algumas especificações de implementação são obrigatórias e outras são endereçáveis, permitindo flexibilidade dimensionada ao tamanho e risco de uma organização. O Office for Civil Rights (Escritório de Direitos Civis) fiscaliza ambas as regras (HHS OCR, 2013; Nass et al., 2009).

Clinical relevance

As regras moldam o manuseio diário de informações em ambientes de cuidado: como os registros são compartilhados para tratamento, o que os pacientes podem acessar e sob quais treinamentos e controles a equipe clínica opera. Comentaristas argumentaram que a Regra de Privacidade apoia, em vez de obstruir, a troca apropriada de informações de saúde quando aplicada corretamente (McDonald, 2009). Esta entrada é uma descrição de referência da estrutura regulatória e não é um aconselhamento jurídico ou uma determinação de conformidade para qualquer entidade específica.

Evidence & guidelines

A fonte autoritária é o próprio texto regulatório (45 CFR Partes 160 e 164) e a orientação do Office for Civil Rights que o interpreta (HHS OCR, 2013). O Institute of Medicine examinou como a Regra de Privacidade afeta a pesquisa em saúde e recomendou reformas para equilibrar melhor a privacidade com a utilidade da pesquisa (Nass et al., 2009). Como as regras e suas orientações são periodicamente alteradas, as fontes oficiais atuais do HHS devem ser consultadas para requisitos específicos.

History

A HIPAA foi promulgada em 1996 principalmente para abordar a portabilidade do seguro e a simplificação administrativa; suas disposições de privacidade e segurança foram emitidas como regras no início dos anos 2000, com a Regra de Privacidade e a Regra de Segurança entrando em vigor em 2003 e 2005, respectivamente. A Lei HITECH de 2009 estendeu as obrigações diretamente aos associados de negócios, fortaleceu a fiscalização e adicionou requisitos de notificação de violação, e a Regra Omnibus de 2013 consolidou essas mudanças. A estrutura permanece a base pela qual grande parte da prática de informações de saúde dos EUA é medida (Nass et al., 2009).

Debates

A Regra de Privacidade equilibra adequadamente a proteção e o uso de dados de saúde?: Alguns argumentam que a regra impede desnecessariamente a coordenação de cuidados e a pesquisa, enquanto outros a defendem como compatível com a troca apropriada de informações de saúde; o Institute of Medicine recomendou reformas direcionadas especificamente para o contexto da pesquisa.

Seminal works

nass-2009
mcdonald-2009

Frequently asked questions

Quem deve seguir as Regras de Privacidade e Segurança da HIPAA?: As regras vinculam as entidades cobertas (a maioria dos prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde) e seus associados de negócios que criam, recebem, mantêm ou transmitem informações de saúde protegidas em seu nome. Elas não cobrem diretamente todas as organizações que lidam com dados relacionados à saúde.
O que é o padrão do mínimo necessário?: É o princípio da Regra de Privacidade de que, para a maioria dos usos e divulgações, as entidades cobertas devem fazer esforços razoáveis para limitar as informações de saúde protegidas ao mínimo necessário para cumprir o propósito pretendido, em vez de compartilhar registros inteiros por padrão.