Já discutimos anteriormente neste blog sobre a importância para as empresas de se obter certificações específicas de seu setor de atuação — mesmo que elas não sejam exigidas por lei. No segmento automotivo, por exemplo, temos a IATF 16949. Já na área da medicina (que engloba hospitais, provedoras de seguro, clínicas, laboratórios etc.), o framework de referência global é a Health Insurance Portability and Accountability Act (HIPAA).
De origem estadunidense e assinada em 1996 pelo então presidente Bill Clinton, a lei federal — cujo nome pode ser traduzido como “Lei de Portabilidade e Responsabilidade de Seguro Saúde” — foi criada justamente para garantir que o setor se atentasse mais à privacidade dos cidadãos e adotasse cuidados padronizados em relação às informações médicas protegidas (Protected Health Information ou PHI).
Embora não seja obrigatório seguir o modelo HIPAA e tampouco obter o selo de certificação aqui no Brasil, assim como outros frameworks de segurança, seu compliance é de suma importância para as empresas que desejam se destacar no mercado cada vez mais competitivo. Além disso, com os crescentes desafios de segurança cibernética no setor, a HIPAA se mostra um excelente guia de boas práticas a ser seguido de forma universal.
Uma norma extensa e em crescimento
Não se engane — embora a HIPAA tenha entrado em vigor nos EUA em 1996, ela vem sendo constantemente atualizada e posicionada sob os holofotes perante o crescimento exponencial no número de ciberataques e vazamentos de dados de empresas de saúde do país. Recentemente, foram criadas novas regras que punem infrações à lei com medidas que vão desde simples multas até dez anos de reclusão.
O texto atualmente em uso é divido em cinco Títulos:
- Título I: Reforma do Seguro de Saúde
- Título II: Simplificação Administrativa
- Título III: Disposições sobre Impostos
- Título IV: Disposições sobre Planos de Saúde em Grupo
- Título V: Compensações de Receita
As regras sobre privacidade e segurança
Neste caso, o que nos interessa mesmo está no Título II, onde encontramos instruções a respeito da Privacy Rule e da Security Rule (Regra de Privacidade e Regra de Segurança, respectivamente). A primeira visa estabelecer padrões para o uso e divulgação de PHI nas operações das entidades médicas.
Com exceção de requisitos formais por entidades da lei, todas as entidades devem manter dados médicos em sigilo absoluto, compartilhando-as somente com a autorização escrita do paciente. Além disso, assim como na Lei Geral de Proteção de Dados (LGPD), a HIPAA dá aos indivíduos o direito de requisitar a correção de PHIs incorretas, tal como saber como suas informações são utilizadas.
Já a Security Rule foi adicionada posteriormente ao texto original e diz respeito especificamente às informações médicas eletrônicas protegidas (Electronic Protected Health Information ou EPHI). Com o aumento no uso da tecnologia da informação no setor médico, tal regra foi criada para estabelecer controles administrativos, físicos e técnicos que resguardem as informações sigilosas dos pacientes em sistemas informatizados da informação.
O fator humano: sempre em destaque
A despeito das características de cada uma das regras, é interessante ressaltar que ambas citam, como exigência para a certificação auditada, a educação dos colaboradores, independentemente de seu nível hierárquico. A Security Rule é bastante incisiva, afirmando ser necessário “implementar um programa de treinamento e conscientização de segurança para todos os membros da força de trabalho (incluindo a administração)”.
Parafraseando a HIPAA, no que diz respeito à privacidade, é necessário treinar toda a equipe sobre definições, políticas e procedimentos, incluindo o que é PHI, divulgações permitidas pela lei, entidades cobertas pela lei (especialmente para quem lida com relacionamento com terceiros) e incidentes de segurança como vazamentos de dados.
Já no campo da segurança, a legislação requisita que todos os colaboradores recebam treinamentos "periódicos" (periodicidade não definida), porém contínuos, a respeito de boas práticas no uso de sistemas de tecnologia da informação. Não há regras ou diretrizes específicas sobre o conteúdo destes treinamentos, mas podemos concluir, por natureza, que ele deve incluir todo o arsenal que já conhecemos sobre ameaças cibernéticas e proteção pessoal contra o crime cibernético.
O parceiro certo para a conscientização
O setor de saúde é um dos alvos prediletos do cibercrime, inclusive no Brasil. Seja para se destacar no mercado com o selo de certificação oficial ou simplesmente para adotar as melhores práticas globais sobre proteção de dados médicos, garantir a conformidade com a HIPAA é um “must-have” para toda empresa do segmento preocupada com privacidade e segurança da informação — seja um hospital de grande porte, uma clínica familiar, uma corretora de seguros, um laboratório de exames ou uma indústria farmacêutica.
Se você procura por uma parceria para reduzir o risco humano e oferecer jornadas educacionais específicas para suas necessidades setoriais, conte com a Eskive e nossa metodologia proprietária de human risk reduction. Temos 14 anos de experiência ajudando empresas a garantir compliance regulatório e receber todos os “checkboxes” de auditorias para legislações, padrões e frameworks.
Converse conosco e saiba mais!
