Skip to content
Human Risk

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

Considerada a maior regulamentação do mundo sobre informações de saúde, ela requer treinamentos específicos a respeito do setor para toda a equipe de colaboradores — incluindo a administração.

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?
Ramon de Souza

Ramon de Souza

(ISC)² Certified in Cybersecurity | Journalist | Author | Speaker

4 min de leitura 

Já discutimos anteriormente neste blog sobre a importância para as empresas de se obter certificações específicas de seu setor de atuação — mesmo que elas não sejam exigidas por lei. No segmento automotivo, por exemplo, temos a IATF 16949. Já na área da medicina (que engloba hospitais, provedoras de seguro, clínicas, laboratórios etc.), o framework de referência global é a Health Insurance Portability and Accountability Act (HIPAA).

De origem estadunidense e assinada em 1996 pelo então presidente Bill Clinton, a lei federal — cujo nome pode ser traduzido como “Lei de Portabilidade e Responsabilidade de Seguro Saúde” — foi criada justamente para garantir que o setor se atentasse mais à privacidade dos cidadãos e adotasse cuidados padronizados em relação às informações médicas protegidas (Protected Health Information ou PHI).

Embora não seja obrigatório seguir o modelo HIPAA e tampouco obter o selo de certificação aqui no Brasil, assim como outros frameworks de segurança, seu compliance é de suma importância para as empresas que desejam se destacar no mercado cada vez mais competitivo. Além disso, com os crescentes desafios de segurança cibernética no setor, a HIPAA se mostra um excelente guia de boas práticas a ser seguido de forma universal.


Uma norma extensa e em crescimento

Não se engane — embora a HIPAA tenha entrado em vigor nos EUA em 1996, ela vem sendo constantemente atualizada e posicionada sob os holofotes perante o crescimento exponencial no número de ciberataques e vazamentos de dados de empresas de saúde do país. Recentemente, foram criadas novas regras que punem infrações à lei com medidas que vão desde simples multas até dez anos de reclusão.

O texto atualmente em uso é divido em cinco Títulos:

  • Título I: Reforma do Seguro de Saúde
  • Título II: Simplificação Administrativa
  • Título III: Disposições sobre Impostos
  • Título IV: Disposições sobre Planos de Saúde em Grupo
  • Título V: Compensações de Receita


As regras sobre privacidade e segurança

Neste caso, o que nos interessa mesmo está no Título II, onde encontramos instruções a respeito da Privacy Rule e da Security Rule (Regra de Privacidade e Regra de Segurança, respectivamente). A primeira visa estabelecer padrões para o uso e divulgação de PHI nas operações das entidades médicas.

Com exceção de requisitos formais por entidades da lei, todas as entidades devem manter dados médicos em sigilo absoluto, compartilhando-as somente com a autorização escrita do paciente. Além disso, assim como na Lei Geral de Proteção de Dados (LGPD), a HIPAA dá aos indivíduos o direito de requisitar a correção de PHIs incorretas, tal como saber como suas informações são utilizadas.

Já a Security Rule foi adicionada posteriormente ao texto original e diz respeito especificamente às informações médicas eletrônicas protegidas (Electronic Protected Health Information ou EPHI). Com o aumento no uso da tecnologia da informação no setor médico, tal regra foi criada para estabelecer controles administrativos, físicos e técnicos que resguardem as informações sigilosas dos pacientes em sistemas informatizados da informação.


O fator humano: sempre em destaque

A despeito das características de cada uma das regras, é interessante ressaltar que ambas citam, como exigência para a certificação auditada, a educação dos colaboradores, independentemente de seu nível hierárquico. A Security Rule é bastante incisiva, afirmando ser necessário “implementar um programa de treinamento e conscientização de segurança para todos os membros da força de trabalho (incluindo a administração)”.

Parafraseando a HIPAA, no que diz respeito à privacidade, é necessário treinar toda a equipe sobre definições, políticas e procedimentos, incluindo o que é PHI, divulgações permitidas pela lei, entidades cobertas pela lei (especialmente para quem lida com relacionamento com terceiros) e incidentes de segurança como vazamentos de dados.

Já no campo da segurança, a legislação requisita que todos os colaboradores recebam treinamentos "periódicos" (periodicidade não definida), porém contínuos, a respeito de boas práticas no uso de sistemas de tecnologia da informação. Não há regras ou diretrizes específicas sobre o conteúdo destes treinamentos, mas podemos concluir, por natureza, que ele deve incluir todo o arsenal que já conhecemos sobre ameaças cibernéticas e proteção pessoal contra o crime cibernético.

O parceiro certo para a conscientização

O setor de saúde é um dos alvos prediletos do cibercrime, inclusive no Brasil. Seja para se destacar no mercado com o selo de certificação oficial ou simplesmente para adotar as melhores práticas globais sobre proteção de dados médicos, garantir a conformidade com a HIPAA é um “must-have” para toda empresa do segmento preocupada com privacidade e segurança da informação — seja um hospital de grande porte, uma clínica familiar, uma corretora de seguros, um laboratório de exames ou uma indústria farmacêutica.

Se você procura por uma parceria para reduzir o risco humano e oferecer jornadas educacionais específicas para suas necessidades setoriais, conte com a Eskive e nossa metodologia proprietária de human risk reduction. Temos 14 anos de experiência ajudando empresas a garantir compliance regulatório e receber todos os “checkboxes” de auditorias para legislações, padrões e frameworks.

Converse conosco e saiba mais!

 


 

Últimos artigos

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Disrupções e prejuízos: os desafios cibernéticos das instalações industriais

Infraestruturas críticas, fábricas e especialmente linhas de montagem de grandes empresas do ramo automotivo estão se tornando alvos freque...

Dia dos Namorados: o amor está no ar e o cibercrime também!

Dia dos Namorados: o amor está no ar e o cibercrime também!

Assim como em outras datas comemorativas com alto apelo comercial, é preciso tomar cuidado com o aumento sazonal de crimes cibernéticos — e...

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

HIPAA e a proteção de dados médicos no Brasil: como ter a certificação?

Considerada a maior regulamentação do mundo sobre informações de saúde, ela requer treinamentos específicos a respeito do setor para toda a...