Índice
Uma das perguntas mais frequentes que ouvimos é “O que é conformidade HIPAA?”
HIPAA é definido como a Lei de Responsabilidade e Portabilidade de Seguro Saúde de 1996, que é uma lista de padrões regulatórios que descrevem o uso legal e divulgação informações de saúde protegidasção (PHI). A conformidade com a HIPAA é regida pelo Departamento de Saúde e Serviços Humanos (HHS), é aplicada pela Escritório para os Direitos Civis (OCR). A função do OCR em manter a conformidade médica com a HIPAA aparece na forma de supervisão de rotina e orientação sobre novas questões relativas aos cuidados de saúde e na investigação de violações e infrações comuns da HIPAA.
ProteínaInformações de saúde autorizadas (PHI)
Qualquer informação demográfica que pode ser utilizada para reconhecer um paciente ou cliente de uma entidade vinculada ao HIPAA é conhecida como Informação de Saúde Protegida (PHI). A HIPAA torna obrigatório que as PHI na área de saúde sejam seguras e protegidas. Assim, as organizações de saúde devem estar cientes do que é considerado PHI.
Regras HIPAA
O regulamento da HIPAA é composto por várias regras distintas da HIPAA. As regras da HIPAA foram todas aprovadas durante os mais de 20 anos que se passaram desde que a HIPAA foi estabelecida pela primeira vez em 1996.
As regras da HIPAA que você deve conhecer incluem:
a) Regra de privacidade da HIPAA: Esta regra de privacidade da HIPAA estabelece padrões nacionais para os direitos dos pacientes às PHI. A regra de privacidade da HIPAA simplesmente se aplica a entidades cobertas, não a parceiros comerciais. Esses padrões regulatórios precisam ser documentados nas políticas e procedimentos da HIPAA da organização. Todos os funcionários precisam ser treinados nesses procedimentos e políticas anualmente, junto com o atestado documentado.
b) Regra de segurança HIPAA: Esta regra de segurança da HIPAA apresenta padrões e medidas nacionais para a manutenção, transmissão e manuseio seguros e protegidos de ePHI. Estas regras de segurança da HIPAA se aplicam a parceiros de negócios e entidades cobertas devido ao possível compartilhamento de ePHI.
c) Regra de aplicação da HIPAA: A regra de execução HIPAA simplifica as disposições de investigação e penalidades financeiras em condições de violação de dados. No entanto, o custo da penalidade difere com o número de registros médicos exibidos e a frequência de violações de dados em uma organização.
d) Regra de notificação de violação da HIPAA: A regra de notificação de violação da HIPAA é um grupo de leis que os associados comerciais e entidades cobertas devem seguir em caso de violação de dados contendo ePHI ou PHI. Esta regra distingue entre dois tipos de violações, dependendo do tamanho e escopo, denominadas violações significativas e violações menores.
e) Regra geral da HIPAA: A regra geral da HIPAA é um complemento ao regulamento da HIPAA que foi estabelecido para implementar a HIPAA para associados de negócios, em extensão às entidades cobertas. Esta regra geral da HIPAA torna obrigatório que os associados de negócios precisam estar em conformidade com a HIPAA e, adicionalmente, esboça as regras em torno dos contratos de associado comercial (BAAs). Acordos de parceiro comercial são contratos que devem ser executados entre um parceiro comercial e a entidade coberta - ou entre dois parceiros comerciais - antes que QUALQUER ePHI ou PHI possa ser compartilhado ou transferido.
Leia também: Aplicativos híbridos versus aplicativos nativos - a lista de verificação para descobrir o que é certo para você
O que HIPAA CompliaMédia para desenvolvedores de aplicativos?
Para verificar se seu aplicativo móvel precisa ser compatível com HIPAA, analise três coisas:
a) Quem é o usuário do aplicativo (entidade)?
b) Que tipo de informação estará lá no aplicativo
c) Qual é o tipo de software (criptografia)
Se a entidade for de uma das Entidades Cobertas e também as informações aparecerem em PHI, a HIPAA se aplica. Para desenvolver aplicativos compatíveis com HIPAA, você precisa ter em mente os seguintes requisitos:
d) Desenvolvimento de aplicativos para dispositivos móveis de acordo com as diretrizes de conformidade da HIPAA é um processo complexo. Antes de iniciar tal projeto, os desenvolvedores precisam ter certeza sobre o processo completo. Isso envolve a definição do escopo do uso do aplicativo.
Isso implica que os desenvolvedores precisam entender como desenvolver um aplicativo para saúde e quais dados e informações estão sob a alçada da PHI. Isso torna o produto compatível com HIPAA. Algumas das informações incluem nomes, IDs de e-mail e números de telefone.
Além disso, SSN, registros médicos também vêm sob PHI. O Departamento de Saúde e Serviços Humanos dos Estados Unidos descreveu 18 tipos de informações no PHI.
Portanto, se o aplicativo funcionar com essas informações, siga os processos de desenvolvimento de aplicativos compatíveis com HIPAA.
a) Configure proteções físicas adequadas. Para este fim, verifique os sistemas de suporte de backend e as redes de transferência de dados. Além disso, analise as integrações dos dispositivos neste processo, pois esses aplicativos possuem transmissão de dados. Um aplicativo deve ter todas as salvaguardas para proteção de dados. É um ponto importante a se considerar antes de desenvolver um aplicativo.
Compatível com HIPAA desenvolvimento de aplicativos para dispositivos móveis requer olhar para as salvaguardas administrativas. Essas salvaguardas são essencialmente focadas na proteção de ePHI. Compartilhe apenas o PHI necessário em diferentes plataformas. Além disso, preste atenção ao Gerenciamento de Acesso à Informação.
Em relação ao acesso à informação, apenas o interessado deve ter acesso a ela. Anote os níveis de liberação antes de começar a criar uma plataforma. Escolha medidas como autenticação por impressão digital. No entanto, é muito importante preservar a facilidade de uso do aplicativo compatível com HIPAA.
b) A criptografia de dados envolve a configuração de uma identificação de usuário única. Além disso, observe os procedimentos de acesso de emergência ao aplicativo e as sequências de logout. Além disso, certifique-se de que não haja notificações de dados PHI em dispositivos móveis.
c) Limite o acúmulo de dados pelo menos. Não deixe que os usuários armazenem ou recebam mais dados do que o necessário. Isso também é necessário para a segurança dos dados.
De acordo com a orientação do Departamento de Saúde e Serviços Humanos (HHS) Office for Civil Rights (OCR). Abaixo, está uma lista de 18 tipos de informações que se qualificam como identificadores de informações de saúde protegidas pela HIPAA (PHI). Exemplos de PHI envolvem:
- Nome
- Endereço (incluindo subdivisões menores que estados, como endereço, cidade, condado ou CEP)
- Quaisquer datas (excluindo anos) que estão diretamente relacionadas a um indivíduo, incluindo aniversário, data de admissão ou alta, data de morte ou a idade exata de indivíduos com mais de 89
- Número de fax
- Número de telefone
- Número do registro médico
- Número da Segurança Social
- Número do beneficiário do plano de saúde
- Número da conta
- Número do certificado / licença
- Identificadores de veículos, números de série ou números de placas de veículos
- Identificadores de dispositivo ou números de série
- URLs da web
- Endereço IP
- Identificadores biométricos, como impressões digitais ou de voz
- Fotos de rosto inteiro
- Quaisquer outros números de identificação exclusivos, características ou códigos
Estudo de caso para verificar se seu aplicativo precisa ser compatível com HIPAA ou não
Quando você precisa criar um aplicativo compatível com HIPAA
Suponha que um provedor de saúde tenha entrado em contato com você para o desenvolvimento de um aplicativo móvel. Com isso, pretendem manter um registro dos pacientes. Este aplicativo permite que o provedor de saúde salve informações pessoais sobre o paciente. Deve ser compatível com HIPAA?
Além disso, também ajuda a monitorar a dieta e os hábitos de exercícios dos pacientes. O paciente e a organização dos pais podem trocar informações entre si. Isso pode ser por meio de mensagens ou notificações geradas automaticamente.
Quando você não precisa criar um aplicativo compatível com HIPAA
Suponha outro caso. Suponha que uma organização se aproxime de você para criar um aplicativo de condicionamento físico baseado na saúde.
Este aplicativo serviria ao usuário inserir dados como nome, peso, altura e idade, e assim por diante. Além disso, essas leituras são de um dispositivo médico doméstico.
Se você deseja desenvolver um aplicativo com esse conjunto de dados, não precisa permanecer em conformidade com a HIPAA. Isso ocorre porque nenhuma entidade coberta está obtendo acesso a essas informações. Essas leituras são simplesmente para referência do usuário.
Leia também: Como expandir seus negócios com aplicativos para celular
Conclusão
As penalidades e punições por contornar as leis de conformidade da HIPAA são enormes. Pode chegar a US $ 1000 a US $ 1.5 milhão por ano, dependendo do tamanho da violação.
Desde a execução de BAAs precisos até a condução de desenvolvimento proativo de aplicativos e auditorias de terceiros. O desenvolvimento de aplicativos em conformidade com HIPAA é mais fácil declarar do que fazer.
Vários fatores estão em jogo neste processo. Como desenvolvedor ou mesmo fornecedor, você precisa seguir todos esses processos e procedimentos para o desenvolvimento de aplicativos móveis. Com a conformidade HIPAA, obter e salvar informações é um aspecto crucial.
É por isso que você deve recuperar apenas os conjuntos de informações e dados necessários e que podem ser protegidos. Você pode desenvolver aplicativos compatíveis com HIPAA, somente depois de obter as informações completas.
Serviços de desenvolvimento de aplicativos móveis
Você quer alavancar a tecnologia móvel para sua empresa? A Cynoteck é um provedor completo de Serviços de Desenvolvimento de Aplicativos Móveis. Oferecemos serviços de desenvolvimento de aplicativos iOS e Android para que você alcance seu público-alvo em qualquer dispositivo.
Hospitais, seguradoras e prestadores de serviços de saúde precisam seguir uma lista de verificação de conformidade com a HIPAA para proteger os dados privados e confidenciais dos pacientes.