Por que a conformidade com a HIPAA é vital para o seu negócio

HIPAA é a Lei de portabilidade e responsabilidade de seguro de saúde. É a legislação que garante que suas informações de saúde protegidas (PHI) sejam mantidas em sigilo e seguras. Ela aborda como os provedores de assistência médica e empresas associadas devem lidar com os dados e proteger as informações de saúde, além de fornecer os padrões necessários para garantir que os dados PHI sejam armazenados, manipulados e acessados ​​corretamente em todos os momentos.

Ela também estabelece multas e penalidades significativas para indivíduos e organizações que lidam com dados confidenciais de PHI, mas não cumprem os padrões.

A PHI inclui:

• Todos os registros médicos, como resultados de exames de sangue ou ressonância magnética.
• Registros de cobrança no consultório médico.
• Conversas (e-mails, observações) sobre sua saúde entre você e seu médico, seu médico e outra equipe médica ou seu provedor de saúde e sua companhia de seguros.

Inicialmente, apenas médicos, hospitais e seguradoras precisavam cumprir as especificações da HIPAA, pois eram as únicas pessoas e organizações com acesso a PHI. Elas são conhecidas como Entidades cobertas e incluem qualquer organização que forneça “operações de tratamento, pagamento e assistência médica”.

As Entidades cobertas incluem:

• Médicos e consultórios
• Hospitais
• Farmácias
• Empresas de seguro
• HMO (Organizações de Manutenção de Saúde)

No entanto, uma atualização de 2013 aumentou o escopo da HIPAA para levar em consideração o aumento do uso de terceirização e provedores de nuvem na área da saúde. Qualquer serviço que transmita, armazene ou receba dados de PHI agora é classificado como um Parceiro de trabalho e deve estar em conformidade com a HIPAA.

Os Parceiros de trabalho incluem:

• Um serviço de transcrição médica que presta serviços a um médico.
• Uma empresa SaaS que fornece registros eletrônicos de saúde baseados em nuvem para médicos.
• Uma empresa de análise que processa dados médicos.

Para que uma entidade coberta ou um parceiro de negócios esteja em conformidade com a lei HIPAA, eles são obrigados a cumprir 4 requisitos:

1. Ter salvaguardas para que os dados PHI estejam sempre protegidos.
2. Restringir o acesso aos dados PHI apenas às pessoas necessárias para atingir o objetivo pretendido.
3. Ter Contratos de parceiro de trabalho (BAAs) em vigor com provedores de serviços para garantir a segurança dos dados de PHI.
4. Ter procedimentos e políticas para limitar o acesso a dados de PHI e treinamento para ensinar funcionários e usuários sobre segurança e privacidade de dados.

Das quatro regras da HIPAA (segurança, privacidade, aplicação e notificação de violação), é à regra de segurança da HIPAA que os desenvolvedores devem prestar muita atenção.

Para empresas SaaS que desejam trabalhar com provedores de assistência médica, organizações médicas ou parceiros de negócios que já trabalham no setor, a regra de segurança define como os dados PHI devem ser tratados pela aplicação ou serviço.

Esta regra estabelece as Salvaguardas técnicas que garantem que o acesso aos dados seja controlado, que os dados estejam seguros e que os indivíduos sejam devidamente autenticados.

• Controle de acesso. Deve haver políticas e procedimentos em vigor para garantir que apenas usuários autorizados tenham acesso aos dados PHI. Isso pode incluir identificadores exclusivos para cada usuário, procedimentos de acesso de emergência e procedimentos de criptografia.
• Controles de auditoria. Devem existir mecanismos para registrar a atividade no sistema e examinar o acesso de indivíduos.
• Controles de integridade. Quaisquer dados PHI não devem ser alterados ou destruídos indevidamente e devem ser implementados procedimentos para que os auditores possam confirmar se isso aconteceu.
• Segurança da transmissão. Medidas de segurança devem ser implementadas para garantir que nenhum acesso não autorizado aos dados de PHI aconteça enquanto eles são transferidos pela rede.

O uso dos padrões HIPAA permite que você tenha novos clientes em um mercado em crescimento. Atualmente, 67% das organizações de saúde estão usando um serviço SaaS em seu fluxo de trabalho, com 92% dos provedores de saúde dizendo que podem ver um uso futuro para SaaS em sua organização. Ao aplicar as normas da HIPAA, você pode explorar o setor de saúde de US$ 3 trilhões.

Ao trabalhar em conformidade com a HIPAA, você pode atingir 3 novas bases de clientes:

• Entidades cobertas
  • 80% dos médicos e 60% dos hospitais agora usam registros eletrônicos de saúde (EHR). Essas empresas exigem conformidade com a HIPAA para qualquer serviço de nuvem usado.
• Parceiros de trabalho
  • Além das entidades cobertas, outros parceiros de negócios que processam PHI podem ter certeza de que seu serviço também protegerá todos os dados. À medida que o mercado de nuvem para assistência médica cresce, soluções de terceiros para parceiros de negócios poderão ser lançadas para esse fim.
• Acessórios vestíveis e tecnologias de saúde
  • Embora hoje os acessórios vestíveis não precisem ser compatíveis com HIPAA, a tendência de compartilhar dados pessoais de saúde deles e de aplicações significa que essas empresas confundem as linhas entre o que precisa e o que não precisa ser compatível com a HIPAA.

Isso permite que as empresas configurem a Auth0 como um serviço de identidade e autenticação como um dos elementos para atender às necessidades de conformidade com HIPAA.