A Health Insurance Portability and Accountability Act of 1996 (HIPAA) é uma lei federal que exigiu a criação de normas nacionais para proteger a informação sensível sobre saúde do paciente de ser revelada sem o consentimento ou conhecimento do paciente. O Departamento de Saúde e Serviços Humanos (HHS) dos EUA emitiu a Norma de Privacidade HIPAA para implementar os requisitos da HIPAA. A Regra de Segurança HIPAA protege um subconjunto de informações abrangidas pela Regra de Privacidade.
Regra de Privacidade HIPAA
As normas da Regra de Privacidade tratam da utilização e divulgação de informações de saúde individuais (conhecidas como “informações de saúde protegidas”) por entidades sujeitas à Regra de Privacidade. Estes indivíduos e organizações são denominados “entidades abrangidas”. A Regra de Privacidade também contém normas para os direitos dos indivíduos a compreender e controlar a forma como a sua informação de saúde é utilizada. Um dos principais objectivos da Regra de Privacidade é assegurar que a informação de saúde dos indivíduos seja devidamente protegida, permitindo ao mesmo tempo o fluxo de informação de saúde necessária para fornecer e promover cuidados de saúde de alta qualidade e para proteger a saúde e o bem-estar do público. A Regra de Privacidade estabelece um equilíbrio que permite utilizações importantes da informação enquanto protege a privacidade das pessoas que procuram cuidados e cura.
Entidades abrangidas
Os seguintes tipos de indivíduos e organizações estão sujeitos à Regra de Privacidade e são considerados entidades abrangidas:
- Prestadores de cuidados de saúde: Todos os prestadores de cuidados de saúde, independentemente da dimensão da prática, que transmitam electronicamente informações de saúde em relação a determinadas transacções. Estas transacções incluem reclamações, inquéritos de elegibilidade de benefícios, pedidos de autorização de encaminhamento, e outras transacções para as quais o HHS estabeleceu normas ao abrigo da Regra de Transacções HIPAA.
- Planos de saúde: Entidades que fornecem ou pagam o custo de cuidados médicos. Os planos de saúde incluem seguradoras de saúde, dentária, visão, e prescrição de medicamentos; organizações de manutenção de saúde (HMOs); Medicare, Medicaid, Medicare+Choice, e seguradoras de suplementos Medicare; e seguradoras de cuidados de saúde a longo prazo (excluindo apólices de indemnização fixa de lares de idosos). Os planos de saúde também incluem planos de saúde de grupo patrocinados pelo empregador, planos de saúde patrocinados pelo governo e pela igreja, e planos de saúde multi-empregadores.
- li>Excepção: Um plano de saúde de grupo com menos de 50 participantes que é administrado unicamente pela entidade patronal que estabeleceu e mantém o plano não é uma entidade coberta.
Usos Permitidos e Divulgações
Uma entidade coberta é permitida, mas não exigida, a utilizar e divulgar informações de saúde protegidas, sem autorização de um indivíduo, para os seguintes fins ou situações:
- Divulgação ao indivíduo (se a informação for necessária para acesso ou contabilização das divulgações, a entidade DEVE divulgar ao indivíduo)
- Transferência, pagamento, e operações de saúde
- Oportunidade de concordar ou opor-se à divulgação de DCC (A autorização informal pode ser obtida pedindo ao indivíduo a autorização expressa, ou por circunstâncias que claramente dão ao indivíduo a oportunidade de concordar, consentir, ou opor-se)
li>Incidente a uma utilização e divulgação de outra forma permitidali>Interesse público e actividades de benefício – A Regra de Privacidade permite a utilização e divulgação de informações de saúde protegidas, sem autorização ou permissão do indivíduo, para 12 ícones externos com fins de prioridade nacional:
- Quando exigido por lei
- Atividades de saúde pública
- Vítimas de abuso ou negligência ou violência doméstica
- Atividades de supervisão sanitária
- Processos judiciais e administrativos
- Aplicação da lei
- Funções (tais como identificação) relativas a pessoas falecidas
- Órgão cadavérico, olho, ou doação de tecido
- Pesquisa, sob certas condições
- Para prevenir ou atenuar uma ameaça grave à saúde ou segurança
- Funções essenciais do governo
- Compensação dos trabalhadores
- li>Limitado conjunto de dados para a investigação, saúde pública, ou operações de cuidados de saúde/ul>
- Segurar a confidencialidade, integridade, e disponibilidade de toda a informação electrónica protegida de saúde
- Detectar e salvaguardar contra ameaças antecipadas à segurança da informação
- Proteger contra utilizações ou divulgações antecipadas inadmissíveis
- Certificar o cumprimento pelos seus funcionários
Regra de Segurança HIPAA
Enquanto a Regra de Privacidade HIPAA protege a informação de saúde protegida (PHI), a Regra de Segurança protege um subconjunto de informação coberto pela Regra de Privacidade. Este subconjunto é toda a informação de saúde individualmente identificável que uma entidade coberta cria, recebe, mantém, ou transmite em formato electrónico. Esta informação é denominada “informação de saúde protegida electronicamente” (e-PHI). A Regra de Segurança não se aplica às PHI transmitidas oralmente ou por escrito.
Para cumprir a Regra de Segurança HIPAA, todas as entidades abrangidas devem fazer o seguinte:
As entidades abrangidas devem confiar na ética profissional e no melhor julgamento ao considerar pedidos para estas utilizações e divulgações permissivas. O HHS Office for Civil Rights aplica as regras do HIPAA, e todas as queixas devem ser comunicadas a esse gabinete. As violações da HIPAA podem resultar em sanções civis monetárias ou penais.
Para mais informações, visite o website do Departamento de Saúde e Serviços Humanos HIPAA ícone externo.
HIPAA ícone externo. US Department of Health and Human Services.