Enquanto a HIPAA recebe toda a atenção no No setor de saúde, é importante entender o que é especificamente exigido pela HITECH – especialmente considerando que a HITECH exige que você não apenas proteja as Informações de Saúde Protegidas (PHI), mas também as digitalize e compartilhe eletronicamente com pacientes e médicos. As empresas também precisam entender como o HITECH muda e amplia os requisitos do HIPAA e criar soluções de criptografia de arquivos e conformidade de e-mail que podem atender a ambos os conjuntos de requisitos.

Noções básicas de conformidade da HITECH

HITECH , ou a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica, é uma lei de 2009 criada para incentivar as organizações a “promover a adoção e o uso significativo” dos Registros Eletrônicos de Saúde (EHR). A HITECH impõe incentivos para digitalizar registros médicos e usá-los para melhorar a qualidade dos cuidados de saúde, bem como as penalidades por não fazer uso suficiente do RES.

A Lei HITECH também endureceu as penalidades e alterou a aplicação das violações da HIPAA, criando quatro níveis de violações com penas crescentes, até um multa máxima de US $ 1,5 milhão. Por causa da HITECH, as entidades estão sujeitas a penalidades, mesmo que não soubessem que uma violação ocorreu, embora essas violações estejam na categoria mais baixa. HITECH também permite organizat íons para escapar de penalidades se as violações não forem devidas a negligência e forem corrigidas dentro de 30 dias.

Objetivos de conformidade da HITECH

O objetivo final da HITECH é promover o uso de sistemas seguros e interoperáveis EHR nos Estados Unidos Para fazer isso, ele tem três fases de uso significativo, exigindo cada vez mais implantação de EHR, junto com garantias de qualidade e segurança.

As regras do Estágio 1 variam um pouco dependendo do profissional ou organização; os profissionais de saúde abrangidos devem atender a 15 objetivos principais, 5 de 10 “objetivos de menu” e 6 Medidas de Qualidade Clínica (CQMs). Os hospitais têm 15 principais, 5 menus e 15 CQMs. Os provedores serão dispensados de atender aos padrões não aplicáveis – por exemplo, quiropráticos não precisa usar a prescrição eletrônica, uma vez que eles não escrevem prescrições.

Os objetivos principais incluem medidas para aumentar a qualidade médica, como verificar as interações medicamentosas e registrar e mapear os sinais vitais, bem como objetivos de uso significativo, como implantação e proteção de EHR.

O Estágio 2 do HITECH exige que os provedores comecem a usar EHRs de maneiras sofisticadas. Para conformidade com HITECH, os provedores precisam usar o EHR ou recursos de computador para:

• Apoie pelo menos cinco decisões clínicas
• Registre mais de 60% das prescrições e 30% dos pedidos de laboratório e radiologia
• Transmita mais de 50% das prescrições
• Transmitir registros de atendimento quando os pacientes são transferidos
• Fornecer educação específica para o paciente n para mais de 10% dos pacientes
• Compilar e verificar uma lista precisa de medicamentos quando os pacientes são transferidos
• Dê aos pacientes acesso online aos seus registros de saúde
• Forneça aos pacientes uma maneira de se comunicar com segurança online e
• Rastrear imunização e outros dados de saúde pública.

A segurança eletrônica é a primeira meta para a conformidade da fase 2 com HITECH. Criptografia, análise de risco de segurança e atualizações de segurança são especificamente obrigadas a “proteger as informações de saúde do paciente”.

A fase 3 do HITECH ainda está sendo resolvida e o programa como um todo continua a evoluir. mudança, no entanto, é a necessidade de usar EHR para melhorar os cuidados de saúde e boa segurança para proteger os registros dos pacientes.

Conformidade da HITECH e da HIPAA

A HITECH exige que os fornecedores passem pela certificação HIPAA sob a padrões da Regra Omnibus. Conforme mencionado acima, as regras de conformidade da HITECH fortaleceram as penalidades de violação da HIPAA, e o estágio 3 provavelmente fortalecerá ainda mais os requisitos de avaliação de segurança e risco já impostos pela HIPAA.

A HITECH também fortaleceu a HIPAA regra de notificação de violação. Os requisitos de conformidade HIPAA anteriores exigiam notificação apenas quando a entidade coberta via um risco de dano à parte cujas informações de saúde protegidas (PHI) foram violadas. Agora, qualquer PHI não protegida exige uma notificação para t ele afetou as partes, HHS e, em alguns casos, a mídia.

A HITECH também expandiu os requisitos de conformidade da HIPAA para cobrir quaisquer parceiros de negócios que usam, armazenam ou processam PHI. Isso significa que empresas de cobrança, consultores e técnicos de TI que trabalham em computadores que armazenam EHR estão encarregados de manter os mesmos padrões de segurança e privacidade.

Acrescente as regras de conformidade de PCI que as organizações de saúde enfrentam e fica impossível para lidar com a segurança de forma fragmentada – há muito a ser considerado e muitas áreas sobrepostas. As organizações precisam adotar uma estratégia geral de segurança que atenda a todos os seus requisitos de conformidade juntos.

Protegendo o uso significativo

Cada estágio dos requisitos de uso significativo apresenta novos desafios e riscos tecnológicos. No entanto, os provedores de serviços de saúde devem garantir que sua segurança atenda às necessidades tecnológicas, não apenas aos requisitos de conformidade HITECH. Para a maioria das organizações, isso significa ir além do que o HITECH exige.

Embora o estágio 1 de conformidade com o HITECH não exija especificamente criptografia, como uma organização compatível com HIPAA, você já deve estar usando para todas as PHI eletrônicas (ePHI ), incluindo EHR e comunicações com o paciente. A criptografia embaralha arquivos com uma chave digital longa, tornando-os ilegíveis para qualquer pessoa que não tenha acesso a ela.

Usar criptografia de arquivo e e-mail também protege você de requisitos de notificação de violação, uma vez que arquivos criptografados corretamente contam como protegidos ; se uma empresa violar o ePHI, mas não as chaves necessárias para lê-lo, geralmente não contará como uma violação, uma vez que os arquivos não podem ser lidos. Instalar programas como o Virtru Pro e-mail seguro e a criptografia Virtru Pro Google Apps (agora conhecido como G Suite) e passar alguns minutos ensinando a equipe a usá-los pode evitar que você seja divulgado e multas pesadas em caso de violação.

O Estágio 1 também requer que as organizações revisem sua segurança e corrijam quaisquer deficiências, conforme definido por 41 CFR.308. Não é suficiente escrever algumas novas políticas; as organizações também precisam corrigir os funcionários que comprometem a segurança e rastrear o acesso a EHR e outros dados de saúde. Seu sistema deve registrar cada vez que alguém acessa PHI ou outros dados protegidos, rastrear alterações e armazenar cópias de backup, e você deve ter uma equipe de segurança dedicada para monitorar violações de segurança.

Conforme sua organização fica mais dependente de EHR para melhorar os resultados de saúde no Estágio 2, você precisará de ferramentas para compartilhar dados de forma segura e conveniente e se comunicar com pacientes e outros profissionais de saúde. Muitos provedores optam por usar portais de saúde para se comunicar com os pacientes e compartilhar EHR. Eles são bastante seguros, mas longe de serem convenientes. Eles exigem novos nomes de usuário e senhas, tendem a ter interfaces desajeitadas e não podem se comunicar uns com os outros.

Se um paciente precisar ir para outro hospital ou provedor que usa um portal diferente, você pode não ter forma estabelecida para trocar registros, e o paciente terá que aprender vários sistemas. Esse tipo de inconveniente é o que faz as pessoas desistirem e apenas enviarem um anexo de e-mail não criptografado, quebrando a conformidade com HITECH e frustrando o propósito de ter um portal em primeiro lugar.

A criptografia de e-mail Virtru Pro oferece uma solução melhor, adicionando criptografia centrada em dados forte à sua conta de e-mail padrão. Pacientes e profissionais de saúde podem enviar arquivos criptografados e anexos com um único clique – mesmo para destinatários que não tenham o Virtru instalado. Ao adicionar Virtru Pro para G Suite, você também poderá criptografar arquivos na nuvem, fornecendo uma maneira fácil de armazenar e compartilhar EHR com segurança.

Quanto ao Estágio 3, é difícil dizer o que está por vir Próximo. As regras de conformidade HIPAA e HITECH provavelmente estão caminhando para uma grande mudança, que pode simplificar os regulamentos e substituir o uso significativo por um padrão diferente. O que não vai mudar, no entanto, é a necessidade de ferramentas seguras para criptografar EHR e e-mail, e as melhores práticas de segurança para prevenir e mitigar vazamentos.

Segurança e conformidade HITECH contínuas

Existem muitos problemas que a tecnologia sozinha não consegue resolver. Por exemplo, a criptografia não pode impedir que seus funcionários escolham senhas fracas, e logouts automáticos não podem impedir os pacientes de dar uma olhada em uma estação de trabalho enquanto ela está conectada. As organizações médicas precisam combinar auditoria de som, políticas de tecnologia inteligente e monitoramento frequente e feedback para manter uma cultura de segurança.

As práticas recomendadas de conformidade da HIPAA – particularmente proteções físicas e administrativas – descrevem o que há a fazer fora da segurança de TI. Fisicamente, as organizações precisam controlar o acesso a qualquer área onde o EHR ou outras PHI estejam armazenados; em um pequeno consultório médico, isso pode ser tão simples quanto manter os pacientes fora de algumas áreas onde os computadores são usados ou registros antigos são armazenados, mas em um grande hospital, o controle de acesso pode exigir guardas, cartões de segurança e monitoramento de instalações.

As proteções administrativas de acordo com as regras de conformidade da HIPAA tornam as organizações responsáveis pela boa segurança entre seus funcionários e parceiros. Suas regras de segurança precisam ser explicitadas, tanto internamente quanto nos Business Associate Agreements (BAAs) que você assina com os parceiros, e respaldadas por treinamentos frequentes.

A conformidade da HITECH, no entanto, não se limita a seu organização e parceiros. Você é obrigado a proteger o ePHI enviado para outro hospital ou compartilhado com o paciente também.Você só pode conseguir isso com ferramentas e políticas de segurança fáceis o suficiente para qualquer paciente usar.

A conformidade da HITECH requer ferramentas que todos podem usar

Como a Lei HITECH orienta o uso de EHR , mais pacientes e profissionais de saúde estão acessando informações confidenciais de saúde na nuvem. Infelizmente, nem todas essas pessoas se preocupam com a segurança, ou mesmo a entendem. Mais do que nunca, as organizações precisam de ferramentas de segurança que todos possam usar.

O Virtru Pro oferece soluções de e-mail seguras e fáceis de usar e criptografia de arquivos. Ao contrário dos portais, não requer um processo complexo de instalação e aprendizagem ou novos IDs de login para lembrar. O Virtru Pro fornece e-mail compatível com HIPAA e HITECH para prestadores de serviços de saúde, protegendo mensagens e arquivos com o toque de um botão. Como qualquer pessoa pode usar o e-mail, você terá maior adoção, menor risco de violações e melhor adesão aos padrões de conformidade da HITECH.