TL;DR

Está a criar software que mexe com dados de cuidados de saúde nos EUA? A conformidade com a HIPAA não é negociável.

Regra de segurança = encriptar o ePHI, bloquear o acesso, registar tudo.

Regra de privacidade = controlo de quem vê o quê.

Regra de notificação de violação = divulgar rapidamente.

E graças à HITECH, você (como fornecedor) é diretamente responsável. Assine esses BAAs e certifique-se de que as suas salvaguardas são rigorosas.

Resumo do quadro de pontuação HIPAA / HITECH:

• Esforço do programador: Elevado (requer a implementação de salvaguardas técnicas rigorosas - controlos de acesso, registo de auditorias, encriptação; manuseamento cuidadoso de PHI; codificação segura contra riscos de dados de cuidados de saúde; suporte de requisitos BAA).
• Custo das ferramentas: Moderado a elevado (ferramentas de encriptação, registo robusto/SIEM, IAM/MFA forte, scanners de vulnerabilidades, plataformas de conformidade HIPAA potencialmente especializadas).
• Impacto no mercado: Crítico (obrigatório para o software/serviços de cuidados de saúde dos EUA que manipulam PHI; o incumprimento bloqueia o acesso ao mercado e implica sanções graves).
• Flexibilidade: Moderada (As regras definem o que deve ser protegido, mas permitem flexibilidade na forma como as salvaguardas são implementadas com base na análise de risco, dimensão e complexidade - especificações "abordáveis" vs. "exigidas").
• Intensidade da auditoria: Elevada (as auditorias do Gabinete dos Direitos Civis do HHS (OCR) podem ser desencadeadas por violações ou queixas; requer a demonstração de salvaguardas implementadas e de políticas/procedimentos documentados).

O que é a HIPAA / HITECH?

A HIPAA (Health Insurance Portability and Accountability Act de 1996) é uma lei federal dos EUA concebida principalmente para:

1. Proteger a cobertura do seguro de saúde dos trabalhadores e das suas famílias quando mudam ou perdem o emprego (Portabilidade).
2. Estabelecer normas nacionais para transacções electrónicas de cuidados de saúde e conjuntos de códigos (simplificação administrativa).
3. Proteger a privacidade e a segurança das informações de saúde individualmente identificáveis, conhecidas como Informações de Saúde Protegidas (PHI).

Para os programadores e as empresas de tecnologia, as partes principais são as disposições de simplificação administrativa, implementadas através de várias regras:

• Regra de privacidade da HIPAA: Estabelece padrões nacionais para quando as PHI podem ser usadas e divulgadas. Também concede aos indivíduos direitos sobre as suas informações de saúde (por exemplo, acesso, alteração). Aplica-se a "Entidades Abrangidas" (planos de saúde, centros de compensação de cuidados de saúde, a maioria dos prestadores de cuidados de saúde) e aos seus "Associados Comerciais".
• Regra de segurança da HIPAA: Define normas nacionais para proteger a confidencialidade, integridade e disponibilidade de PHI eletrónico (ePHI) que uma entidade abrangida ou associado comercial cria, recebe, mantém ou transmite. Exige protecções administrativas, físicas e técnicas específicas.
• Regra de notificação de violação da HIPAA: Exige que as entidades abrangidas e os associados comerciais forneçam uma notificação após uma violação de PHI não seguro.

Os DCC incluem qualquer informação de saúde identificável, como nomes, datas, diagnósticos, tratamentos, números de registos médicos, imagens, SSN, etc., associada ao estado de saúde, à prestação de cuidados ou ao pagamento de cuidados. (Ver secção 2.7.2 para a definição de dados pessoais do RGPD, que se sobrepõe mas tem um âmbito diferente).

A lei HITECH (Health Information Technology for Economic and Clinical Health) de 2009 modificou significativamente a HIPAA:

• Reforço das sanções: Aumento das coimas por infracções à HIPAA, introduzindo uma estrutura de sanções escalonada com base na culpabilidade.
• Aplicação das regras aos associados comerciais: Tornou os associados comerciais (como fornecedores de software, fornecedores de serviços em nuvem que tratam PHI para uma entidade abrangida) diretamente responsáveis pelo cumprimento das salvaguardas da Regra de Segurança da HIPAA e de determinadas disposições da Regra de Privacidade.
• Promover a adoção de tecnologias da informação no domínio da saúde: Incentivou a utilização de registos de saúde electrónicos (RSE).
• Melhoria da notificação de violação: Reforçou os requisitos para notificar os indivíduos e o HHS de violações de PHI.

Em conjunto, a HIPAA e a HITECH constituem a base jurídica para a proteção da privacidade e da segurança das informações de saúde nos Estados Unidos.

Porque é que são importantes?

A conformidade com a norma HIPAA/HITECH não é negociável para quem lida com PHI nos EUA:

• É a lei: Aplicada pelo Gabinete de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS), as violações implicam sanções civis e potencialmente criminais significativas.
• Obrigatório para empresas do sector da saúde: As entidades abrangidas (hospitais, clínicas, seguradoras) exigem que os seus fornecedores de tecnologia (associados comerciais) que lidam com PHI estejam em conformidade com a HIPAA e assinem um acordo de associado comercial (BAA). Sem conformidade, sem BAA, não há negócio.
• Protege a privacidade dos doentes: Defende os direitos fundamentais dos doentes relativamente às suas informações de saúde sensíveis.
• Garante a segurança dos dados: Obriga a salvaguardas específicas para proteger o ePHI de violações, que são extremamente comuns e prejudiciais nos cuidados de saúde.
• Evita coimas avultadas: As coimas podem variar entre $100 por infração e $1,5 milhões por ano por categoria de infração, dependendo do nível de negligência. A negligência intencional acarreta as coimas mais elevadas.
• Evita danos à reputação: As violações da HIPAA corroem a confiança dos pacientes e causam danos significativos à reputação tanto das Entidades Abrangidas como dos Associados Comerciais.
• Permite o intercâmbio de dados de saúde: Fornece a base de segurança e privacidade necessária para o intercâmbio eletrónico de informações de saúde.

Para os programadores que criam software ou serviços que tocam em PHI, a conformidade com a norma HIPAA/HITECH é um requisito fundamental para entrar no mercado e operar no sector dos cuidados de saúde dos EUA.

O que e como implementar (técnica e política)

A implementação da HIPAA/HITECH envolve o cumprimento dos requisitos das Regras de Privacidade, Segurança e Notificação de Violação. A Regra de Segurança é tecnicamente mais relevante para os programadores, exigindo Salvaguardas Técnicas específicas (especificações "Obrigatórias" e "Endereçáveis"):

1. Controlo de acesso (necessário e endereçável):
   
   • Identificação única do utilizador (obrigatório): Atribua IDs únicos para acompanhar as acções do utilizador.
   • Procedimento de acesso de emergência (obrigatório): Assegurar o acesso aos DCC em caso de emergência.
   • Encerramento automático (endereçável): Implementar tempos limite de sessão nas estações de trabalho que acedem a ePHI.
   • Encriptação e desencriptação (endereçável): Encriptar o ePHI sempre que razoável e adequado (frequentemente considerado obrigatório na prática para dados em repouso/em trânsito). Elementos de prova: Configuração RBAC, documentos de acesso de emergência, definições de auto-logoff, pormenores de implementação da encriptação.
2. Controlos de auditoria (obrigatório):
   
   • Implementar hardware, software ou mecanismos processuais para registar e examinar a atividade nos sistemas que contêm ePHI. Os registos devem indicar quem acedeu a quê e quando. Evidências: Configuração de registos de auditoria, procedimentos de revisão de registos.
3. Controlos de integridade (obrigatórios e abordáveis):
   
   • Mecanismo para autenticar o ePHI (abordável): Implementar medidas (como somas de verificação, assinaturas digitais) para garantir que o ePHI não foi indevidamente alterado ou destruído. Evidências: Métodos de verificação da integridade.
4. Autenticação de pessoa ou entidade (Obrigatório):
   
   • Implementar procedimentos para verificar se a pessoa ou entidade que pretende aceder ao ePHI é a pessoa reclamada (por exemplo, palavras-passe, PINs, biometria, MFA). Evidências: Políticas de autenticação, implementação de MFA.
5. Segurança da transmissão (necessária e endereçável):
   
   • Controlos de integridade (endereçáveis): Proteger o ePHI transmitido contra modificações impróprias sem deteção.
   • Encriptação (endereçável): Encriptar o ePHI quando transmitido através de redes electrónicas, sempre que razoável e adequado (por exemplo, utilizar TLS para dados em trânsito). Elementos de prova: Configuração da segurança da rede, implementação de TLS, políticas de transmissão de dados.

Para além das salvaguardas técnicas, a implementação exige:

• Análise de riscos: Realização de avaliações rigorosas e completas de potenciais riscos e vulnerabilidades do ePHI.
• Salvaguardas administrativas: Políticas, procedimentos, formação da força de trabalho, designação de pessoal de segurança, planeamento de contingência, acordos de associados comerciais (BAA).
• Salvaguardas físicas: Controlos do acesso às instalações, segurança dos postos de trabalho, controlos dos dispositivos/meios de comunicação.
• Conformidade com a Regra de Privacidade: Implementação de políticas para utilização/divulgação de PHI, notificação de práticas de privacidade, tratamento de pedidos de direitos dos pacientes (acesso, alteração).
• Notificação de violação: Ter procedimentos para detetar violações, avaliar o risco e notificar os indivíduos e o HHS/OCR dentro dos prazos exigidos (normalmente 60 dias).

A implementação requer uma codificação segura, uma infraestrutura de segurança robusta (especialmente se utilizar a nuvem - requer um BAA com o CSP), um registo exaustivo, fortes controlos de acesso, encriptação e documentação exaustiva.

Erros comuns a evitar

Os erros de conformidade com a norma HIPAA/HITECH são comuns e dispendiosos:

1. Análise de risco incompleta: Não efetuar uma análise de risco completa a toda a organização para identificar onde existe o ePHI e quais as ameaças que enfrenta.
2. Ignorar as salvaguardas "endereçáveis": Interpretação incorrecta de "endereçável" como "opcional". Se uma especificação endereçável não for implementada, a decisão deve ser documentada com justificação e deve ser implementada uma medida alternativa equivalente, se for razoável. Atualmente, a encriptação é quase sempre considerada razoável.
3. Falta de registo/revisão de auditoria: Não implementar um registo suficiente ou não rever regularmente os registos de auditoria para detetar acessos inadequados ou violações.
4. Eliminação incorrecta de PHI: Deitar fora registos em papel ou suportes electrónicos que contenham PHI sem os triturar, limpar ou destruir fisicamente.
5. Controlos de acesso fracos: Utilizar logins partilhados, não implementar o privilégio mínimo ou não revogar o acesso imediatamente após a cessação/alteração de funções.
6. PHI não encriptado: Transmitir ou armazenar ePHI sem a encriptação adequada, especialmente em dispositivos móveis ou computadores portáteis.
7. Ausência (ou inadequação) de Acordos de Associado Comercial (BAAs): Partilhar PHI com fornecedores (fornecedores de nuvem, ferramentas de software) sem um BAA assinado que defina as suas responsabilidades.
8. Formação insuficiente dos funcionários: Falta de formação regular e documentada sobre as políticas da HIPAA e sensibilização para a segurança, o que conduz a erros humanos (por exemplo, phishing).
9. Notificação de violação atrasada: Não comunicar violações dentro do prazo de 60 dias exigido pela Regra de Notificação de Violação.
10. Não atualização de políticas/procedimentos: Não rever e atualizar regularmente as políticas de segurança, as análises de risco e os planos de emergência.

O que os auditores/reguladores podem perguntar (foco no desenvolvedor)

Os investigadores do HHS OCR que efectuam uma auditoria HIPAA (frequentemente desencadeada por violações ou queixas) irão analisar as salvaguardas técnicas que afectam o desenvolvimento:

• (Controlo de acesso) "Como é que garante que apenas os programadores autorizados têm acesso a sistemas que contêm ePHI? Mostre-me os seus controlos de acesso baseados em funções e o seu processo de revisão."
• (Controlo de acesso) "Como é registado o acesso do programador quando interage com o ePHI de produção (se permitido)?"
• (Controlos de auditoria) "Fornecer registos de auditoria que demonstrem o acesso ao ePHI na aplicação. Como são estes registos protegidos e analisados?"
• (Integridade) "Que mecanismos garantem a integridade do ePHI na base de dados da aplicação?"
• (Autenticação) "Como é que os utilizadores (doentes, fornecedores, programadores) são autenticados na aplicação? É utilizado o MFA?"
• (Segurança de transmissão) "Demonstrar como o ePHI é encriptado durante a transmissão entre a aplicação, APIs e utilizadores (por exemplo, configuração TLS)."
• (Encriptação) "Mostre como o ePHI armazenado pela aplicação (bases de dados, cópias de segurança) é encriptado em repouso."
• (Desenvolvimento seguro) "Que práticas e testes de codificação segura (SAST/DAST) são utilizados para evitar vulnerabilidades que possam expor o ePHI?"
• (Mínimo necessário) "Como é que a conceção da aplicação limita o acesso/exibição de PHI com base na função e no contexto do utilizador?"

Exigem políticas documentadas, procedimentos, análises de risco, registos de formação, BAAs e provas técnicas (registos, configurações, relatórios de análise) que comprovem que as salvaguardas são implementadas e eficazes.

Ganhos rápidos para as equipas de desenvolvimento

As equipas de desenvolvimento que criam aplicações de cuidados de saúde podem concentrar-se nestes ganhos rápidos alinhados com a HIPAA:

1. Identificar e minimizar PHI: Mapeie exatamente onde as PHI circulam na sua aplicação. Recolher e armazenar apenas as PHI absolutamente necessárias.
2. Encriptar tudo: Implemente uma encriptação forte para o ePHI, tanto em trânsito (TLS 1.2+) como em repouso (encriptação de bases de dados, encriptação de sistemas de ficheiros). Não implemente a sua própria encriptação.
3. Aplicar autenticação forte e controlo de acesso: Utilizar IDs únicos, políticas de palavras-passe fortes e MFA. Implementar um controlo rigoroso do acesso baseado em funções (RBAC) com base no princípio do menor privilégio.
4. Implementar um registo de auditoria detalhado: Registar todos os eventos de acesso, criação, modificação e eliminação relacionados com o ePHI. Assegurar que os registos são invioláveis e armazenados centralmente.
5. Práticas de codificação segura: Dar formação aos programadores sobre o OWASP Top 10 e os riscos específicos dos dados relativos aos cuidados de saúde. Utilizar ferramentas SAST/SCA para encontrar vulnerabilidades.
6. Utilizar serviços Cloud elegíveis para a HIPAA (com BAA): Se estiver a utilizar plataformas de nuvem (AWS, Azure, GCP), utilize apenas serviços designados como elegíveis para a HIPAA e assine um Acordo de Associado Comercial (BAA) com o fornecedor. Configure os serviços de forma segura.
7. Planear a eliminação de dados: Conceber sistemas com a capacidade de eliminar de forma segura dados específicos dos doentes quando necessário.

Ignorar isto e... (Consequências do incumprimento)

A violação das regras HIPAA/HITECH pode ter consequências graves:

• Sanções monetárias civis (CMP): O HHS OCR impõe coimas com base numa estrutura escalonada que reflecte a culpabilidade:
  
  • Sem conhecimento: $100 - $50k por infração (máximo anual de $25k para infracções idênticas).
  • Causa Razoável: $1k - $50k por infração (máximo anual de $100k).
  • Negligência intencional (corrigida): $10k - $50k por infração (máximo anual de $250k).
  • Negligência intencional (não corrigida): $50k+ por infração (máximo anual de $1,5 milhões+). Nota: Os máximos anuais são ajustados de acordo com a inflação.
• Sanções penais: O Departamento de Justiça (Department of Justice - DOJ) trata de casos criminais por obtenção ou divulgação consciente de PHI de forma incorrecta. As penalidades incluem:
  
  • Com conhecimento de causa: Multa até $50k, prisão até 1 ano.
  • Falsos pretextos: Multa até 100 mil dólares, até 5 anos de prisão.
  • Intenção de vender/transferir/utilizar para obter lucro/prejudicar: Multa até 250 mil dólares, pena de prisão até 10 anos.
• Planos de ação corretiva (CAPs): O OCR exige frequentemente que as organizações implementem planos de ação corretiva detalhados e supervisionados juntamente com as multas.
• Danos à reputação: As violações e as coimas elevadas prejudicam gravemente a confiança dos doentes e a perceção do público.
• Acções judiciais: As pessoas prejudicadas por uma violação podem intentar acções judiciais civis.
• Perda de negócio: As Entidades Abrangidas terminarão as relações com os Associados Comerciais não conformes.

FAQ

Quem precisa de cumprir a HIPAA?

Entidades cobertas (planos de saúde, centros de compensação de cuidados de saúde, prestadores de cuidados de saúde que realizam determinadas transacções electrónicas) e os seus associados comerciais (pessoas ou entidades que desempenham funções ou prestam serviços a uma entidade coberta que envolvem o acesso a DCC, por exemplo, fornecedores de software, fornecedores de serviços em nuvem, serviços de faturação, advogados).

Qual é a diferença entre PHI e ePHI?

PHI (Protected Health Information - Informações de saúde protegidas) são informações de saúde individualmente identificáveis sob qualquer forma (oral, em papel, eletrónica). ePHI é o PHI que é criado, recebido, mantido ou transmitido em formato eletrónico. A Regra de Segurança da HIPAA aplica-se especificamente ao ePHI.

O que é um Acordo de Associado Comercial (BAA)?

Um BAA é um contrato escrito exigido pela HIPAA entre uma Entidade Abrangida e um Associado Comercial (ou entre dois Associados Comerciais). Este contrato define as responsabilidades do BA para proteger os DCC de acordo com as regras da HIPAA, incluindo a implementação de salvaguardas e a comunicação de violações. Partilhar PHI com um fornecedor sem um BAA é uma violação da HIPAA.

Qual é a diferença entre as especificações "Obrigatórias" e "Endereçáveis" na Regra de Segurança?

• Obrigatório: Deve ser implementado como indicado.
• Endereçável: Deve ser avaliada. Se for considerada razoável e adequada, deve ser implementada. Caso contrário, a justificação deve ser documentada e, se for razoável, deve ser aplicada uma medida alternativa equivalente. Abordável não significa opcional.

Quanto tempo temos para comunicar uma violação da HIPAA?

As violações que afectem mais de 500 indivíduos devem ser comunicadas ao HHS OCR sem atrasos injustificados e, o mais tardar, 60 dias após a descoberta. Os indivíduos afectados também devem ser notificados no prazo de 60 dias. As violações que afectem menos de 500 indivíduos devem ser registadas e comunicadas anualmente ao HHS OCR (no prazo de 60 dias após o final do ano civil). As leis estaduais podem ter prazos de comunicação mais rigorosos.

Existe uma certificação HIPAA?

Não, o HHS OCR não oferece nem apoia qualquer certificação oficial da HIPAA para software, organizações ou indivíduos. As empresas podem reivindicar "conformidade com a HIPAA" ou obter atestados/relatórios de terceiros (como SOC 2 + HIPAA), mas não existe um certificado HIPAA emitido pelo governo.

Como é que a HITECH altera a HIPAA?

A HITECH reforçou principalmente a HIPAA, aumentando as sanções, tornando os associados comerciais diretamente responsáveis pela conformidade, promovendo a adoção de EHR e melhorando as regras de notificação de violações. Essencialmente, reforçou a aplicação da HIPAA.