A Lei de Responsabilidade e Portabilidade de Seguro de Saúde (HIPAA) foi aprovada para impedir que as informações de saúde de uma pessoa sejam acessíveis ao público. Consequentemente, o HIPAA exige que certas entidades abrangidas empreguem processos adequados para proteger as informações do paciente. Se você for um provedor de saúde coberto pela HIPAA, precisará certificar-se de que seu e-mail seja compatível com a HIPAA. Infelizmente, não existe uma maneira simples de fazer isso por conta própria. Em vez disso, você precisará contratar um provedor de serviços de e-mail que seja compatível com HIPAA.
Passos
Parte 1 de 2: Aprendendo os Requisitos da HIPAA
Etapa 1. Entenda as multas
A HIPAA inclui uma regra de privacidade e uma regra de segurança. A regra de privacidade protege as informações identificáveis do paciente e a regra de segurança define os padrões nacionais para a segurança das informações protegidas em formato eletrônico. Essas regras têm dentes: uma violação acarreta uma penalidade máxima de $ 1,5 milhão por violação.
Etapa 2. Leia a regra de segurança
O governo federal exige que a comunicação eletrônica de informações sobre cuidados de saúde atenda a certos requisitos de segurança e privacidade. Esses requisitos são complexos. Para tornar um e-mail compatível com a HIPAA, você precisa se certificar de que emprega proteções suficientes para garantir a integridade, a segurança e a confidencialidade das informações eletrônicas.
- Você pode ler a Regra de segurança visitando o site Health and Human Services em https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. Os links são fornecidos para o texto estatutário relevante.
- Você também pode ler o texto regulamentar. Este documento conterá todos os regulamentos que foram promulgados para implementar o estatuto HIPAA.
- Essas informações são altamente técnicas e difíceis de entender por um não especialista. Você deve se encontrar com um advogado de saúde para discutir suas necessidades com relação à segurança de e-mail.
Etapa 3. Encontre um advogado
Um advogado de saúde experiente deve ser capaz de ajudá-lo a entender os requisitos legais e também encontrar maneiras de tornar seu sistema de e-mail compatível. Você vai querer se encontrar com um advogado especializado em direito de saúde, especialmente.
Para encontrar um advogado de saúde, visite a ordem dos advogados do seu estado. Ele deve ter links para programas de referência (ou hospedar um programa de referência próprio). Uma vez no site, você receberá um número de telefone para ligar ou um diretório que possa pesquisar
Parte 2 de 2: Garantindo que seu e-mail seja compatível com HIPAA
Etapa 1. Pesquisar provedores de serviço de e-mail compatíveis com HIPAA
Os requisitos técnicos são tão complicados que, a menos que você seja um especialista em sistemas de informação, precisará contratar um provedor de serviços de e-mail compatível com HIPAA para fornecer seu sistema de e-mail. Serviços de e-mail gratuitos baseados na web, como Yahoo e Gmail, não são sistemas de e-mail suficientes. Na verdade, eles não oferecem segurança. Para encontrar um provedor de serviços compatível, você pode fazer o seguinte:
- Converse com seu advogado de saúde. Ele ou ela deve estar familiarizado com os provedores de serviços de e-mail compatíveis com HIPAA.
- Procure na internet. Várias empresas anunciam seus serviços na Internet. Pesquise “e-mail compatível com hipaa”.
Etapa 2. Entre em contato com os provedores de serviços de e-mail compatíveis com HIPAA
Depois de ter os nomes dos provedores de serviço de e-mail, você deve olhar os sites das empresas e ver se eles parecem profissionais. Em seguida, ligue para uma empresa e pergunte se ela pode fornecer referências. Você também deve perguntar sobre os serviços que eles oferecem. Um provedor de serviço de e-mail compatível com HIPAA deve:
- Limite o acesso às informações eletrônicas. O provedor de serviço de e-mail deve manter seus servidores em um local seguro, acessível apenas por pessoal autorizado.
- Auditar quem acessa as informações. O provedor de serviços deve ser capaz de rastrear quem acessa as informações no sistema. Um registro de segurança adequado deve rastrear o usuário que acessou as informações, o dia e a hora em que foram acessadas e para quem as informações foram enviadas.
- Transmissões seguras de e-mail. Um provedor de serviços também deve proteger adequadamente todas as transmissões de e-mail usando criptografia e outras técnicas.
Etapa 3. Obtenha o consentimento do paciente
Independentemente do provedor de serviços que você usa, você deve sempre obter o consentimento do paciente para transmitir informações de cuidados de saúde eletronicamente. Às vezes, um paciente enviará informações por e-mail, mas você não deve presumir que isso significa que o paciente consente em receber informações eletronicamente.
Em vez disso, você deve pedir aos pacientes que assinem uma folha de contato. Neste formulário, o paciente dirá como prefere ser contatado. Você deve fazer com que os pacientes atuais assinem um e certifique-se de que todos os novos pacientes assinem um na primeira consulta
Etapa 4. Use criptografia
De acordo com a Health and Human Services, a criptografia não é obrigatória, a menos que, após uma avaliação de risco, seja considerada uma proteção adequada. Na prática, entretanto, isso significa que quase sempre você precisará criptografar emails e anexos.
- A criptografia é uma técnica que converte o texto original em texto codificado. É uma forma de proteger as informações caso sejam interceptadas por terceiros.
- Seu provedor de serviços de e-mail compatível com HIPAA deve explicar a você suas técnicas para criptografar comunicações.
Etapa 5. Reter registros
A HIPAA exige que você preserve seus e-mails por até seis anos. Isso é chamado de "Regra de retenção de seis anos". Seu provedor de serviços de e-mail deve ser capaz de garantir que guardará os e-mails por esse período de tempo.
Etapa 6. Não use e-mail, se necessário
Você pode descobrir que os custos de conformidade para enviar informações de saúde do paciente legalmente estão além do seu orçamento. Nesse caso, você sempre tem a opção de não enviar essas informações eletronicamente.
