A Lei de Portabilidade e Proteção de Seguro de Saúde (HIPAA) do governo federal criou diretrizes para como os provedores de saúde lidam com os dados de saúde do paciente. Infelizmente, as diretrizes da HIPAA são vagas. Não existe uma lista de verificação fácil que você possa usar para localizar software compatível com HIPAA. Em vez disso, o HIPAA exige que você crie um conjunto de procedimentos para acessar e enviar informações de saúde do paciente. Em seguida, você deve encontrar um fornecedor de software cujo software possa permitir que você implemente seus procedimentos.
Passos
Parte 1 de 3: Criação de procedimentos apropriados
Etapa 1. Mantenha um registro de auditoria
Você precisa rastrear quem acessa o registro de um paciente. Isso significa que você precisa criar nomes de usuário e senhas separados para cada pessoa que tem acesso às informações de saúde do paciente. Como parte do registro de auditoria, você deve controlar o seguinte:
- qual registro o usuário acessou
- a data em que foi acessado
- se o usuário visualizou, atualizou ou excluiu as informações
Etapa 2. Crie níveis de acesso
A HIPAA também exige que um funcionário veja apenas as informações “mínimas necessárias” para realizar seu trabalho. Por exemplo, um médico precisará ver mais informações de saúde do que uma recepcionista. Conseqüentemente, você precisa criar níveis de acesso, nos quais você fornece apenas as informações de que cada pessoa precisa para fazer seu trabalho.
- Alguns funcionários podem trabalhar apenas com determinados pacientes. Nessa situação, eles devem ter acesso apenas aos registros do paciente das pessoas com quem trabalham.
- Para criar níveis de acesso com sucesso, você precisa definir claramente as funções em sua organização. Isso pode exigir que você olhe as descrições de cargos e reorganize as funções.
Etapa 3. Crie uma função de “anulação de emergência”
Mesmo que você crie níveis de acesso, pode haver situações em que alguém precise acessar todas as informações em uma emergência. Por esse motivo, você deve criar uma “substituição” que permita à pessoa recuperar todas as informações necessárias para tratar os pacientes com eficácia.
- No entanto, você deve configurar seu software para que o uso dessa função de anulação seja submetido a um exame minucioso.
- Por exemplo, você pode configurar o software de forma que toda vez que alguém usar a função de anulação, várias outras pessoas sejam automaticamente enviadas por e-mail simultaneamente. O software também deve rastrear todas as informações que essa pessoa acessa.
- Você também deve escrever um processo de revisão para cada uso da função de substituição. Por exemplo, a pessoa que o usa pode ter que se encontrar mais tarde com um supervisor para justificar o uso.
Etapa 4. Proteja seus dados
A HIPAA exige que você mantenha seus dados protegidos. Na prática, isso significa que você deve usar senhas e manter os dados protegidos por um firewall.
- Você também precisa se certificar de que seus e-mails estão seguros. Em particular, você deve usar tecnologia de criptografia suficiente em seus e-mails.
- Para obter mais informações sobre como garantir que seu e-mail esteja em conformidade com HIPAA, consulte Tornar e-mail compatível com HIPAA.
Etapa 5. Digitalize os formulários de autorização do paciente
Você deve fazer com que os pacientes assinem formulários que autorizam o uso de suas informações para seus cuidados. Cada formulário deve incluir uma descrição de como você usará os dados e a data de vencimento.
- Você deve rastrear essas autorizações, incluindo a data em que o formulário foi assinado e o nome da pessoa que o assinou.
- Você também deve digitalizar o formulário e manter uma cópia digital.
Etapa 6. Confirme se o seu sistema de faturamento é compatível
A HIPAA padronizou a transmissão de informações de faturamento. Por esse motivo, qualquer sistema de faturamento que você usar deve oferecer suporte aos padrões HIPAA.
Neste momento, praticamente todos os sistemas de faturamento no mercado o fazem. No entanto, você deve confirmar com seu fornecedor se ele é compatível com HIPAA
Etapa 7. Pergunte aos fornecedores sobre o backup
A HIPAA também exige que você mantenha seus dados para que um paciente possa vê-los sempre que solicitar. Isso significa que você deve manter backups de todas as informações. Se você mantiver as informações em papel, precisará de cópias armazenadas externamente ou de digitalizações digitais criadas. Se você armazenar dados eletronicamente, será necessário fazer backup deles.
- Pergunte aos fornecedores como eles fazem backup de seus sistemas. Descubra como eles garantem a continuidade do sistema em caso de acidente.
- Se você hospedar o sistema de dados em seus próprios servidores, precisará descobrir quais procedimentos de backup existem, bem como seus planos de emergência.
Etapa 8. Faça com que os parceiros de negócios assinem contratos
Qualquer pessoa que vir seus dados deve concordar em seguir as mesmas políticas e procedimentos da sua organização. Portanto, você deve redigir um contrato de “Parceiro Comercial” para todos os fornecedores assinarem.
- Health and Human Services tem um contrato de amostra disponível em https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Você pode modificá-lo para se adequar aos seus objetivos.
- Também existem exemplos de contratos na Internet. Por exemplo, o UT Health Science Center tem um formulário de contrato que você pode usar.
- Você também deve pedir ao seu advogado de saúde que examine qualquer contrato para ter certeza de que é suficiente para protegê-lo.
Parte 2 de 3: Pesquisando fornecedores de software e dados
Etapa 1. Pergunte a outros profissionais de saúde
Se você estiver abrindo uma empresa, precisará adquirir um software. Você também pode precisar contratar alguém para hospedar seus dados em seus servidores (ou fazer backup de seus próprios servidores).
Pergunte a outros fornecedores quais fornecedores eles usam. Praticamente todos os provedores de saúde são cobertos pela HIPAA, então eles deveriam ter considerado se seu software é ou não compatível. Você deve pedir recomendações
Etapa 2. Compare os preços
Depois de obter recomendações para diferentes fornecedores, você precisa comparar seus preços. Você deve ligar para eles para obter uma cotação. Seus números de telefone devem estar na Internet.
- Os preços dependerão do número de pessoas que precisam acessar seu sistema, portanto, certifique-se de ter esse número disponível.
- Se sua empresa está crescendo, você deve pensar alguns anos à frente. Por exemplo, se você tem cinco funcionários, mas acha que dobrará de tamanho, certifique-se de obter uma cotação de quanto custa ter 10 usuários. Você não quer trocar de software depois de apenas um ano.
Etapa 3. Descubra como o fornecedor monitora as mudanças no HIPAA
Os regulamentos da HIPAA continuam a evoluir. Você deve esperar que o fornecedor acompanhe as mudanças na lei. Ao entrar em contato com os fornecedores, você deve perguntar o seguinte:
- Como o fornecedor monitora as mudanças nos regulamentos da HIPAA? Possui plano de ação para acompanhar as mudanças na legislação? Procure exemplos concretos. A empresa possui advogado que acompanha as mudanças legislativas?
- Qual porcentagem dos clientes do fornecedor deve ser compatível com HIPAA? Se a maioria dos clientes da empresa deve cumprir a HIPAA, então você pode ter certeza de que fará as alterações necessárias para cumprir a HIPAA - ou então fechará as portas.
Parte 3 de 3: Noções básicas sobre os requisitos da HIPAA
Etapa 1. Verifique se o HIPAA se aplica a você
Você deve cumprir a HIPAA se sua organização transmitir informações de cobrança eletronicamente para qualquer seguradora de saúde, incluindo Medicaid e Medicare. As informações podem incluir faturas ou outras informações necessárias para encontrar a cobertura de seguro. Geralmente, a HIPAA regula os provedores do seguinte:
- terapia
- aconselhamento
- cuidados médicos
- qualquer outro serviço que fature as seguradoras
Etapa 2. Encontre um advogado de saúde
As regras da HIPAA são complicadas e difíceis de entender. Para se certificar de que está em conformidade, deve contratar um advogado de saúde para a sua organização. Um advogado da área de saúde pode ajudar a resolver questões regulatórias e de gerenciamento de riscos. Você pode manter essa pessoa “sob reserva”, o que significa que você paga uma taxa a cada mês. Em troca, o advogado está sempre disponível para esclarecer suas dúvidas.
- Você pode obter recomendações para um advogado de saúde perguntando a outros profissionais de saúde quem eles usam. Se você não obtiver nenhuma recomendação, pode visitar a ordem dos advogados do seu estado, que deve executar um programa de indicação. Peça um encaminhamento para um advogado de saúde.
- Certifique-se de perguntar ao advogado sobre sua experiência. Você vai querer alguém com vasta experiência em conformidade regulatória, não apenas em representar empresas em processos judiciais.
Etapa 3. Esteja seguro, não se desculpe
Tecnicamente, você não precisa criar nomes de usuário, níveis de acesso ou mesmo ter software em sua organização. Em vez disso, a HIPAA exige apenas que você tome “medidas razoáveis” e divulgue apenas as informações “mínimas necessárias”. No entanto, por uma questão prática, você precisa criar os procedimentos para acessar e distribuir as informações descritos acima, se você planeja administrar um escritório moderno usando computadores e e-mail. Esses procedimentos ajudarão a protegê-lo de divulgações não autorizadas de informações do paciente.
- As penalidades por violar HIPAA podem ser severas. Você pode enfrentar uma multa de até US $ 50.000 para cada violação, até um máximo de US $ 1,5 milhão por ano. Existem também penalidades criminais para aqueles que violam as regras intencionalmente.
- Conseqüentemente, é melhor você seguir as práticas e procedimentos que estão se tornando padrão em seu setor. Advogados e fornecedores de saúde experientes podem orientá-lo na direção certa.
