Por Jordan MacAvoy, vice-presidente de marketing, Reciprocity Labs.
Existem vários requisitos de conformidade regulatória que as organizações de saúde devem seguir. Mesmo assim, é a Health Insurance Portability and Accountability Act (HIPAA) que obtém o maior reconhecimento. Se sua organização está envolvida no setor de saúde, você deve garantir que ela esteja em conformidade com a Health Information Technology for Economic and Clinical Health Act (HITECH) também.
Estas duas exigências de conformidade estão de alguma forma inter-relacionadas. No entanto, a HITECH destina-se a melhorar a tecnologia da informação na indústria da saúde, enquanto protege as preocupações de segurança e privacidade relativas à ePHI. A HITECH modificou significativamente a HIPAA e a Lei da Previdência Social. Portanto, pode ser difícil entender como essas estruturas de conformidade regulamentar se complementam.
Como HITECH e HIPAA são semelhantes
HITECH e a conformidade HIPAA é supervisionada pelo Departamento de Saúde e Serviços Humanos (HHS). Tipicamente, as organizações de saúde tendem a concentrar-se no cumprimento da HIPAA, uma vez que é a espinha dorsal da Regra de Privacidade que estabelece os padrões nacionais em relação à proteção de PHI e registros médicos. A Regra de Privacidade foi adotada em 2000. Desde então, a HHS fez apenas uma modificação. Isso foi em 2002 quando a Regra de Privacidade foi modificada para se tornar um dos regulamentos iniciais de privacidade e segurança da informação.
O Gabinete do Coordenador Nacional de Tecnologia da Informação na Saúde (ONC) está mandatado para promover a qualidade dos cuidados de saúde através do avanço da TI na área da saúde. O ONC também está encarregado do papel de assegurar o ePHI e estabelecer procedimentos para registros eletrônicos de saúde (EHRs) para promover a privacidade.
Por isso, enquanto HITECH e HIPAA se complementam, eles são diferentes. HITECH se concentra na tecnologia da informação, bem como na preservação da informação eletrônica, enquanto HIPAA se concentra na proteção da privacidade, bem como na expansão além dos sistemas de informação.
Como HITECH e HIPAA diferem
Embora HITECH e HIPAA tenham muitas semelhanças, os dois regulamentos também diferem em vários detalhes vitais. HITECH foi concebido para expandir o HIPAA. Mesmo assim, a última continua focada em resolver questões de privacidade e notificação de violação para proteger contra roubo de identidade e fraude. Por outro lado, a HITECH difere da HIPAA porque estabeleceu sanções de conformidade civis e criminais reestruturadas. Além disso, a HITECH estendeu a exigência de notificação de violação da HIPAA para além das organizações cobertas, incluindo também os associados comerciais.
De uma perspectiva de TI, os gerentes de conformidade devem concentrar-se na importância de uma criptografia robusta. No caso de atores maliciosos violarem a ePHI, a criptografia eficaz irá mitigar as violações das regras. Portanto, se a criptografia torna a informação ilegível, a organização não será multada. No entanto, provar a criptografia eficaz significa estar em conformidade com a Norma Federal de Processo de Informação do NIST. Portanto, a conformidade regulamentar da saúde só pode ser realizada se você entender completamente a infra-estrutura de TI da sua organização.
Como a conformidade da HITECH com o Medicaid e o Medicare Affects HIPAA Business Associates
Você só pode entender a conformidade regulamentar da saúde depois de entender as sobreposições que existem entre os associados de negócios, bem como as suas informações e como isso afeta toda a cadeia de fornecimento. Os associados de negócios são indivíduos ou organizações que prestam serviços a entidades cobertas ou realizam atividades ou funções em nome das entidades.
Tipicamente, a definição de associados de negócios da Regra Omnibus inclui empresas de gestão de saúde, organizações de pagamento de saúde e planos de saúde sob o guarda-chuva HITECH e HIPAA. No entanto, para aqueles que trabalham com a Medicaid, serviços adicionais podem ser incorporados sob os requisitos de conformidade.
Por exemplo, a HIPAA e a HITECH consideram que o Transporte Médico Não Emergencial da Medicaid (NEMT) é um associado empresarial que se enquadra na Regra Omnibus. Portanto, apesar de ser uma rede de corretores de transporte, as informações coletadas continuam sujeitas aos regulamentos de saúde necessários.
As organizações devem determinar sua localização dentro da cadeia de fornecimento, uma vez que isso minimizará as violações da HITRUST e da HIPAA. Além disso, uma organização deve decidir se quer ou não assumir os riscos de conformidade se optar pela escala.
O que os Conselhos de Administração devem saber?
As organizações que procuram mudar para o sector da saúde devem assegurar-se de que os seus conselhos reconhecem as implicações de conformidade. Fornecer o nível necessário de supervisão do conselho requer uma visibilidade profunda do cenário dos cuidados de saúde, bem como do ambiente de conformidade de uma organização. Além disso, se uma organização decidir incluir seus fornecedores ou prestadores de serviços de saúde como parte de sua estrutura corporativa, o conselho deve estar ciente de como essas partes se encaixam na cadeia de suprimentos.
De acordo com os requisitos regulatórios da HIPAA, o risco do fornecedor pode criar risco corporativo. Portanto, quer a sua organização se situe no fundo, na cadeia de suprimentos, no leme ou no meio, qualquer interação que ela faça com entidades reguladas pela HIPAA significa que ela deve cumprir todos os requisitos regulatórios necessários.
Você deve pensar nas violações da HITECH e da HIPAA como dominós montados em uma fila. No caso de um dominó cair, os outros cairão automaticamente. Portanto, a importância da gestão de fornecedores pode aumentar, especialmente se você decidir expandir-se ainda mais na indústria da saúde.
As organizações da indústria da saúde não devem concentrar-se apenas na conformidade HIPAA. A incorporação da conformidade HITECH ajuda-o a proteger a informação que está na sua privacidade. Ao permanecer em conformidade, você também evitará penalidades no caso de uma violação ocorrer. Assim, é crucial entender como HIPAA e HITECH se complementam.
Empregos na área da saúde