O que é HIPAA?
A Lei de portabilidade e responsabilidade de seguros de saúde (Health insurance portability and accountability act - HIPAA) é uma política regulatória para todas as organizações que armazenam, processam ou transmitem informações de saúde protegidas (PHI). Embora a HIPAA determine que todas as organizações protejam seus dados, ela não sugere nenhuma medida ou medida específica para isso. No entanto, sua organização ainda precisa aderir à HIPAA para proteger seus dados e evitar penalidades financeiras.
Quem deve estar em conformidade com a HIPAA?
Qualquer entidade que armazene, processe ou transmita PHI deve cumprir os requisitos da HIPAA e garantir a segurança e a privacidade das informações. Essas entidades são categorizadas em:
- Entidades cobertas Essas são as entidades que precisam cumprir os regulamentos da HIPAA. Isso inclui:
- Planos de saúde Empresas de seguro-saúde, organizações de manutenção da saúde (HMOs), planos de saúde de empresas e programas governamentais que contribuem para a assistência médica.
- Prestadores de serviços de saúde Médicos, clínicas, hospitais, psicólogos, farmácias, dentistas e outras entidades que transferem informações de saúde eletronicamente.
- Centros de compensação de cuidados de saúde Serviços de faturamento, empresas de reprecificação, sistemas de informação de gestão de saúde comunitária e outras entidades que processam e convertem informações não padronizadas que recebem em informações padronizadas.
- Associados comerciais Indivíduos ou entidades que não são funcionários de entidades cobertas, mas que desempenham determinadas funções, atividades ou fornecem determinados serviços a uma entidade coberta que envolvem o uso ou a divulgação de PHI. Isso inclui contratados, subcontratados, empresas de faturamento, contadores, especialistas em TI, empresas que armazenam dados, entre outros.
Quais são os requisitos da HIPAA?
A HIPAA exige que as entidades implementem determinados requisitos para proteger as PHI e garantir a integridade, a disponibilidade e a confidencialidade das informações dos pacientes. Os requisitos da HIPAA estão divididos em duas regras, a Regra de privacidade e a Regra de segurança.
Regra de privacidade da HIPAA
A Regra de privacidade descreve diretrizes específicas para proteger os dados médicos dos pacientes e estabelece critérios para a utilização e a divulgação adequadas de PHI sem o consentimento do paciente. Essa regra também concede aos indivíduos o direito de obter seus direitos e sugerir correções, se necessário. Essa regra enfatiza o consentimento do paciente e como as entidades cobertas devem obter o consentimento adequado antes de usar suas informações de saúde. Essa regra e seus requisitos podem ser encontrados no 45 Code of Federal Regulations (CFR) Parte 160 e Subpartes A e E da Parte 164.
Regra de segurança da HIPAA
A Regra de segurança tem como objetivo proteger as PHI manuseadas pelas entidades cobertas, implementando medidas de segurança administrativas, físicas e técnicas específicas. Essas proteções garantem a confidencialidade e a segurança das PHI e, ao mesmo tempo, asseguram que as entidades estão tomando as medidas necessárias para evitar ameaças cibernéticas, acesso físico não autorizado e violações de dados.
Como o ADManager Plus pode ajudar você a entrar em conformidade com a HIPAA?
O ADManager Plus é uma solução de governança e administração de identidade (IGA) que oferece várias capacidades não apenas para gerenciar e proteger identidades, mas também para atender aos requisitos de várias normas de conformidade, como PCI DSS, SOX e outras. A tabela a seguir ilustra como ele pode ajudar você a atender aos requisitos da HIPAA.
| Seção | Descrição | Como o ADManager Plus |
|---|---|---|
| 45 CFR 164.308 (a)(1)(i) | Implementar políticas e procedimentos para prevenir, detectar, conter e corrigir violações de segurança. | Fique de olho nos fatores de risco em seu ambiente, avalie seu impacto e tome medidas imediatas para mitigá-los de forma eficaz. Obtenha um relatório detalhado de avaliação de riscos para descobrir os riscos de segurança aos quais sua organização está exposta, encontrar áreas que exigem atenção e conhecer as medidas de correção |
| 45 CFR 164.308 (a)(1)(ii)(A) | Realizar uma avaliação precisa e completa dos possíveis riscos e vulnerabilidades à confidencialidade, integridade e disponibilidade das informações eletrônicas de saúde protegidas mantidas pela entidade coberta ou pelo associado comercial. | |
| 45 CFR 164.308 (a)(1)(ii)(B) | Implementar medidas de segurança suficientes para reduzir os riscos e as vulnerabilidades a um nível razoável e adequado para cumprir com o 45 CFR 164.306 (a). | |
| 45 CFR 164.308 (a)(3)(i) | Implementar políticas e procedimentos para garantir que todos os membros de sua força de trabalho tenham acesso adequado às informações eletrônicas de saúde protegidas, conforme previsto no parágrafo (a)(4) desta seção e para impedir que os membros da força de trabalho que não tenham acesso conforme o parágrafo (a)(4) desta seção obtenham acesso às informações eletrônicas de saúde protegidas. | Automatize as campanhas de certificação de acessos e garanta que os direitos de acesso sejam revisados regularmente e que os usuários tenham apenas os privilégios necessários para desempenhar suas funções. |
| 45 CFR 164.308 (a)(3)(ii)(A) | Implementar procedimentos para a autorização e/ou supervisão dos membros da força de trabalho que trabalham com informações eletrônicas de saúde protegidas ou em locais onde elas possam ser acessadas. | Otimize a execução de tarefas e controle a delegação de tarefas com workflows de aprovação em vários níveis. Use diferentes agentes de workflow, ou seja, solicitantes, revisores, aprovadores e executores, e personalize e automatize o processo de workflow. |
| 45 CFR 164.308 (a)(3)(ii)(B) | Implementar procedimentos para determinar se o acesso de um membro da força de trabalho a informações eletrônicas de saúde protegidas é apropriado. | Automatize as campanhas de certificação de acessos e garanta que os direitos de acesso sejam revisados regularmente e que os usuários tenham apenas os privilégios necessários para desempenhar suas funções. |
| 45 CFR 164.308 (a)(4)(ii)(C) | Implementar políticas e procedimentos que, com base nas políticas de autorização de acesso da entidade coberta ou do associado comercial, estabeleçam, documentem, revisem e modifiquem o direito de acesso de um usuário a uma estação de trabalho, transação, programa ou processo. | |
| 45 CFR 164.308 (a)(5)(ii)(C) | Procedimentos para monitorar tentativas de login e relatar discrepâncias. | Gere relatórios abrangentes sobre tentativas de login fracassadas e envie-os às partes interessadas. |
| 45 CFR 164.308 (a)(5)(ii)(D) | Procedimentos para criação, mudança e proteção de senhas. | Gere relatórios detalhados de senhas e obtenha informações sobre usuários com senhas expiradas, senhas prestes a expirar, senhas alteradas e senhas inalteradas. Configure políticas de complexidade de senhas com fatores como comprimento mínimo e máximo, sensibilidade a maiúsculas e minúsculas e outras para garantir que, durante a criação do usuário, as senhas criadas sejam fortes e seguras. |
| 45 CFR 164.308 (a)(6)(ii) | Identificar e responder a incidentes de segurança suspeitos ou conhecidos; mitigar, na medida do possível, os efeitos prejudiciais de incidentes de segurança conhecidos pela entidade coberta ou pelo associado comercial; e documentar incidentes de segurança e seus resultados. | Identifique possíveis vulnerabilidades e mitigue-as com um relatório de avaliação de risco de identidade. |
| 45 CFR 164.308 (a)(7)(ii)(A) | Estabelecer e implementar procedimentos para criar e manter cópias exatas recuperáveis de informações eletrônicas de saúde protegidas. | Automatize backups incrementais ou completos de seu ambiente do AD, Azure AD, Microsoft 365, Google Workspace e Exchange para restaurar os dados afetados em caso de desastre. |
| 45 CFR 164.308 (a)(7)(ii)(B) | Estabelecer (e implementar conforme necessário) procedimentos para restaurar qualquer perda de dados.. | Restaure facilmente backups incrementais ou completos de seu ambiente em caso de desastre. |
| 45 CFR 164.312 (a)(1) | Implementar políticas e procedimentos técnicos para sistemas de informações eletrônicas que mantenham informações eletrônicas de saúde protegidas para permitir o acesso somente às pessoas ou programas de software aos quais tenham sido concedidos direitos de acesso, conforme especificado no § 164.308(a)(4). | Permita o acesso aos sistemas de informações eletrônicas somente àqueles com direitos de acesso, revisando periodicamente os direitos de acesso dos usuários e certificando-os. |
| 45 CFR 160.310(a) | Uma entidade coberta ou associado comercial deve manter tais registros e enviar tais relatórios de conformidade, no prazo e da maneira e contendo tais informações, conforme o Secretário determinar necessário para permitir que o Secretário verifique se a entidade coberta ou o associado comercial cumpriu ou está cumprindo as disposições de simplificação administrativa aplicáveis. | Atenda aos requisitos de conformidade com um sistema de relatórios automatizado que ajuda a obter os dados necessários para conformidade de auditoria e torna esses dados exportáveis. Exporte facilmente esses relatórios em vários formatos, como HTML, CSV, PDF e XLS. |
Navegação pela conformidade com a HIPAA
Proteger a ePHI e garantir a integridade e a confidencialidade dos dados dos pacientes é o resultado final da conformidade com os requisitos da HIPAA e envolve muitos processos e etapas preparatórias. Veja a seguir uma lista de verificação que você pode seguir para preparar sua organização para a conformidade com a HIPAA:
- Implementar proteções administrativas Aplique políticas e procedimentos para proteger os dados dos pacientes. Realize uma avaliação de riscos e garanta que as vulnerabilidades sejam mitigadas imediatamente.
- Aplicar proteções técnicas Reveja regularmente os direitos de acesso dos usuários e garanta que eles tenham apenas os privilégios necessários para desempenhar suas funções.
- Revisões e auditorias periódicas Reveja com frequência o acesso dos usuários aos dados dos pacientes para verificar se há acesso não autorizado ou violações.
Benefícios do uso do ADManager Plus para conformidade com a HIPAA
Revisões de acesso simplificadas
Analise regularmente o acesso dos usuários aos dados dos pacientes e retire todos os direitos excessivos com campanhas de certificação de acesso.
Relatórios abrangentes
Gere relatórios abrangentes sobre as tentativas de login dos usuários, senhas e muito mais, e gerencie-os em tempo real.
Conformidade de auditoria rápida
Atenda rapidamente aos requisitos de auditoria exportando relatórios em formatos como PDF, CSV, XLSX e outros.
Relatórios automatizados
Programe e gere automaticamente relatórios de conformidade com a HIPAA no momento desejado e envie-os aos membros do comitê de auditoria instantaneamente.
Implementação perfeita de políticas
Implemente políticas como controle de acesso baseado em funções, o princípio do privilégio mínimo e outras para proteger os dados dos pacientes.
Outros recursos
Relatórios de usuários do Active Directory
Relatórios exaustivos sobre usuários e atributos de usuários do Active Directory. Gere relatórios sobre a atividade dos usuários em seu Active Directory. Execute ações de gestão de usuários diretamente da interface do relatório!
Relatórios de conformidade do Active Directory
Relatórios do Active Directory para ajudar você a manter a conformidade com leis regulatórias governamentais como SOX, HIPAA, GLBA, PCI, USA PATRIOT... e muito mais! Torne sua organização perfeita em termos de conformidade!
Gestão do Active Directory
Facilite e alivie suas tarefas diárias de gestão do Active Directory com os recursos de gestão de AD do ADManager Plus. Crie, modifique e exclua usuários com apenas alguns cliques!
Gestão de serviços de terminal
Configure os atributos dos Serviços de terminal do Active Directory a partir de uma interface muito mais simples do que as ferramentas nativas do AD. Exerça controle total sobre os técnicos que acessam os computadores de outros usuários do domínio.
Limpeza do Active Directory
Livre-se dos objetos inativos, obsoletos e indesejados em seu Active Directory para torná-lo mais seguro e eficiente... com a ajuda das capacidades de limpeza do AD do ADManager Plus.
Automação do Active Directory
Uma automação completa de tarefas críticas do AD, como provisionamento de usuários, limpeza de usuários inativos, etc. Também permite sequenciar e executar tarefas de acompanhamento e combina com o workflow para oferecer uma automação controlada brilhante.
