Programas de Gestão de Riscos: O que Significa a Última Onda de Multas da HIPAA

O Departamento de Saúde e Serviços Humanos (HHS) atingiu duramente os hospitais e outras redes de prestação de serviços de saúde com uma onda de multas pesadas, com foco na segurança gestão de risco Problemas entre julho e outubro. Será este o fim do tsunami de multas? Não aposte nisso. No exemplo mais recente, o St. Joseph Health (SJH) concordou em resolver potenciais violações das Regras de Privacidade e Segurança da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA), após relatos de que arquivos contendo informações de saúde protegidas eletronicamente (ePHI) estavam acessível publicamente por meio de mecanismos de busca na Internet por mais de um ano, terminando em 2012. O SJH, um sistema integrado de prestação de cuidados de saúde católicos sem fins lucrativos patrocinado pelo Ministério da Saúde de St. Joseph, pagará um valor de liquidação de US$ 2.14 milhões e adotará um acordo abrangente ação corretiva personalizado.

Identificar o problema não é suficiente

“As entidades não devem apenas conduzir uma análise de risco abrangente, mas também avaliar e abordar os riscos de segurança potenciais ao implementar mudanças empresariais que impactam o ePHI”, disse a diretora do Escritório de Direitos Civis (OCR) do HHS, Jocelyn Samuels, em uma entrevista. Comunicado de imprensa do HHS de 18 de outubro. “Os requisitos específicos da Regra de Segurança HIPAA para lidar com mudanças ambientais e operacionais são essenciais para a proteção das informações do paciente.” Claramente, o HHS e o OCR estão intensificando a fiscalização em uma série de proteção de documentos e questões de segurança de dados eletrônicos. Provavelmente é hora de alguns hospitais intensificarem seu jogo. Da mesma forma, medicamentos e fabricantes de dispositivos médicos enfrentam alguns dos mesmos desafios em termos de gerenciamento de dados, então não é difícil imaginar que o OCR também volte sua atenção para eles um dia desses. É importante observar que nenhum fornecedor (ou "parceiro comercial") pode se declarar com precisão como "em conformidade com a HIPAA". No entanto, aqueles que demonstram compreensão dos requisitos da lei devem ser capazes de garantir aos fabricantes de medicamentos e dispositivos que estão em boas mãos. Voltando à atividade mais recente do OCR, além do acordo de US$ 2.14 milhões, a SJH deve implementar um ação corretiva plano que exige que a organização conduza uma análise de risco em toda a empresa e desenvolva e implemente uma gestão de risco plano. Uma vez concluído, a rede hospitalar deve revisar suas políticas e procedimentos e treinar sua equipe sobre essas políticas e procedimentos. O Acordo de Resolução e o Plano de Ação Corretiva podem ser encontrados no Site OCR.

O HHS teve um verão agitado

O HHS também esteve ativo neste verão. Em julho, o Centro Médico da Universidade do Mississippi (UMMC) concordou em resolver diversas supostas violações da HIPAA. A investigação do OCR sobre o UMMC foi desencadeada por uma violação de informações eletrônicas protegidas e inseguras que potencialmente expôs aproximadamente 10,000 pessoas. Durante a investigação, o OCR concluiu que o UMMC estava ciente de vários riscos e vulnerabilidades em seus sistemas desde abril de 2005, mas sem nenhuma violação significativa da HIPAA. gestão de risco A atividade ocorreu até depois da violação, em grande parte devido a deficiências organizacionais e supervisão institucional insuficiente. Esse tipo de ação, ou a falta dela, não leva o OCR a pensar que se está agindo de boa-fé. A UMMC foi instruída a pagar um valor de resolução de US$ 2.76 milhões e adotar uma plano de ação corretiva para ajudar a garantir a conformidade futura com as Regras de Privacidade, Segurança e Notificação de Violações da HIPAA. Também em julho, a Oregon Health & Science University (OHSU) resolveu potenciais violações da HIPAA. O OCR relatou que encontrou problemas generalizados e diversos na OHSU, que serão resolvidos por meio de um plano de ação corretiva abrangente de três anos. O acordo inclui um pagamento monetário da OHSU ao Departamento no valor de US$ 2,700,000. A investigação do OCR começou depois que a OHSU apresentou vários relatórios de violação que afetaram milhares de pessoas, incluindo dois relatórios envolvendo laptops não criptografados e outra grande violação envolvendo um pen drive não criptografado roubado. Como se as multas não bastassem, os problemas da OSHU foram amplamente divulgados na cobertura da imprensa local e nacional. A investigação do OCR descobriu evidências de vulnerabilidades generalizadas, incluindo o armazenamento de ePHI de mais de 3,000 indivíduos em um servidor baseado em nuvem Sem um contrato de parceria comercial. O OCR constatou um risco significativo de danos a 1,361 desses indivíduos devido à natureza sensível de seus diagnósticos. A OHSU realizou análises de risco em 2003, 2005, 2006, 2008, 2010 e 2013, mas concluiu que essas análises não abrangiam todas as informações de saúde protegidas (ePHI) da empresa, conforme exigido pela Norma de Segurança. Embora as análises tenham identificado vulnerabilidades e riscos às informações de saúde protegidas (ePHI) localizadas em muitas áreas da organização, a OHSU não agiu em tempo hábil para implementar medidas que abordassem esses riscos e vulnerabilidades documentados em um nível razoável e apropriado.

As empresas de ciências biológicas serão as próximas?

Em outras palavras, identificar um problema potencial nunca é suficiente. O HHS, assim como a Food and Drug Administration, sempre espera ver um problema claro Ação Corretiva e Preventiva (CAPA)) plano com documentação clara que demonstre que a organização de ciências biológicas ou de saúde tem um controle rígido sobre a segurança de eData. De acordo com o OCR, a OHSU também carecia de políticas e procedimentos para prevenir, detectar, conter e corrigir violações de segurança e não implementou um mecanismo para criptografar e descriptografar ePHI ou uma medida alternativa equivalente para ePHI mantida em suas estações de trabalho, apesar de ter identificado essa falta de criptografia como um risco. Como mencionado anteriormente, o OCR provavelmente se concentrará um dia em dispositivos médicos e fabricantes de produtos farmacêuticos. Aprenda como implementar um sistema automatizado Sistema de gerenciamento de qualidade como a AssurX pode adicionar uma camada adicional de proteção contra uma potencial multa multimilionária contra sua empresa.

Melhores práticas para desenvolver e gerenciar um processo CAPA automatizado que melhore seus produtos e esteja em conformidade com as regulamentações do setor.