Não existe certificação HIPAA: 4 mitos sobre provedores de hospedagem

Ron Shoop, vice-presidente sênior, gerente nacional de vendas e alianças estratégicas, Medical Web Experts

À medida que mais médicos integram seus prontuários eletrônicos de pacientes com portais de terceiros, eles buscam esclarecimentos sobre diversas questões para se manterem dentro dos limites das diversas regulamentações e obterem a certificação de Uso Significativo. Pode ser difícil diferenciar fatos de equívocos, portanto, vamos esclarecer e dissipar 4 mitos relacionados especificamente a HIPAA 'certificação' entre provedores de hospedagem.

Mito nº 1: Meu provedor de hospedagem atual ou futuro é certificado pela HIPAA.
Facto: Não existe certificação HIPAA para nenhuma organização, empresa de hospedagem ou provedor. Existem diretrizes, e há certificações que podem incluir algumas ou todas as diretrizes estabelecidas pela HIPAA. Portanto, é impossível para uma empresa de hospedagem, fornecedor de portal do paciente ou outro desenvolvedor de TI em saúde obter a certificação HIPAA. (Uma empresa de hospedagem pode, no entanto, reconhecer o que é HIPAA e declarar que...) aderir a essas regulamentações em suas próprias práticas comerciais ou em uma oferta de produto específica – o que atualmente está sendo feito com algumas empresas de hospedagem.)

Mito nº 2: Meu provedor de hospedagem atual ou futuro é certificado SSAE16.
Facto: No mundo da hospedagem, existe um padrão de auditoria chamado SSAE16 (antigo SAS70). É importante entender que se trata de um padrão de auditoria, ou seja, um guia usado para a certificação do padrão. Portanto, não existe "certificação SSAE16".

No entanto, você pode concluir um contrato de certificação SSAE16 e receber diferentes níveis de relatórios. Esses relatórios são voltados para organizações que oferecem serviços terceirizados que podem afetar as demonstrações financeiras de uma empresa que os utiliza. Organizações que lidam com dados financeiros de clientes recebem um relatório SSAE16/SOC 1. Os provedores de soluções de infraestrutura de TI como serviço (IaaS) – como a maioria das empresas de hospedagem – são auditados de acordo com a seção 101 da AT dos padrões profissionais do AICPA e emitem relatórios SOC 2 e SOC 3. As diretrizes estabelecidas no SSAE16 geralmente abrangem as diretrizes de padrões como HIPAA e PCI.

Mito nº 3: a HIPAA geralmente se concentra em como as empresas (e especialmente os provedores de saúde) lidam com as informações dos pacientes.
Facto: Na maioria dos casos, as empresas de hospedagem não "manipulam" dados. Portanto, geralmente é uma situação de baixo risco em comparação com a forma como o software "transmite" dados ou como as "entidades cobertas" (organizações de saúde, pagadores, fornecedores de EMR e portais de pacientes, etc.) controlam o acesso aos dados. Existem algumas "regras" específicas que podem ser interpretadas como regras que uma organização de hospedagem típica precisaria seguir para atender Diretrizes da HIPAA. No entanto, é responsabilidade da organização de saúde implementar as melhores práticas para garantir que os dados sejam mantidos seguros do início ao fim.

Mito nº 4: a HIPAA tem requisitos mínimos de hardware de servidor.
Facto: As diretrizes da HIPAA não fornecem nem mencionam requisitos específicos de hardware, como o uso de firewalls ou servidores "certificados", como sugerem alguns especialistas do setor. Você certamente pode receber conselhos de fornecedores terceirizados, mas "caveat emptor" (que o comprador tome cuidado)!

Aqui estão alguns recursos adicionais da HIPAA:

• Resumo da Regra de privacidade do HIPAA
• Diretrizes de configuração compatíveis com HIPAA para segurança da informação em um ambiente de centro médico
• Programas e políticas de certificação ONC-OTCB
• Compreendendo a conformidade com o SSAE16

Sobre Ron Shoop:

A paixão de Ron por portais de pacientes nasceu no outono de 2010, após quase 20 anos como Executivo de Finanças e Contabilidade. Quando um cliente em potencial lhe contou pela primeira vez sobre o mundo dos portais de pacientes e da telemedicina, ele imediatamente entendeu. Ron realizou uma extensa pesquisa sobre o assunto – para ver quem eram os players do mercado, em que estágio haviam desenvolvido suas soluções e para entender os desafios. Logo, ele conseguiu um cargo em uma empresa líder em telemedicina como Vice-Presidente Sênior, apresentando soluções de Teletriagem e Monitoramento Remoto de Pacientes (RPM) para empresas autofinanciadas, divisões estaduais do Medicaid e hospitais. Agora, ele vive sua paixão todos os dias na MWE, fornecendo portais de pacientes e soluções de telemedicina para clientes em potencial. Ron é Vice-presidente sênior, gerente nacional de vendas e alianças estratégicas, Medical Web Experts.