Este guia explica checklist de conformidade HIPAA na prática, com foco em decisões de analytics que respeitam a privacidade.

Um guia prático de checklist de conformidade HIPAA

A conformidade com HIPAA é mais ampla do que a análise de sites, mas a análise é agora uma das áreas que as organizações de saúde não podem ignorar. Páginas de consultas, portais de pacientes, pesquisas de sintomas, diretórios de provedores e pixels de anúncios podem revelar o contexto de saúde. Se essas informações estiverem ligadas a um indivíduo, podem tornar-se informações de saúde protegidas.

Advertência importante para 2024: HHS observa que um tribunal federal anulou parte do boletim de tecnologia de rastreamento do OCR aplicado à teoria de que um endereço IP mais uma visita a certas páginas da web públicas não autenticadas acionam automaticamente obrigações HIPAA. O boletim ainda é importante, mas as equipes devem distinguir páginas de educação pública não autenticadas de portais, agendamentos, entradas, pagamentos, páginas autenticadas e fluxos de trabalho que divulgam informações de saúde.

Esta lista de verificação não é um aconselhamento jurídico, mas oferece às equipes de saúde um caminho prático de revisão antes de implantar análises, pixels, widgets de bate-papo ou ferramentas de repetição de sessão.

Saiba se HIPAA se aplica

HIPAA se aplica a entidades cobertas e parceiros de negócios. As entidades cobertas incluem muitos prestadores de cuidados de saúde, planos de saúde e câmaras de compensação de cuidados de saúde. Parceiros de negócios são fornecedores que criam, recebem, mantêm ou transmitem informações de saúde protegidas em nome de uma entidade coberta.

O HHS explica que a Regra de Segurança exige salvaguardas administrativas, físicas e técnicas razoáveis e apropriadas para informações de saúde protegidas eletronicamente (Resumo da Regra de Segurança do HHS). Os parceiros comerciais podem ser diretamente responsáveis por muitas obrigações HIPAA.

Se a sua organização não for uma entidade coberta ou um parceiro comercial, outras leis de privacidade ainda poderão ser aplicadas. Não use "not HIPAA" como atalho para "sem risco de privacidade".

Revise cuidadosamente as tecnologias de rastreamento

O HHS OCR emitiu orientações sobre tecnologias de rastreamento on-line, explicando que as regras HIPAA se aplicam quando entidades regulamentadas coletam ou divulgam PHI por meio de tecnologias de rastreamento. A orientação abrange pixels, cookies, web beacons, scripts de rastreamento e ferramentas semelhantes (orientação sobre tecnologias de rastreamento on-line HHS).

Para sites de saúde, o risco não se limita aos portais de pacientes logados. As páginas públicas devem ser classificadas com cuidado: uma página genérica de horário de visita é diferente de um fluxo de agendamento, de uma interação de busca entre prestador, de um formulário de admissão, de uma página de pagamento ou de uma página onde o usuário envia informações sobre atendimento. O contexto e as informações divulgadas são importantes.

Antes de implantar análises, pergunte:

• A ferramenta recebe URLs completo ou títulos de páginas que revelam tópicos de saúde?
• Ele coleta endereço IP, dados de dispositivo ou identificadores?
• Ele define cookies ou conecta visitas entre sessões?
• Ele recebe envios de formulários, termos de pesquisa ou metadados de compromissos?
• O fornecedor está disposto a assinar um contrato de parceria comercial quando necessário?
• Os dados alimentam publicidade, retargeting ou públicos semelhantes?

Caso o fornecedor não assine um BAA e PHI possa ser divulgado, não envie os dados.

Salvaguardas administrativas

Atribua responsabilidade pela privacidade e segurança. Mantenha políticas de acesso, treinamento de força de trabalho, aprovação de fornecedores, resposta a incidentes e retenção de dados. Mantenha um inventário atualizado dos sistemas que armazenam ou transmitem ePHI, incluindo ferramentas analíticas e de marketing.

Realizar análise de risco e gerenciamento de risco. Documente ameaças, probabilidade, impacto e etapas de mitigação. O rastreamento de sites deve fazer parte dessa análise, e não uma reflexão tardia pertencente apenas ao marketing.

Salvaguardas físicas e técnicas

Limite o acesso a sistemas e instalações. Use acesso baseado em função, autenticação multifator, registros de auditoria, criptografia em trânsito, criptografia em repouso quando apropriado e processos de backup seguros.

Especificamente para análises, use propriedades de eventos permitidas. Não permita que os desenvolvedores enviem campos de formulário arbitrários ou parâmetros URL para análises. Retire dados pessoais de URLs. Evite a repetição de sessões em páginas de saúde, a menos que seja claramente justificado e configurado para mascarar conteúdo confidencial.

Gestão de parceiros de negócios

Mantenha BAAs com fornecedores que lidam com PHI em seu nome. Uma política de privacidade ou termos SaaS padrão não substituem um BAA. Revise subcontratados, suporte ao acesso, localização de dados, deveres de notificação de violação e direitos de exclusão.

Se um fornecedor disser que seu produto está “pronto para HIPAA”, verifique o que isso significa. Assina BAAs? Qual nível de produto? Quais recursos são excluídos? As integrações de publicidade estão desativadas? Os registros estão cobertos?

Prontidão para violação

A regra de notificação de violação HIPAA exige notificações após uma violação de PHI não segura, sujeita a avaliação específica e regras de tempo. O HHS resume essas obrigações em suas [orientações sobre regras de notificação de violação] (https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html).

Tenha um manual antes que ocorra um incidente. Deve abranger detecção, contenção, coordenação de fornecedores, revisão legal, notificação de pacientes, notificação de reguladores, notificação de mídia quando necessário e documentação.

Análise de privacidade em primeiro lugar para cuidados de saúde

Os sites de saúde geralmente precisam de métricas operacionais básicas: visitas à página, referências, desistência do funil de agendamento, páginas de destino da campanha e taxas de conclusão de formulários. Esses objetivos não exigem pixels de retargeting ou perfis comportamentais persistentes.

Uma configuração de análise que prioriza a privacidade deve evitar cookies sempre que possível, minimizar identificadores, excluir URLs ou parâmetros confidenciais, agregar relatórios, usar retenção curta e manter os dados separados dos sistemas de publicidade. Para entidades regulamentadas, a postura do fornecedor HIPAA e os BAAs ainda são importantes.

A questão analítica mais segura na área da saúde não é “Quanto podemos rastrear?” É "Qual é a medida mínima que precisamos para melhorar o acesso do paciente sem expor PHI?"

Padrão de implementação seguro para análise

Uma configuração de análise de saúde mais segura começa com a classificação da página. Marque as páginas como públicas de baixo risco, contexto de saúde pública, paciente autenticado, pagamento ou suporte. Aplique regras de rastreamento diferentes para cada classe. Por exemplo, uma página inicial genérica pode permitir análises agregadas, enquanto páginas de compromissos, sintomas, portais e pagamentos podem exigir controles mais rígidos ou nenhuma análise de terceiros.

Em seguida, crie uma lista de permissões para nomes e propriedades de eventos. Os desenvolvedores não devem poder enviar campos de formulário arbitrários para análises. Remova os parâmetros de consulta que contêm tokens, e-mails, IDs de compromissos ou termos de pesquisa. Mascare ou suprima títulos de páginas quando eles revelarem condições sensíveis.

Por fim, revise os fornecedores anualmente e após grandes alterações no produto. Um BAA assinado há dois anos não garante que um recurso, subprocessador ou complemento de IA recém-habilitado se ajuste ao seu modelo de risco HIPAA.

Controles de análise de saúde

Para análises de saúde, separe a medição da educação pública dos fluxos de trabalho de agendamento, portal, entrada, pagamento, específicos de condição e autenticados. Mantenha as cargas analíticas livres de nomes, e-mails, números de pacientes ou registros, detalhes de consultas, texto de formulário, strings de consulta confidenciais e identificadores que possam vincular um visitante ao atendimento.

Se um fornecedor receber PHI, confirme a função HIPAA, BAA, controles de acesso, retenção, subprocessadores e fluxo de trabalho de violação antes que a etiqueta seja enviada. Se um fornecedor não oferecer suporte à função HIPAA necessária, remova o fluxo de dados em vez de tentar enterrá-lo em um aviso.