“Vamos falar sobre conformidade”: Privacidade na área da saúde e segurança cibernética

Nota do editor: A PYA e a Foley & Lardner organizaram a^6ªConferência Virtual Anual «Let’s Talk Compliance» (Vamos falar sobre conformidade), com duração de dois dias, em 18 e 19 de janeiro de 2024. Os participantes do painel incluíram advogados da Foley & Lardner e especialistas da PYA. O evento foi organizado pela sócia da Foley, Jana Kolarik e pela diretora administrativa do escritório da PYA em Tampa, Angie Caldwell. Abaixo estão algumas das principais conclusões da Sessão #2. Entre em contacto connosco se tiver alguma dúvida.

Em janeiro de 2024, a sócia da Foley, Jennifer Hennessy, e o diretor da PYA,Barry Mathis, abordaram temas importantes sobre privacidade e segurança cibernética na área da saúde, incluindo os seguintes, numa sessão que fez parte da^6.ªsérie anual «Let’s Talk Compliance» (Vamos falar sobre conformidade). A gravação e os slides desta sessão (e de outras sessões que fizeram parte da série) podem ser encontradosaqui.

• Desafios e tendências relativos ao uso da inteligência artificial (IA) no setor de saúde,
• Tendências recentes em cibersegurança na área da saúde, incluindo uma discussão sobre atividades relacionadas à saúde na dark web,
• Uma atualização sobre o direito dos pacientes de aceder às suas próprias informações, à luz da Iniciativa de Direito de Acesso da HIPAA.
• Considerações sobre o uso de tecnologias de rastreamento no setor de saúde e
• Outras tendências refletidas nos recentes acordos de investigação do Departamento de Saúde e Serviços Humanos (HHS).

Inteligência Artificial

A IA tornou-se rapidamente um termo comum em muitos setores nos Estados Unidos e no mundo. Há debates acalorados sobre o que é verdadeira IA ou simplesmente algoritmos inteligentes. Neste webinar, a IA é discutida como um impacto na área da saúde e os riscos potenciais que ela pode trazer, à medida que mais e mais pessoas recorrem à IA para obter assistência. A adoção mais ampla da IA poderia economizar aos EUA de 5% a 10%, ou US$ 200 bilhões a US$ 360 bilhões por ano, de acordo comuma pesquisada Universidade de Harvard e da McKinsey & Company. Aqui estão apenas alguns fatos sobre a adoção, conforme apresentados em uma pesquisa da NantHealth :

• 99% dos líderes da área da saúde prevêem economias tangíveis como resultado do investimento em IA.
• 96% afirmam que a IA desempenha um papel crucial nos seus esforços para atingir os objetivos de equidade da organização.
• 39% acreditam que a IA oferece oportunidades para aliviar os encargos administrativos.
• 72% dos líderes da área da saúde confiam na IA para apoiar tarefas não clínicas.

Cibersegurança

Esta parte da sessão discutiu as alterações recentes e previstas na legislação e nas orientações que afetam a cibersegurança dos cuidados de saúde. Algumas dessas alterações incluem o seguinte:

• O HHS irá propor atualizações à Regra de Segurança HIPAA este ano para incluir novos requisitos de cibersegurança, de acordo com o relatório estratégico do HHS sobre Cibersegurança no Setor de Saúde. A Regra de Segurança HIPAA não sofreu revisões substanciais desde 2003.
• Embora ainda estejamos à espera de uma proposta de regulamentação, em 2022, o HHS divulgou um Pedido de Informações solicitando contribuições de entidades e parceiros comerciais abrangidos pela HIPAA sobre como o setor entende e está a implementar o que é definido como “práticas de segurança reconhecidas” nos termos da Lei de Tecnologia da Informação em Saúde para Saúde Económica e Clínica (HITECH). Isto seguiu-se à alteração da Lei HITECH para exigir que o HHS levasse em consideração as «práticas de segurança reconhecidas» das entidades abrangidas e parceiros comerciais que estavam em vigor nos 12 meses anteriores ao determinar multas, resultados de auditorias ou outras medidas para resolver possíveis violações da Regra de Segurança da HIPAA. Consulte o blogue da Foley sobre este tópico para obter mais informações.
• Mathis também discutiu ferramentas emergentes de IA projetadas para causar danos em vez de ajudar, como WormGPT e FraudGPT.

Direito de acesso HIPAA

O HHS tem aplicado vigorosamente a Iniciativa de Direito de Acesso da HIPAA com medidas coercivas nos últimos dois anos. A Regra de Privacidade da HIPAA exige que as entidades abrangidas forneçam aos indivíduos, mediante solicitação, acesso às informações de saúde protegidas (PHI) sobre eles mantidas em um ou mais Conjuntos de Registros Designados, sujeito a exceções limitadas. As entidades geralmente devem responder dentro de trinta (30) dias corridos após a solicitação. A definição de «Conjunto de Registos Designados» é ampla – incluindo registos médicos e de faturação, inscrição em planos de saúde, pagamentos, adjudicação de sinistros e registos de gestão de casos ou médicos, e quaisquer registos utilizados, no todo ou em parte, pela ou para a entidade abrangida para tomar decisões sobre indivíduos.

A maioria dos acordos da Iniciativa de Direito de Acesso da HIPAA envolveu entidades abrangidas pela HIPAA que não responderam em tempo útil, muitas vezes após repetidos pedidos por parte de indivíduos. Nos termos destes acordos, o HHS geralmente impõe uma sanção pecuniária civil, além de um período de monitorização pelo HHS. Isso geralmente inclui a exigência de atualizar políticas e treinar a força de trabalho sobre as políticas, enviar informações ao HHS sobre as solicitações de acesso recebidas pela organização e as respostas, bem como a exigência de que a organização relate por conta própria as falhas no cumprimento das políticas da HIPAA ao HHS.

Tecnologias de rastreamento

As organizações de saúde devem avaliar cuidadosamente o uso de tecnologias de rastreamento nas suas plataformas, incluindo como essas tecnologias são aplicadas e se as informações são partilhadas com terceiros, e, em seguida, avaliar a sua conformidade com os requisitos regulamentares federais e estaduais.

Tendências nas investigações do HHS

A sessão foi encerrada com a discussão das tendências recentes nas investigações da HIPAA do HHS, incluindo a importância de realizar uma avaliação precisa e completa dos riscos potenciais de segurança e vulnerabilidades à confidencialidade, integridade e disponibilidade das PHI eletrónicas, bem como desenvolver um plano de gestão de riscos por escrito para abordar e mitigar os riscos de segurança e vulnerabilidades identificados na análise de riscos.

Entre em contacto com Jennifer ou Barry se tiver alguma dúvida sobre os tópicos abordados nesta sessão do evento anual Let’s Talk Compliance.

Mantenha-se conectado

Para obter mais informações sobre as nossas ideias do «Let’s Talk Compliance», subscreva o nosso blogue e a série de podcasts «Let’s Talk Compliance».

Junte-se à Foley e à PYA para uma receção coorganizada, “Compliance Conversations & Cocktails” (Conversas sobre conformidade e cocktails), no Museu Nacional de Música Afro-Americana, no dia 15 de abril, das 18h às 20h (horário central). Clique aqui para confirmar a sua presença numa noite com comida, música ao vivo, bebidas e ótimas conversas.