Planos de backup e o regulamento HIPAA
No post de hoje vamos discutir como as leis americanas tratam a proteção dos dados médicos do paciente. Conforme regulamentado pela Lei de Portabilidade e Responsabilidade do Seguro de Saúde dos Estados Unidos (HIPAA – Health Insurance Portability and Accountability Act), o backup de dados e a proteção dos mesmos são obrigatórios.
Princípios Básicos da HIPAA
A HIPAA é uma legislação que estabelece e exige padrões de segurança e privacidade das organizações de saúde como farmácias, hospitais e planos de saúde sobre os dados dos pacientes. Essa lei ainda sofreu uma alteração afim de incluir o HITECH Act (The Health Information Technology for Economic and Clinical Health), um requisito para aplicar a proteção necessária no armazenamento do backup e transferência desses dados.
A HIPAA tem dois grandes grupos de regras, Regras de Privacidade da HIPAA que garantem a proteção da confidencialidade dos dados médicos do paciente e as Regras de segurança da HIPAA que garantem segurança, confidencialidade e disponibilidade dos dados médicos.
Regras de Privacidade da HIPAA
Protegem “informações de saúde pessoais ou protegidas” ou PHI, com especial atenção aos dados geridos ou enviados por organizações por meio de e-mail. O objetivo das Regras de Privacidade da HIPAA é detectar e determinar quaisquer circunstâncias em que a PHI possa ser usada ou divulgada sem o conhecimento dos pacientes. As organizações também devem poder fornecer acesso à PHI, bem como dados relacionados à divulgação de dados pessoais, a pedido de terceiros ou organizações ao paciente, ou seu representante.
Regras de Segurança da HIPAA
Também estabelecem uma série de princípios básicos para as organizações, em particular para garantir a confidencialidade, integridade e disponibilidade de todas as PHI que são criadas, recebidas, gerenciadas ou transferidas pela organização. Além disso, esta informação deve ser protegida de ameaças de segurança e integridade, uso inadmissível ou divulgação. O backup é um meio de proteção contra tais riscos.
Tanto instituições que mantenham dados de usuários quanto parceiros de negócios devem observar os regulamentos legislativos. Por exemplo se utiliza-se armazenamento em nuvem, os provedores de serviços em nuvem são considerados como parceiros.
Backup de dados PHI para a Nuvem
O backup de informações de saúde confidenciais para uma nuvem compatível com padrões HIPAA evita duras penas caso essa informação seja perdida.
Para ser compatível com HIPAA, o provedor deve assinar um contrato especial de parceria comercial, ele inclui a necessidade de notificar vazamentos de dados e proteção adicional de informações. É importante saber que nem todos os fornecedores de nuvem suportam os regulamentos da HIPAA, a HF é parceira e utiliza a estrutura Microsoft Azure Storage, um dos serviços que cumprem os requisitos.
O Backup está em conformidade?
A conformidade de um plano de backup não trata apenas de transferir arquivos para um armazenamento local ou em nuvem regulamentado, significa implementar uma série de outros procedimentos necessários.
Backup em vários locais
A melhor maneira de garantir que seus dados locais sejam seguros e protegidos contra problemas inesperados (inundações, incêndios, ransomware) é fazer o mesmo backup em vários locais, uma das formas mais eficazes é seguir a Estratégia de Backup 3-2-1.
Criptografar os dados
Os dados PHI precisam ser criptografados e, se possível, reciclados. Todos os provedores de armazenamento compatíveis com HIPAA suportam criptografia server-side, porém lembre-se, melhor que criptografia do lado do servidor (server-side), é a criptografia do lado do cliente (client-side).
Nossa solução de backup está pronta para os padrões HIPAA, entre em contato conosco e conheça mais.
Referências
- HIPAA Compliance Simplified – Sumo Logic. Acessado em 21/09/2017.
- O que é HIPAA e de onde ele vem? – HsInfo. Acessado em 21/09/2017.