13 coisas que todo MSP deve saber sobre a HIPAA

Junho 1, 2017
Doug Barney
HIPAA, Provedor de Serviços Gerenciados (MSP)

Conhecer a HIPAA não é importante apenas para o trabalho na área de saúde - é um requisito absoluto.

É necessário comprovar que está em conformidade com a HIPAA. Um MSP não pode realizar nenhum trabalho relacionado à HIPAA sem estar em conformidade com a lei. A boa notícia é que, uma vez certificado, você poderá concorrer a contratos relacionados à HIPAA e, por possuir as credenciais e o conhecimento necessários, poderá cobrar um preço mais alto por seus serviços.

1. As penalidades são graves.

Todas as grandes instituições de saúde conhecem a HIPAA. Elas precisam conhecer. São elas as mais afetadas pelas normas e as mais propensas a serem submetidas a auditorias frequentes. As instituições menores nem sempre estão preparadas para os riscos. Mas as penalidades são mais do que graves.

Aqui estão apenas algumas das multas aplicadas nos Estados Unidos nos últimos anos:

  • A Affinity Health Plan pagou US$ 1,2 milhão por não ter apagado os discos rígidos de suas fotocopiadoras de última geração antes de devolvê-las à empresa que as havia alugado.
  • A WellPoint não protegeu um banco de dados de saúde on-line e pagou US$ 1,7 milhão.
  • O Massachusetts Eye and Ear Infirmary não conseguiu criptografar os laptops dos médicos e recebeu uma multa de US$ 1,5 milhão.
  • A Phoenix Cardiac Surgery publicou a consulta de um paciente em um calendário on-line e pagou US$ 100.000.
  • Um Walgreens em Indiana violou a privacidade de uma única paciente e pagou a ela US$ 1,44 milhão.
  • Um hospício com sede em Idaho perdeu um laptop devido a roubo. A multa foi de US$ 50.000.
  • Uma clínica médica em Phoenix enviou dados de pacientes por e-mail inseguro e foi multada em US$ 100.000.
  • Um consultório pediátrico em Massachusetts perdeu um pen drive e pagou uma multa de US$ 150.000
  • Outro laptop roubado em Boston fez com que o médico pagasse US$ 1 milhão.
  • A perda de um disco de backup custou US$ 1,7 milhão ao Departamento de Saúde do Estado do Alasca.

Isso é apenas uma amostra da superfície. O HSS mantém uma extensa lista de violações.

2. A criptografia é sua amiga.

A HIPAA exige que todos os dados de informações de saúde protegidas (PHI) transmitidos eletronicamente sejam protegidos, o que é melhor garantido por meio de uma criptografia robusta. Na verdade, se os dados estiverem fortemente criptografados, o MSP e o cliente ficam praticamente imunes a penalidades caso haja uma violação desses dados ou se um dispositivo perdido já estiver criptografado.

3. Os MSPs são responsáveis quando os clientes entram em conflito com a HIPAA.

Os clientes são conhecidos como entidades cobertas e, por definição, são responsáveis por estar em conformidade com todos os aspectos da HIPAA. Os MSPs que trabalham com o setor de saúde são chamados de Business Associates e são tão responsáveis quanto o próprio cliente.

4. Seus clientes potenciais provavelmente não se preocupam com a HIPAA tanto quanto você.

Os grandes hospitais e outras grandes organizações de saúde levam a sério a HIPAA. E são eles que têm mais recursos para tratar a HIPAA com seriedade, investir na tecnologia necessária para garantir a conformidade e treinar seus funcionários. Infelizmente, a maioria dos pequenos consultórios não dá muita importância à HIPAA — eles nunca foram auditados e não esperam que isso aconteça.

Sua tarefa é convencê-los do contrário. Eles precisam saber que uma multa prevista pela HIPAA pode ter consequências financeiras devastadoras e destruir a confiança entre eles e seus pacientes — o que pode realmente arruinar o negócio. As organizações de saúde de menor porte são as que mais precisam dos serviços de MSP em conformidade com a HIPAA, uma vez que não mantêm uma relação tão estreita com grandes seguradoras e hospitais.

5. A avaliação de segurança é o primeiro grande passo em um projeto de conformidade com a HIPAA para um MSP.

Em alguns casos, um MSP pode realizar uma avaliação básica de segurança para convencer um cliente potencial do setor de saúde de que a conformidade com a HIPAA é realmente importante e de que ele precisa de ajuda externa para alcançá-la. Assim que o cliente estiver convencido, uma avaliação de segurança aprofundada definirá o que precisa ser alterado imediatamente, quais novas tecnologias devem ser implementadas e como os serviços de MSP, como RMM e gerenciamento de autenticação e acesso, podem ajudar a alcançar a conformidade com a HIPAA. Com um conjunto de ofertas suficientemente abrangente, você poderá vender Compliance-as-a-Service para o setor de saúde – e, com sorte, para outros setores também.

6. Vale a pena documentar.

As regras da HIPAA exigem que os MSPs, como associados comerciais, documentem as medidas de proteção em vigor para o ePHI. Esses documentos devem ser fornecidos a todos os funcionários e eles devem entender o que significam.

7. Você precisa de um Contrato de Associado Comercial (BAA) da HIPAA.

A Regra Final do HIPAA Omnibus exigia que os Business Associates obtivessem BAAs com seus clientes, a entidade coberta. Isso basicamente diz que o BA promete ficar em conformidade com todos os regulamentos da HIPAA e manter o ePHI seguro.

8. A criptografia é um aspecto confuso das regras, mas, de qualquer forma, é preciso ter cautela.

A criptografia é uma área em que a HIPAA não é totalmente explícita. Em vez disso, o HHS fala sobre fazer "o que é razoável e apropriado" para proteger a ePHI, e depois diz:

Ao atender aos padrões que contêm especificações de implementação endereçáveis, uma entidade coberta fará uma das seguintes ações para cada especificação endereçável:

  • Implementar as especificações de implementação endereçáveis
  • Implementar uma ou mais medidas de segurança alternativas para atingir o mesmo objetivo
  • Não implementar uma especificação de implementação endereçável ou uma alternativa

Basicamente, isso significa que o profissional de saúde deve encontrar uma maneira eficaz de proteger os dados. Um dos maiores problemas são os dados em trânsito. Nesse caso, a única maneira de saber se os dados estão protegidos é criptografá-los fortemente. Portanto, embora a HIPAA não exija especificamente a criptografia, ela é a única maneira razoável e viável de atender às exigências da HIPAA de que o ePHI esteja sempre protegido.

9. Por que você quer a criptografia de qualquer maneira.

É provável que a sua avaliação de riscos, mesmo que seja uma avaliação em estágio inicial, exija criptografia. Isso a torna uma necessidade. A criptografia pode mantê-lo longe de problemas. Muitas multas da HIPAA são devidas a dispositivos perdidos ou roubados que contêm ePHI. A boa notícia é que não há multas para dispositivos perdidos ou roubados se o dispositivo for criptografado - você nem precisa informar o ocorrido.

10. A avaliação de riscos é sua amiga.

Essa é outra grande ideia codificada pela HIPAA Omnibus Ruling. A avaliação é exigida para entidades cobertas e associados comerciais.

A avaliação abrange:

  • Políticas de segurança relacionadas à HIPAA
  • Uma análise das vulnerabilidades, riscos e ameaças ao sistema
  • Um plano para proteger e resguardar o ePHI, não importa onde ele esteja

11. É necessário dispor de um plano de resposta a incidentes de segurança (SIRP).

Além disso, como requisito obrigatório da HIPAA, o SIRP detalha e documenta o que deve ser feito em caso de violação de segurança ou outros incidentes de segurança. Parte disso envolve o rastreamento de eventos de segurança, com o objetivo de comprovar que não ocorreram explorações bem-sucedidas. No caso de um ataque ou violação (mesmo que seja apenas uma tentativa), você deve documentar o que aconteceu e a gravidade do incidente. Organizações com mais de 500 funcionários, pacientes ou parceiros devem relatar o incidente ao HHS.

12. Um MSP é a melhor defesa em caso de auditoria.

Uma auditoria é quando uma organização de saúde é examinada para garantir que está em conformidade. O objetivo é definir o estado da organização e ver quais são as medidas necessárias para melhorar o desempenho. Essas auditorias devem ser anuais. A maioria das organizações de saúde, mesmo as grandes, geralmente não está equipada para lidar com uma auditoria, com toda a sua complexidade.

Um MSP está mais bem preparado para uma auditoria, pois já implementou todas as medidas de segurança necessárias. O MSP dispõe de todos os registros de eventos e relatórios sobre quem acessou o quê e quando, por meio do Monitoramento e Gerenciamento Remoto (RMM).

13. As proteções e os controles de acesso exigem uma nova abordagem para a autenticação e o gerenciamento de acesso.

Um dos maiores problemas, na verdade, o ponto crucial da questão da HIPAA, é garantir que somente as pessoas com a devida autoridade possam acessar o ePHI e os sistemas que o contêm. As políticas e os procedimentos de gerenciamento de acesso a informações são fundamentais para bloquear o acesso não autorizado a ePHI e a outros dados de saúde.

Faça o download do ebook "Guia do profissional de TI para minimizar o risco de conformidade na área de saúde" para descobrir as funcionalidades essenciais para um sistema de gerenciamento de TI que ajudará a garantir que suas necessidades de conformidade sejam atendidas.

Sobre o autor
Doug Barney foi o editor fundador da Redmond Magazine, Redmond Channel Partner, Redmond Developer News e Virtualization Review. Doug também atuou como editor executivo da Network World, editor-chefe da AmigaWorld e editor-chefe da Network Computing.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Autotask Live 2026: Estabelecendo as bases para operações de TI impulsionadas por IA

Autotask Live 2026 começou com uma mensagem clara para os MSPs e as equipes de TI: a IA está transformando as operações de TI, mas

Leia a postagem do blog

Por que administrar sua MSP parece mais difícil em 2026 (e o que fazer)

Conquistar um novo cliente hoje em dia pode parecer muito com tentar conquistar alguém que não tem falta de pretendentes. Porque

Leia a postagem do blog

Conformidade com a HIPAA para MSPs: o que está mudando e o que você deve fazer agora

A HIPAA (Lei de Portabilidade e Responsabilidade dos Seguros de Saúde) é uma das estruturas de conformidade mais conhecidas nos Estados Unidos e

Leia a postagem do blog