Se você trabalha no setor de saúde e lida com informações de saúde protegidas (PHI, sigla do termo em inglês protected health information), sabe que não há como evitar isso.
As PHI precisam ser enviadas, recebidas e armazenadas de forma segura e protegida. Antes de mais nada, elas devem ser tratadas de acordo com as diretrizes de conformidade da HIPAA (Health Insurance Portability and Accountability Act, EUA, 1996).
No setor de saúde, é fundamental entender quais são as regras, como elas se aplicam a você e como cumpri-las.
Seja uma entidade coberta que gera PHI ou um associado comercial que precisa acessá-las, as normas da HIPAA são importantes.
Há muita coisa a ser levada em conta, mas você não deve se preocupar demais com a forma correta de fazer isso.
Antes de entrarmos no problema dos formulários digitais de conformidade com a HIPAA, vamos fazer uma rápida recapitulação de quem é afetado por ele e por quê.
Para quem a HIPAA é relevante?
Dois grupos devem cumprir as normas da HIPAA: entidades cobertas (CEs, sigla em inglês de Covered Entities) e associados comerciais.
O que é uma entidade coberta?
Uma entidade coberta é qualquer organização que coleta, cria ou transmite PHI eletronicamente (também conhecida como “ePHI”). Os subgrupos que se enquadram na categoria de entidades cobertas incluem:
- Prestadores de serviços de saúde: Como médicos, casas de repouso, hospitais ou psicólogos
- Planos de saúde: Qualquer plano individual ou em grupo que ofereça ou pague por serviços de saúde, como empresas de seguro de saúde, organizações de manutenção da saúde, Medicaid e Medicare
- Clearinghouses: organizações que atuam como intermediárias entre os prestadores de serviços de saúde e os pagadores de seguros. As câmaras de compensação de saúde processam as transações de saúde de acordo com os padrões exigidos
O que é um associado comercial?
Um associado comercial é uma organização que tem acesso às PHI conforme contratado por uma entidade coberta.
Exemplos de associados comerciais do setor de saúde são provedores de TI, serviços de hospedagem de e-mail e – acho que você adivinhou – criadores de formulários.
Quando uma entidade coberta permite que um associado comercial dê suporte a suas atividades de assistência médica, o associado comercial precisa assinar um acordo contratual com a entidade coberta. Esse contrato é conhecido como Contrato de Associado Comercial (BAA, sigla do termo em inglês Business Associate Agreement).
Assim como a entidade coberta, o associado comercial precisa aderir aos regulamentos da HIPAA para proteger as PHI. Além disso, ele é obrigado a informar as entidades cobertas no caso de qualquer violação de dados potencial ou real.
Produtos tecnológicos e HIPAA: Uma relação nebulosa
Cada entidade que tem acesso a PHI precisa garantir que as proteções técnicas, físicas e administrativas adequadas estejam em vigor.
No entanto:
- Há uma falta de clareza nos requisitos da HIPAA e uma longa lista de verificação de regras a serem cumpridas
- As normas da HIPAA são comumente atualizadas ou alteradas. Como consequência, as organizações devem acompanhar e atualizar seu plano de conformidade
- Quando lapsos e deslizes causam violações da HIPAA, tanto as entidades cobertas quanto os indivíduos podem enfrentar multas bastante pesadas, mesmo que as PHI não tenham sido violadas. As violações podem resultar em acusações criminais e ações judiciais. O valor das penalidades para violações varia muito, dependendo da gravidade da violação, da responsabilidade e do grau de cooperação da organização durante as investigações da violação
- Os regulamentos não devem ser considerados levianamente. Não importa se uma violação foi causada por negligência intencional ou não. A ignorância não é vista como motivo justificável para contrapor as sanções. As multas por não conformidade serão emitidas de toda forma
- De acordo com um relatório de 2015 divulgado pelo Departamento de Saúde e Serviços Humanos (HHS), deficiências de conformidade com a HIPAA em termos de privacidade, segurança de dados e notificação de violação foram encontradas na maioria das entidades cobertas que foram examinadas, especialmente nas entidades menores. Uma multa de três dígitos pode ser devastadora para uma pequena organização ou um consultor
Fonte da imagem: Hipaajournal
Como a HIPAA afeta os usuários de formulários digitais
As organizações precisam seguir regras e regulamentos que são complexos e demorados.
Se não tomar cuidado, você entrará em um pesadelo administrativo. Todas as ações precisam ser registradas. Há também muitos formulários a serem preenchidos e procedimentos a serem seguidos.
Como sabemos, a negligência em seguir as normas e os regulamentos da HIPAA pode resultar em penalidades. Além disso, isso pode lhe render um lugar de honra no HIPAA Wall of Shame (Muro da Vergonha da HIPAA), onde são exibidas as violações conhecidas dos últimos 24 meses que estão sendo investigadas no momento.
Seria melhor você ser conhecido pela integridade do que por comprometer os dados confidenciais de seus pacientes. Em geral, há muito a ser levado em conta.
Por que os formulários são relevantes no contexto do setor de saúde
Há uma resposta simples para essa pergunta: no setor de saúde, os formulários que coletam PHI são onipresentes.
Os formulários são essenciais para registrar novos pacientes, anotar sintomas, delinear tratamentos ou prescrever novamente uma receita, entre outros usos.
Pense nos formulários de autorização de novos pacientes quando eles visitam um médico pela primeira vez, ou no formulário de teste de Covid-19 que as pessoas preenchem para permitir que seus dados sejam transmitidos a uma câmara de compensação.
Os formulários são uma parte essencial do setor de saúde, e é fundamental garantir que eles estejam em conformidade com a HIPAA.
Há seis formulários principais da HIPAA com os quais você se deparará com mais frequência. Entendê-los ajudará você a executar as operações com mais eficiência, além de reduzir o perfil de risco da organização da qual você faz parte.
Fonte da imagem: Cloudapper
A mudança para o meio digital tem implicações na segurança dos dados. Além disso, os pacientes esperam receber atendimento com a mesma facilidade com que fazem seus pedidos de compras on-line.
Os formulários digitais desempenham um papel importante nisso. Agora, vamos ver como a HIPAA se relaciona com os formulários.
O que torna um formulário compatível com a HIPAA?
Ao lidar com ePHI (Electronic protected health information), a HIPAA exige que um conjunto mínimo de requisitos seja atendido por um formulário digital. Esses requisitos são:
- Criptografia de transporte: É sempre criptografado à medida que é transmitido pela Internet
- Backup: Nunca é perdido, ou seja, deve ser feito um backup e pode ser recuperado
- Autorização: Só pode ser acessado por pessoal autorizado usando controles de acesso exclusivos e auditados
- Integridade dos dados: Não é adulterado ou alterado
- Criptografia de armazenamento: Deve ser criptografado quando estiver sendo armazenado e arquivado
- Descarte: Pode ser descartado permanentemente quando não for mais necessário
- Omnibus/HITECH: está localizado nos servidores da Web de uma empresa com a qual você tem um Contrato de Associado Comercial da HIPAA
A verificação dos pontos mencionados acima é de sua responsabilidade. A segurança e a integridade da PHI e da ePHI devem ser sua maior preocupação.
Isso é essencial porque o número de violações de dados de saúde continua a aumentar ano após ano.
Quando os registros de saúde acabam no mercado negro, eles valem até 40 vezes mais do que um número de cartão de crédito.
Um número de identificação pessoal é permanente, ao passo que o número de um cartão de crédito não é. Isso pode complicar muito a vida das pessoas cujas informações foram comprometidas, pois as informações violadas são frequentemente usadas para atividades fraudulentas.
Fonte da imagem: Hipaajournal
A criação de um software que lide com todos os pontos de segurança é um trabalho por si só. É por isso que faz sentido procurar formulários que cuidem disso para você.
19 criadores de formulários que estão em conformidade com a HIPAA
Para o bem do seu paciente e para a sua tranquilidade, você certamente deseja tornar cada processo de coleta de PHI o mais seguro possível.
Um criador de formulários em conformidade com a HIPAA elimina as suposições sobre a conformidade, pelo menos em uma área recorrente de sua prática ou organização.
Com isso em mente, compilamos uma lista de criadores de formulários digitais que estão em conformidade com a HIPAA. Dê uma olhada!
O JotForm oferece uma ampla gama de formulários e BAAs (Backend-as-a-Service) compatíveis com HIPAA, totalmente personalizáveis e compatíveis com dispositivos móveis, para coletar dados de pacientes com segurança.
Você pode gerar relatórios médicos ao vivo a partir de dados de formulários, otimizar fluxos de trabalho conectando o JotForm a ferramentas que você já usa e automatizar aprovações.
Os formulários do JotForm são combinados com o aplicativo JotForm Health para visualizar registros médicos, agendar consultas e obter formulários de consentimento assinados em qualquer dispositivo (mesmo quando não conectado à Internet).
Atualmente, a empresa oferece aos respondentes do Corona contas HIPAA gratuitas ilimitadas. Isso qualifica prestadores de serviços de saúde, organizações governamentais e organizações sem fins lucrativos para planos Jotform gratuitos.
Preço: US$ 29/mês (cobrados anualmente) ou US$ 39 por mês. Com ambos os planos, você pode criar até 100 formulários e fazer 10.000 envios de formulários. As organizações sem fins lucrativos têm um desconto de 50%.
O Typeform permite criar questionários, pesquisas e formulários interativos que exibem uma pergunta/prompt de cada vez. Você pode adicionar imagens, criar temas, alterar fontes e planos de fundo.
O Typeform é executado no Amazon Web Services e mantém vários níveis de criptografia, controle de acesso e testes de penetração.
A HIPAA é mencionada em uma visão geral separada das perguntas frequentes sobre a Covid-19, afirmando que a Typeform está disposta a atuar como uma associada comercial para entidades cobertas, se você assinar um BAA com ela.
Também vale a pena dizer que a integração do Typeform com o Stripe não poderá ser usada, pois não há menção a HIPAA ou BAAs no site do Stripe.
Preços: A versão gratuita oferece 3 formulários com 10 perguntas por formulário e 100 respostas por mês. O plano pago com formulários ilimitados começa em US$ 35/mês (cobrados anualmente) com espaço para até 1.000 respostas de formulário por mês. É possível testar os recursos dos planos pagos no modo de avaliação, embora os formulários não possam ser compartilhados.
Bônus: se você pretende usar o Typeform para um projeto sem fins lucrativos relacionado à Covid-19, o Typeform ainda oferece uma assinatura gratuita de 3 meses.
O Formstack é uma solução completa, em conformidade com a HIPAA, para coleta de dados, criação de documentos e coleta de assinaturas eletrônicas.
O Formstack’s Forms, Documents, and Sign foi submetido a uma auditoria de segurança por um provedor terceirizado de avaliação de conformidade. É possível obter um BAA padrão, bem como a opção de criar BAAs personalizados.
O Formstack monitora suas contas HIPAA para evitar violações. A criptografia TLS, as permissões em nível de usuário e as integrações protegidas de ePHI em conformidade com a HIPAA estão listadas nos recursos. Os dados de registro e ações de usuários podem ser solicitados no caso de uma auditoria ou possível violação de segurança.
Preços: O Formstack oferece uma avaliação de 14 dias. O preço do plano Starter é de US$ 50/mês (cobrados anualmente), ou US$ 59 por mês para um usuário. Esse usuário pode criar até 20 formulários e fazer até 1.000 envios de formulários.
O Logiforms é um criador de formulários com uma interface flexível e intuitiva de arrastar e soltar.
Ele também dá suporte à implementação de fluxos de trabalho automatizados para criar e armazenar formulários e PDFs seguros por meio de recursos compatíveis com a HIPAA, como criptografia SSL de 256 bits em formulários, criptografia de dados em repouso e criptografia TLS/HTTPS de ponta a ponta.
Preços: O Logiforms oferece um teste de 15 dias. O preço do plano Professional é de US$ 24,95/mês. Dois usuários terão acesso ao software, permitindo a criação de 10 formulários e 5.000 envios de formulários. Os add-ons estão disponíveis por pequenas taxas adicionais.
O Microsoft Forms é um criador de formulários fácil de usar para pesquisas, enquetes e questionários.
O software está em conformidade com a HIPAA e o BAA e atende aos padrões de proteção de BAA, com dados de formulários criptografados em repouso e em trânsito.
Os serviços da Microsoft que se enquadram no BAA passaram por auditorias para a certificação ISO/IEC 27001 da Microsoft.
Preços: Uso gratuito para qualquer pessoa com uma licença do Office 365 Education, clientes do Microsoft 365 Apps for Business e usuários com uma conta Microsoft pro.
O Cognito Forms é uma plataforma versátil com vários modelos de formulários para escolher. É um produto para iniciantes e desenvolvedores que oferece a possibilidade de ajustar formulários com HTML e CSS personalizados.
É possível criar formulários em conformidade com a HIPAA que processam pagamentos on-line, permitem que os usuários solicitem consultas ou prescrições, registrem novos pacientes e se conectem a integrações de terceiros.
Preços: A conformidade com a HIPAA é garantida no plano Enterprise por US$ 99/mês. O plano permite criações e entradas ilimitadas de formulários, concedendo acesso à ferramenta a 20 usuários.
O HIPAA Forms é um plug-in do WordPress que exige que você tenha o Caldera ou o Gravity Forms instalado.
Para usá-lo, você precisará de uma chave de licença válida do HIPAA Forms, SSL ativado e, é claro, um contrato BAA assinado.
O resultado é marcar uma caixa ao lado do formulário para torná-lo compatível com a HIPAA. Se o seu sistema for baseado no WordPress, nada pode ser mais fácil que isso.
Preços: Você pode testar o plug-in gratuitamente com um formulário e 25 envios de formulário. A assinatura começa em US$ 600/ano, desbloqueando formulários ilimitados, envios de formulários ilimitados e remoção da marca. A possibilidade de fazer upload de arquivos pode ser adquirida como um complemento por US$ 300/ano.
O 123 Form Builder é um criador de formulários de arrastar e soltar, totalmente personalizável e de nível empresarial, para criar formulários on-line para sua clínica ou empresa de saúde.
O software incorpora protocolos de segurança estendidos, regras de lógica condicional, mais de 80 integrações e a possibilidade de enviar dados diretamente para um CRM preferido.
Com isso em mente, o software é mais adequado para grandes equipes que reúnem um grande volume de dados.
Preços: Os formulários em conformidade com a HIPAA estão disponíveis apenas no plano Enterprise, com preço de US$ 199,99/mês. Será necessário entrar em contato com o departamento de vendas para obter uma oferta personalizada.
A ferramenta de coleta de dados e o criador de formulários do FormAssembly são usados por mais de 4.000 organizações globais, como a Amazon, a Lenovo e a Universidade de Harvard.
Todos os dados coletados são mantidos em segurança. Ele se integra aos seus sistemas atuais, como Salesforce, Google Apps e Pardot, e permite que você crie facilmente formulários avançados.
Preços: Os formulários e BAAs em conformidade com a HIPAA estão disponíveis no plano Compliance Cloud de quarto nível. Você precisará entrar em contato com a equipe para obter uma oferta personalizada, mas os custos provavelmente estarão acima do limite de US$ 224/mês, pois esse é o custo do plano de segundo nível.
O FormDr é uma solução de formulários adaptada a hospitais, sistemas de saúde e outras práticas com um ou vários locais.
Com o FormDr, é possível combinar várias páginas em um único pacote de formulários on-line, facilitando para os pacientes o trabalho de passar por vários formulários separados.
E é claro, FormDr está em conformidade com a HIPAA.
Preços: Eles oferecem uma avaliação gratuita de 14 dias e oferecem a conversão de seus arquivos em formulários. Todos os três planos oferecem formulários em conformidade com a HIPAA. As principais diferenças entre os planos estão no número de usuários, envios, visualizações de formulários e GBs disponíveis para armazenamento de arquivos. O preço do plano inicial é de US$ 29/mês, independentemente de você pagar mensalmente ou pelo ano inteiro.
O PandaDoc é um software abrangente de automação e personalização de documentos, no qual é possível criar propostas, cotações, contratos e formulários em questão de minutos.
Os espaços de trabalho permitem o armazenamento eficiente de informações da equipe e do paciente separadamente, tudo totalmente em conformidade com a HIPAA.
Preços: Para obter um plano empresarial personalizado e compatível com a HIPAA, a PandaDoc solicita que você entre em contato com a equipe de vendas.
As configurações de autenticação e privacidade em conformidade com a HIPAA estão disponíveis para o Google Forms, o que significa que as CEs (Entidades Cobertas) podem utilizar o Google Forms como um criador de formulários em conformidade com a HIPAA.
Será necessário assinar previamente um BAA com o Google.
As CEs podem monitorar o acesso e a visibilidade de pastas e arquivos e conceder a cada colaborador as permissões necessárias. Antes de utilizar o Google Forms para coletar ou armazenar ePHI, os administradores precisam ajustar as configurações de privacidade e desativar quaisquer aplicativos de terceiros que não atendam aos padrões da HIPAA.
Preços: O Google Forms está disponível no plano Business Starter por US$ 6 por mês por usuário, concedendo acesso a todo o Google Workspace, e inclui uma avaliação de 14 dias.
Os usuários do plano Enterprise podem solicitar um contrato padrão de associação comercial para usar as configurações compatíveis com HIPAA.
Isso permitirá que você crie formulários seguros de encaminhamento, pagamento de assistência médica e histórico médico.
O Formsite oferece suporte a organizações com recursos essenciais de gerenciamento de dados, como Secure Email e controle de acesso com autenticação de dois fatores.
O software também tem integrações com o Salesforce e o Google Sheets (para os quais você também precisará de um BAA).
Preços: O plano Enterprise padrão começa em US$ 249,95/mês ou US$ 2.499,95/ano.
O software de geração de documentos e assinaturas eletrônicas da DocuSign é usado por 12 das 14 maiores empresas farmacêuticas do mundo.
O software é totalmente compatível com ESIGN, UETA e HIPAA, e tem certificação ISO 27001:2013.
Todos os dados que passam pelos servidores da DocuSign são criptografados e autenticados, tanto em trânsito quanto em repouso.
Preços: A DocuSign pede aos clientes do setor de saúde que entrem em contato com o departamento de vendas para obter ofertas específicas para o setor.
A MedForward oferece serviços de consultoria de marketing e ferramentas digitais com o objetivo de ajudar no crescimento de empresas médicas desde 2007.
O aplicativo web da MedForward Forms foi desenvolvido por sua equipe interna e permite que os pacientes preencham com segurança formulários on-line em conformidade com a HIPAA.
Eles converterão seus formulários existentes em um formato on-line ao mesmo tempo em que permitem que os pacientes utilizem os formulários em seu formato original.
Preços: Os pagamentos são feitos mês a mês. Não são necessários compromissos de longo prazo, embora seja necessário entrar em contato com a MedForward para obter uma cotação personalizada.
O ProntoForms, criador de formulários para mobile, de código reduzido para empresas, permite que você personalize aplicativos sem nenhum conhecimento técnico.
O aplicativo permite uma lógica avançada de fluxo de trabalho condicional e uma rica captura de dados além das listas de verificação. Foi classificado como o número 1 no Enterprise Grid do G2 para soluções móveis.
O ProntoForms foi aprovado em várias auditorias, incluindo a HIPAA.
Eles mantêm uma disponibilidade de serviço de 99,9% e executam frequentemente seus planos de resposta a incidentes e recuperação de desastres para evitar ameaças à segurança.
Preços: Todos os três planos disponíveis oferecem conformidade com a HIPAA, embora o plano Essentials possa ficar aquém dos recursos de personalização. O preço do plano Essentials é de US$ 15/mês por usuário, o que lhe permite criar 10 formulários com 250 perguntas cada.
A solução de formulários Web e PDF SecureForm da LuxSci permite que você adicione e salve formulários em conformidade com a HIPAA.
O SecureForm se integra aos formulários da Web ou PDF que você usa atualmente. Ele pode ser usado em conjunto com qualquer CMS (incluindo o WordPress), bem como com páginas codificadas manualmente. Seus dados são protegidos com criptografia TLS durante a transmissão e, em repouso, com criptografia PGP e/ou AES.
Preços: O plano Small permite a criação de até 100 formulários a partir de US$ 50/mês.
O SurveyMonkey é um criador de formulários popular usado por 98% das empresas da Fortune 500.
A empresa oferece um formulário BAA padrão e implementa as salvaguardas para proteger a ePHI que manipula em nome das CEs.
As proteções incorporam planos de backup de dados, análise regular de riscos de sistemas e planos de resposta a incidentes.
Preços: Somente o plano Enterprise oferece recursos compatíveis com HIPAA. O SurveyMonkey solicita que os clientes entrem em contato com eles para obter uma oferta personalizada.
19. Formsort
O Formsort oferece um criador de formulários robusto, em conformidade com a HIPAA, feito sob medida para provedores de serviços de saúde que buscam soluções seguras e personalizáveis. A plataforma apresenta uma interface sem código, do tipo arrastar e soltar, facilitando o design e a implementação de formulários que garantem a proteção dos dados dos pacientes.
Com foco na experiência do usuário e em recursos de segurança robustos, o Formsort garante a proteção dos dados dos pacientes e, ao mesmo tempo, oferece um processo de envio de formulários de forma simples. O Formsort também suporta integrações avançadas e oferece modelos que simplificam a criação de formulários, o que o torna uma opção forte para organizações de saúde focadas em conformidade e experiência do usuário.
Preços: O Formsort começa com uma camada gratuita para uso básico, com planos pagos disponíveis para recursos aprimorados e necessidades de maior volume. A camada gratuita oferece 100 inícios de fluxo por mês, além de usuários e formulários ilimitados e algumas opções de marca. Os pacotes Pro começam em US$ 279/mês.
Conclusão
Manter a conformidade de sua organização não é fácil, mas é essencial. A escolha de um criador de formulários compatível com a HIPAA reduzirá a carga administrativa e garantirá que o ePHI coletado por meio de formulários seja armazenado e enviado com segurança.
Depois de mudar para um criador de formulários compatível com HIPAA, você criará e enviará formulários da mesma forma que sempre fez.
A principal diferença é que os dados serão transmitidos e armazenados de acordo com os padrões da HIPAA.
Esse é um passo mais próximo da conformidade e menos preocupação no caso de uma auditoria futura.
Para concluir, vale a pena observar que a maioria dos formulários digitais em conformidade com a HIPAA listados neste artigo também é compatível com Make.
Se você estiver procurando aumentar a capacidade e a flexibilidade ao longo do tempo, escolher uma solução que seja compatível com integrações e com a HIPAA atenderá a duas necessidades com uma única ação.
Isenção de responsabilidade: as informações contidas nesta página não constituem aconselhamento oficial de saúde ou jurídico. Make não se responsabiliza por quaisquer danos nem assume responsabilidades decorrentes ou de alguma forma relacionados a esta plataforma.
Gracia Kleijnen é autora deste artigo para Make. A equipe de tradução e design do Babel-Team traduziu e revisou o conteúdo.
Previous Next