Os reguladores federais atrasaram uma revisão da regra de segurança da Lei de Responsabilidade e Portabilidade de Informações de Saúde (HIPAA), atrasando em um ano a ação final sobre a regra.
O Departamento de Saúde e Serviços Humanos (HHS) propôs a publicação em maio de 2026 de uma regra final que faz mudanças significativas na regra de segurança HIPAA e marca a primeira grande atualização da regra de 23 anos em mais de 10 anos.
Escritório de Gestão e Orçamento dos EUA (OMB) site foi atualizado para mostrar que a regra final foi adiada para julho de 2027.
A administração Biden emitiu um aviso de proposta de regulamentação no final de 2024 que exige novas medidas de segurança cibernética. Em janeiro de 2025, o Escritório de Direitos Civis do HHS emitiu alterações propostas à Regra de Segurança HIPAA, que visa abordar as mudanças tecnológicas nos cuidados de saúde e reforçar a segurança cibernética das informações eletrónicas de saúde protegidas, especialmente devido ao aumento de ataques cibernéticos e incidentes de ransomware.
A proposta visa impor às organizações de saúde um padrão mais elevado de proteção de informações confidenciais de saúde contra ameaças à segurança, como ataques cibernéticos. A proposta exigiria que as entidades cobertas pela HIPAA atingissem padrões técnicos específicos, como criptografia, autenticação multifatorial e segmentação de rede. Os requisitos também exigem testes de penetração anuais, requisitos de análise de risco mais recomendados, planos escritos de resposta a incidentes de segurança que são testados pelo menos anualmente e verificação pelas suas salvaguardas técnicas pelos parceiros de negócios.
Juntamente com os prestadores de cuidados de saúde, as alterações propostas também visam reforçar os requisitos de segurança cibernética para outras organizações que processam ePHI, tais como planos de saúde e parceiros comerciais.
O OCR propôs atualizar as definições de alguns termos, como privacidade, e adicionar novas definições, como autenticação multifator. Também fortalece as salvaguardas administrativas, técnicas e físicas que as entidades cobertas pela HIPAA devem implementar para proteger as informações eletrônicas de saúde.
A atualização proposta de 125 páginas atraiu forte resistência de hospitais, sistemas de saúde e outras organizações de saúde. OCR recebido quase 5.000 comentários sobre a regra proposta.
O College of Healthcare Information Management Executives e mais de 100 sistemas de saúde e outras organizações prestadoras escreveram uma carta ao HHS em Dezembro, instando os reguladores a retirarem as alterações propostas. Os grupos disseram que a atualização das regras de segurança imporia novos encargos financeiros significativos às entidades regulamentadas pela HIPAA e incluiria prazos de implementação não razoáveis.
Embora o HHS atrase as atualizações das regras de segurança, o departamento está avançando com uma regra final que altera a regra de privacidade da HIPAA. Essa última regra, agora programado para ser lançado em agosto pretende dar aos pacientes mais acesso às suas informações de saúde e melhorar a coordenação dos cuidados, de acordo com o HHS.
O HHS afirma que as alterações propostas à regra de privacidade HIPAA, que foi publicado em Janeiro de 2021 melhorará a partilha de informações para a coordenação de cuidados e gestão de casos, facilitará um maior envolvimento da família e dos cuidadores no cuidado de indivíduos que enfrentam emergências ou crises de saúde e melhorará a flexibilidade para divulgar informações em circunstâncias de emergência ou ameaçadoras. As mudanças também reduzirão a carga administrativa sobre os prestadores de cuidados de saúde e planos de saúde cobertos pela HIPAA, ao mesmo tempo que continuarão a proteger a privacidade das informações de saúde das pessoas, disseram funcionários do HHS.









