Quem pode acessar seus registros médicos?

Suas informações privadas de saúde podem ser acessadas pelo seu médico, bem como pelas pessoas que você permite que tenham acesso. Por exemplo, você pode dar permissão para que seus familiares tenham acesso aos seus registros médicos.

Nos Estados Unidos, a Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) estabelece regras sobre quem tem permissão para ver os registros médicos dos pacientes. No entanto, pode haver algumas exceções aos direitos HIPAA. Você pode se surpreender ao saber que outras pessoas e organizações podem ver seus registros médicos sem a sua permissão.

Este artigo abordará como funciona a privacidade dos registros médicos. Embora a lista não esteja completa, ela apresenta alguns exemplos comuns de quem pode acessar seus registros. Você também descobrirá por que eles desejam suas informações e para que podem usá-las.

Quem pode acessar os registros médicos dos pacientes?

Dezenas de pessoas e organizações estão legalmente autorizadas a ver seus registros médicos. Eles podem fazer uma solicitação ou adquirir acesso a eles.

Em alguns casos, você precisa dar permissão para acessar seu registro. No entanto, sua permissão nem sempre é necessária. Às vezes, você deu permissão para alguém acessar seu registro sem perceber – por exemplo, assinando um formulário de consentimento.

Embora existam salvaguardas para tentar evitar violações de dados, indivíduos ou grupos podem, por vezes, aceder ilegalmente a registos médicos.

De acordo com o Departamento de Saúde e Serviços Humanos dos EUA, ocorreram pelo menos 5.887 grandes violações de dados de saúde entre 2009 e 2023. A maioria das violações de dados em 2023 deveu-se a um aumento considerável de ataques de hackers e ransomware.

Tipos de acesso a registros médicos

Existem dois tipos gerais de registros médicos que são compartilhados ou adquiridos: registros identificáveis ​​individualmente e registros agregados.

• Registro individualmente identificável: esse tipo de registro contém dados pessoais, como nome da pessoa, médicos, seguradoras, diagnósticos, tratamentos e muito mais. Este é o registro que você solicita para revisar seus registros médicos. Essas informações também podem ser chamadas de informações de saúde protegidas (PHI).
• Registro médico agregado: esse tipo de registro é um banco de dados que inclui muitos dados diferentes chamados atributos. Este tipo de registro não é usado para identificar uma pessoa. Em vez disso, centenas ou mesmo milhares de registros são colocados em listas. Todas essas listas juntas formam uma grande lista agregada. Este processo é chamado de “mineração de dados”.

Aqui está um exemplo de mineração de dados: um hospital pode decidir extrair os dados de todos os registros de pacientes que fizeram cirurgia de ponte de safena.

O registro agregado pode conter centenas de pacientes. Todos eles são categorizados usando diferentes fatores, como o tipo de seguro que possuem ou quem são seus prestadores de cuidados de saúde.

HIPAA e acesso a registros médicos

Certas pessoas e organizações têm o direito de acessar seus registros médicos.Eles são classificados como entidades cobertas pela HIPAA. Isso significa que eles têm o direito de acessar seus registros de acordo com diretrizes regulatórias específicas.

As entidades cobertas incluem:

• Médicos e profissionais médicos aliados
• Instalações de saúde (por exemplo, hospitais, laboratórios, lares de idosos)
• Pagadores (por exemplo, Medicare, seguradoras de saúde)
• Provedores de tecnologia que mantêm registros eletrônicos de saúde
• O governo

Como entidades abrangidas, têm regras muito rigorosas que devem seguir. Uma das regras mais importantes estabelece quando eles devem ter sua permissão por escrito para compartilhar seus registros. No entanto, as entidades abrangidas não são obrigadas a obter permissão por escrito para partilhar os seus registos se conduzirem atividades relacionadas com tratamento, pagamento ou operações de cuidados de saúde.

Aqui estão as outras regras estabelecidas pela HIPAA:

• Vocêtem direito legal a cópias de seus próprios registros médicos.
• Um ente querido ou cuidadorpode ter o direito de obter cópias de seus registros médicos se você lhes der permissão para isso.
• Seus prestadores de cuidados de saúdetem o direito de ver e compartilhar seus registros com qualquer pessoa a quem você tenha dado permissão. Por exemplo, se o seu médico de cuidados primários o encaminhar para um especialista, poderá ser solicitado que você assine um formulário informando que ele pode compartilhar seus registros com esse especialista.
• Seus pagadores de saúdetem o direito de obter cópias e usar seus registros médicos de acordo com as leis da HIPAA. As companhias de seguros, Medicare, Medicaid, compensação de trabalhadores, invalidez da Segurança Social, o Departamento de Assuntos de Veteranos ou qualquer entidade institucional que pague por qualquer parte dos seus cuidados de saúde podem necessitar de rever os seus registos.
• Governos federais e estaduaispode ter direito aos seus registros médicos. Além do pagamento médico, outras agências também podem ter acesso aos seus registros. Por exemplo, as autoridades policiais e os serviços de proteção à criança poderão ver os seus registos se for obtida uma intimação. Se você sofrer um acidente de trabalho, a Administração Federal de Segurança e Saúde Ocupacional (OSHA) pode precisar revisar seus registros.
• O Medical Information Bureau (Grupo MIB) é uma entidade sem fins lucrativos fundada há mais de 125 anos. Ele fornece informações às seguradoras de vida para avaliar a elegibilidade de uma pessoa para cobertura. O Grupo MIB pode ter um registro individual seu que não está sujeito às leis HIPAA.
• Bancos de dados de prescriçãocomo o IntelliScript (Milliman) e o MedPoint (Ingenix) muito provavelmente possuem registros de mineração de dados sobre todos os medicamentos prescritos que você comprou nos últimos cinco ou mais anos. Essas informações são usadas por seguradoras de vida ou de invalidez para determinar se venderão ou não seguro a você.

Como a HIPAA protege informações médicas pessoais

A HIPAA regulamenta como e com quem suas informações médicas pessoais podem ser compartilhadas.

De acordo com a HIPAA, você tem o direito legal de obter cópias de seus registros médicos. Você também tem o direito de compartilhar seus documentos com quem quiser, desde que assine um consentimento ou formulário de liberação.

A HIPAA também permite que os pagadores vejam seus registros médicos. As companhias de seguros, Medicare, Medicaid, compensação de trabalhadores, invalidez, VA ou qualquer instituição que pague parte dos seus cuidados de saúde podem solicitar os seus registos.

Bancos de dados de seguros de vida e prescrições também podem acessar seus registros. Até o governo pode visualizar seus registros médicos em algumas circunstâncias.

Quem não está coberto pela HIPAA?

Os empregadores não são cobertos pela HIPAA. Mesmo que paguem pelo seu seguro ou assistência médica do próprio bolso, a HIPAA não permite que seu empregador acesse seus registros médicos ou solicitações de seguro porque isso pode levar à discriminação.

Exceções à HIPAA

Existem algumas exceções à HIPAA que podem variar de acordo com o estado, como quando um pai deseja acessar os registros médicos de um menor. Os casos em que os registros médicos de um menor podem ser ocultados dos pais incluem:

• Quando o consentimento dos pais não é exigido pelas leis estaduais ou outras leis aplicáveis ​​e o menor é quem consentiu em cuidar
• Se um menor receber cuidados por ordem judicial ou sob a direção de uma pessoa designada pelo tribunal
• Quando um dos pais concordou que o menor e o profissional de saúde podem ter um relacionamento confidencial

Divulgação ilegal

Em alguns casos, o acesso não autorizado aos registos médicos é intencional e criminoso. Em outros casos, a revelação é resultado do descuido de alguém — até mesmo o seu.

É ilegal compartilhar informações de saúde protegidas pela HIPAA. No entanto, esta lei não permite que as pessoas processem por compensação monetária após uma violação de dados.

Se você acredita que suas informações de saúde foram compartilhadas ilegalmente, você pode registrar uma reclamação junto ao Departamento de Saúde e Serviços Humanos dos EUA.

Hackers

Muitas vezes você ouve falar de hackers que obtiveram acesso ilegal a milhares de registros privados, sejam eles registros de saúde, registros de cartão de crédito ou outras fontes de informação.

As informações médicas são o principal alvo dos hackers porque os ladrões ganham muito dinheiro com o roubo de identidade médica.

No entanto, os hackers não procuram os registros de um indivíduo específico. Em vez disso, eles querem apenas obter o máximo possível de registros que não estão agregados.

Acesso ilegal direcionado

Outra forma ilegal de acesso envolve os registros de um paciente individual.

Por exemplo, uma empresa pode pagar a alguém para obter o histórico médico de um funcionário em potencial. Em outra situação, o cônjuge pode procurar os registros da pessoa de quem está se divorciando. Às vezes, os registros médicos de celebridades são roubados.

Vazamentos acidentais

Existem outras maneiras pelas quais suas informações médicas privadas podem se tornar públicas involuntariamente.

Por exemplo, se o consultório do seu médico aluga uma copiadora, milhares de registros médicos copiados em papel são armazenados em sua memória. Quando a máquina voltar para a empresa, os registros poderão ir junto.

A mesma coisa pode acontecer quando os discos rígidos do computador falham. Você pode presumir que, se o computador não estiver funcionando, os registros não poderão ser acessados.

No entanto, só porque as unidades não funcionam mais com um computador não significa que alguém não possa obter os dados que estão nelas.

Quando você assina sua privacidade

Muitas vezes você dá permissão às entidades para acessar seus registros, mesmo sem saber. Aqui estão alguns exemplos comuns nos quais você talvez não tenha pensado antes:

• Seguro de vida:Os formulários que você assina ao obter cobertura de seguro de vida geralmente dão permissão à empresa para acessar seus registros.
• Testes caseiros de DNA ou de saúde:Quando você usa serviços de testes de saúde domiciliares, as empresas podem usar suas informações de saúde da maneira que desejarem.

Registros Agregados

Os registros médicos de forma agregada são usados ​​por diversos motivos. Uma vez desidentificada a informação (o que significa que nenhum paciente é identificável), as organizações têm o direito de agregar a informação e depois partilhá-la ou vendê-la.

Pesquisar

Dados agregados são frequentemente usados ​​em pesquisas. Os estudos que utilizam os dados podem ajudar os pacientes no futuro.

Venda de dados

Às vezes, hospitais e outras entidades cobertas vendem dados agregados.

Por exemplo, um hospital poderia vender os dados de 1.000 pacientes submetidos a cirurgias nas costas a uma empresa que vende cadeiras de rodas.

Num outro exemplo, uma farmácia poderia vender os seus dados sobre 5.000 clientes que aviaram receitas de medicamentos para colesterol ao centro cardíaco local.

Os dados agregados também podem ser usados ​​para fins de marketing. É uma grande fonte de receita para muitas organizações que trabalham com pacientes.

Divulgação e arrecadação de fundos

Organizações sem fins lucrativos e de caridade podem usar dados agregados para ajudá-las a divulgar a arrecadação de fundos.

As organizações locais podem formar parcerias com hospitais ou outras instalações que agregam dados de pacientes. Organizações estaduais, nacionais ou internacionais encontram outras formas de acessar os dados.

Se você se interessar pela causa de uma organização, poderá estar na lista de arrecadação de fundos. Então, você será incluído quando eles agregarem seus dados para vender para outra organização que queira saber quem está interessado na organização.