1. Finalidade

O objetivo desta política é estabelecer diretrizes abrangentes para proteger a confidencialidade e a segurança das informações dos membros dentro do programa CalAIM Enhanced Care Management (ECM) e Community Support (CS). Essa política garante a conformidade com todas as leis federais e estaduais aplicáveis, inclusive a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) e a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA). Ao aderir a essas diretrizes, nosso objetivo é proteger os direitos de privacidade de nossos membros e manter os mais altos padrões de conduta ética.

2. Escopo

Esta política se aplica a todos os indivíduos que têm acesso a informações confidenciais dos membros do programa ECM & CS da CalAIM. Isso inclui funcionários, prestadores de serviços, voluntários e qualquer equipe afiliada. É responsabilidade de cada pessoa dentro desse escopo compreender e aderir aos procedimentos descritos neste documento para proteger a confidencialidade das informações dos membros.

3. Definições

Para os fins desta política, “Informações confidenciais de membros” referem-se a qualquer informação pessoal, médica ou financeira que possa identificar um membro. Isso inclui informações de saúde protegidas (PHI), conforme definido pela HIPAA, que inclui qualquer informação sobre o estado de saúde, fornecimento de assistência médica ou pagamento de assistência médica que possa ser vinculada a um indivíduo. “Pessoal autorizado” são indivíduos aos quais foi concedido acesso a informações confidenciais porque isso é necessário para que eles desempenhem suas funções de forma eficaz.

4. Declaração de política

Temos o compromisso de proteger todas as informações confidenciais dos membros contra acesso, uso, divulgação, alteração ou destruição não autorizados. O acesso a essas informações é estritamente controlado e é concedido somente ao pessoal autorizado que precisa delas para desempenhar suas funções designadas. A divulgação não autorizada de informações confidenciais é proibida e pode resultar em ações disciplinares, incluindo a rescisão do contrato de trabalho. Espera-se que todos os funcionários ajam de acordo com esta política e mantenham os mais altos padrões de confidencialidade.

5. Procedimentos

5.1 Controle de acesso

O acesso às informações confidenciais dos membros é cuidadosamente gerenciado para garantir que somente o pessoal autorizado possa acessá-las. Aderimos ao princípio do menor privilégio, concedendo aos funcionários o nível mínimo de acesso necessário para o desempenho de suas funções. Credenciais de login seguras são necessárias para acessar sistemas eletrônicos que contenham informações confidenciais, e essas credenciais não devem ser compartilhadas ou divulgadas a terceiros. São realizadas auditorias regulares para revisar e ajustar os direitos de acesso, garantindo que permaneçam adequados à medida que as funções e responsabilidades mudam.

5.2 Segurança física

Os documentos físicos que contêm informações confidenciais são armazenados em locais seguros, como armários trancados ou salas com acesso controlado. As estações de trabalho devem ser protegidas, trancando-as quando não estiverem sendo utilizadas, e as telas dos computadores devem ser posicionadas de modo a impedir a visualização não autorizada por visitantes ou outros funcionários sem direitos de acesso. O acesso às áreas onde as informações confidenciais são armazenadas é restrito ao pessoal autorizado, e os visitantes devem estar sempre acompanhados.

5.3 Segurança eletrônica

Todas as informações eletrônicas confidenciais são protegidas por criptografia durante o armazenamento e a transmissão. Nossos sistemas eletrônicos são acessados por meio de redes seguras e protegidas por senha, com firewalls e proteção antivírus. Os funcionários são obrigados a usar senhas fortes e a alterá-las regularmente. Backups regulares de dados eletrônicos são realizados e armazenados de forma segura para evitar a perda de dados devido a falhas ou emergências no sistema. Atualizações e patches de segurança são aplicados prontamente a todos os sistemas para proteger contra vulnerabilidades.

5.4 Transmissão de dados

Ao transmitir informações confidenciais, são usados apenas canais seguros, como e-mail criptografado ou protocolos de transferência segura de arquivos (SFTP). Os funcionários devem verificar a identidade do destinatário antes de transmitir qualquer informação confidencial para garantir que ela seja compartilhada somente com indivíduos autorizados. Em nenhuma circunstância as informações confidenciais devem ser transmitidas por canais não seguros ou a partes não autorizadas.

5.5 Descarte de dados

O descarte adequado de informações confidenciais é essencial para manter a segurança. Os dados eletrônicos devem ser apagados permanentemente usando métodos de exclusão seguros que impeçam a recuperação, como software de limpeza de dados ou destruição física da mídia de armazenamento. Os documentos físicos que contêm informações confidenciais devem ser destruídos por meio de trituração ou incineração para garantir que as informações não possam ser reconstruídas ou recuperadas. Os registros do descarte de dados devem ser mantidos conforme apropriado.

5.6 Treinamento e conscientização

Todos os novos funcionários são obrigados a participar do treinamento de integração que abrange políticas de confidencialidade, procedimentos e obrigações legais. Esse treinamento garante que os funcionários compreendam a importância de manter a confidencialidade e as medidas específicas que devem ser tomadas para proteger as informações dos membros. A educação contínua é fornecida por meio de cursos anuais de atualização e atualizações sobre quaisquer mudanças nas políticas ou regulamentações. Os funcionários são incentivados a se manterem informados sobre as práticas recomendadas de segurança da informação. Todos os funcionários devem assinar contratos de confidencialidade reconhecendo suas responsabilidades com relação ao manuseio de informações confidenciais.

5.7 Relatório e resposta a incidentes

No caso de uma violação de confidencialidade suspeita ou real, os funcionários devem comunicar o incidente imediatamente ao diretor de conformidade ou à autoridade designada. Uma investigação imediata e completa será conduzida para avaliar a violação, determinar seu impacto e implementar medidas para mitigar quaisquer riscos. Isso pode incluir medidas para conter a violação, recuperar dados perdidos e evitar ocorrências futuras. Os membros afetados e as autoridades relevantes serão notificados conforme exigido por lei, seguindo os protocolos estabelecidos para notificação de violações. A documentação do incidente e as ações de resposta serão mantidas.

5.8 Direitos dos membros

Os membros têm direitos específicos com relação a suas informações pessoais. Eles têm o direito de acessar suas informações pessoais mediante solicitação e de receber uma cópia de seus registros em tempo hábil. Os membros podem solicitar correções em suas informações se forem encontradas imprecisões, e somos obrigados a fazer as devidas alterações. Fornecemos aos membros um aviso de privacidade que explica como suas informações são usadas e protegidas, garantindo transparência e conformidade com os requisitos legais. Os membros também têm o direito de solicitar restrições a determinados usos e divulgações de suas informações, e atenderemos a essas solicitações sempre que possível.

6. Conformidade e aplicação

Para garantir a adesão a esta política, são realizadas auditorias regulares de conformidade. Essas auditorias analisam os registros de acesso, os registros de treinamento e as medidas de segurança para identificar quaisquer áreas de não conformidade ou possíveis melhorias. As violações desta política são levadas a sério e podem resultar em ações disciplinares, incluindo a rescisão do contrato de trabalho. Espera-se que todos os funcionários cumpram todas as leis e regulamentos relevantes, e o não cumprimento também pode resultar em consequências legais. A gerência é responsável por aplicar esta política e por tomar medidas corretivas quando ocorrerem violações.

7. Responsabilidades

Todos os funcionários são responsáveis por manter a confidencialidade das informações dos membros e por comunicar quaisquer violações ou atividades suspeitas às autoridades competentes. Os funcionários devem ser vigilantes e proativos na proteção de informações confidenciais, seguindo todos os procedimentos e práticas recomendadas descritos nesta política. A gerência é responsável por garantir que os membros da equipe compreendam e sigam as políticas de confidencialidade, fornecendo apoio e recursos conforme necessário. O diretor de conformidade supervisiona a implementação desta política, incluindo o desenvolvimento de programas de treinamento, a realização de auditorias e o gerenciamento de procedimentos de resposta a incidentes.

8. Referências

Essa política é orientada por várias leis e regulamentos importantes, incluindo:

• O Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), que estabelece padrões nacionais para a proteção de informações de saúde.
• O Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA), que fornece proteções adicionais para informações médicas no estado da Califórnia.
• O Diretrizes do programa CalAIM ECM & CS, que definem requisitos específicos para o gerenciamento e a proteção das informações dos membros no programa.

9. Análise e revisão

Esta política será revisada anualmente ou conforme necessário devido a alterações normativas, ajustes organizacionais ou deficiências identificadas. O processo de revisão envolverá a avaliação da eficácia dos procedimentos atuais, considerando o feedback dos funcionários e mantendo-se atualizado sobre as mudanças nas leis e na tecnologia. Todas as atualizações ou revisões serão comunicadas imediatamente a todos os funcionários para garantir conformidade e conscientização contínuas. Os funcionários são incentivados a fornecer informações sobre formas de aprimorar a política e sua implementação.

1. Finalidade

O objetivo desta política é estabelecer um processo abrangente para supervisionar a aplicação de políticas de privacidade dentro do programa CalAIM Enhanced Care Management & Community Support (ECM & CS). Essa política garante que a organização permaneça em total conformidade com todas as leis federais e estaduais aplicáveis, inclusive a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) e os regulamentos de privacidade do estado da Califórnia. Com a implementação de uma abordagem estruturada, pretendemos proteger a privacidade e a segurança das Informações de Saúde Protegidas (PHI) e das Informações Pessoais Identificáveis (PII), mantendo assim a confiança de nossos beneficiários e partes interessadas.

2. Escopo

Esta política se aplica a todos os funcionários, contratados, voluntários e parceiros terceirizados que estejam envolvidos no programa CalAIM ECM & CS e tenham acesso a PHI ou PII. É essencial que cada indivíduo dentro desse escopo compreenda suas responsabilidades e siga os procedimentos descritos nesta política para garantir a confidencialidade, a integridade e a disponibilidade de informações confidenciais.

3. Definições

• Informações de saúde protegidas (PHI): Qualquer informação relacionada ao estado de saúde de um indivíduo, ao fornecimento de assistência médica ou ao pagamento de assistência médica que possa ser vinculada a uma pessoa específica. Isso inclui registros médicos, informações de faturamento e quaisquer outros dados que identifiquem um indivíduo e estejam relacionados à sua saúde.
• Informações Pessoais Identificáveis (PII): Informações que podem ser usadas para identificar, contatar ou localizar uma única pessoa, ou para identificar um indivíduo no contexto. Isso pode incluir nomes, endereços, números de Seguro Social e outros dados pessoais.
• Programa CalAIM ECM & CS: O programa California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support, projetado para fornecer serviços abrangentes de gerenciamento de cuidados aos beneficiários do Medi-Cal, especialmente aqueles com necessidades complexas.

4. Funções e responsabilidades

Diretor de privacidade: O Diretor de Privacidade é responsável por supervisionar a conformidade com todas as leis e regulamentos de privacidade do programa ECM & CS. Isso inclui a realização de auditorias e avaliações regulares para garantir que as políticas de privacidade sejam efetivamente implementadas. O diretor de privacidade gerencia todos os incidentes ou violações de privacidade, coordenando investigações e implementando ações corretivas conforme necessário. Ele atua como o principal ponto de contato para todos os assuntos relacionados à privacidade e fornece orientação aos funcionários e contratados sobre as práticas recomendadas.

Gerente de programas: O gerente de programa tem a tarefa de implementar políticas de privacidade no programa ECM & CS. Ele garante que os membros da equipe recebam treinamento e recursos adequados para entender e cumprir os requisitos de privacidade. O gerente de programa colabora com a equipe de privacidade

O diretor de privacidade da empresa deve ser responsável por resolver quaisquer problemas de não conformidade e promover uma cultura de conscientização sobre privacidade em todo o programa.

Todos os funcionários e prestadores de serviços: Todos os indivíduos que têm acesso a PHI ou PII dentro do programa ECM & CS devem aderir estritamente a todas as políticas e procedimentos de privacidade. A equipe e os prestadores de serviços devem informar imediatamente ao Privacy Officer ou à autoridade designada qualquer suspeita de violação ou casos de não conformidade. Eles são responsáveis por proteger informações confidenciais e seguir os protocolos estabelecidos para seu uso, divulgação e descarte.

5. Detalhes da política

5.1 Aplicação de políticas de privacidade

Controle de acesso: O acesso a PHI e PII é limitado ao pessoal autorizado que precisa dessas informações para realizar suas tarefas. A organização implementa controles de acesso baseados em funções, garantindo que os indivíduos tenham o mínimo de acesso necessário para cumprir suas responsabilidades. O acesso, o uso ou a divulgação não autorizados de informações confidenciais são estritamente proibidos e estão sujeitos a ações disciplinares.

Manuseio de dados: As PHI e PII devem ser usadas e divulgadas somente para fins autorizados, como tratamento, pagamento e operações de saúde, conforme definido pela HIPAA. As informações confidenciais devem ser armazenadas com segurança, seja em formato físico ou eletrônico, e transmitidas usando métodos aprovados que incluam criptografia e canais de comunicação seguros. A equipe deve garantir que as PHI e PII não sejam deixadas sem supervisão ou acessíveis a pessoas não autorizadas, tanto dentro quanto fora do local de trabalho.

Acordos de confidencialidade: Todos os funcionários e prestadores de serviços são obrigados a assinar acordos de confidencialidade como condição de emprego ou contratação. Esses contratos descrevem as obrigações do indivíduo de proteger PHI e PII e especificam as consequências da violação dessas obrigações. Os acordos de confidencialidade são mantidos em arquivo e podem ser cumpridos durante todo o período de associação do indivíduo com a organização.

5.2 Processo de supervisão

Treinamento e educação: A organização exige um treinamento abrangente sobre privacidade para todos os novos contratados antes que eles tenham acesso a PHI ou PII. Esse treinamento abrange leis e regulamentos relevantes, políticas organizacionais e práticas recomendadas para a proteção de informações confidenciais. Além disso, são oferecidos cursos anuais de atualização a todos os membros da equipe para reforçar seu entendimento e informá-los sobre quaisquer atualizações ou alterações nas políticas de privacidade.

Monitoramento e auditoria: Auditorias regulares são conduzidas pelo Diretor de Privacidade para avaliar a conformidade com as políticas de privacidade e para identificar possíveis áreas de risco. Essas auditorias podem incluir a revisão dos registros de acesso, o monitoramento das transmissões de dados e a avaliação da eficácia das medidas de segurança. A organização utiliza ferramentas de monitoramento para detectar acessos não autorizados ou atividades incomuns que possam indicar uma violação ou não conformidade.

Avaliações de risco: Avaliações periódicas de risco são realizadas para identificar vulnerabilidades no manuseio de PHI e PII. Essas avaliações avaliam a probabilidade e o possível impacto de várias ameaças, como acesso não autorizado, violações de dados ou perda de integridade dos dados. Com base nas descobertas, a organização implementa estratégias de atenuação, como aprimoramento dos controles de segurança, atualização de políticas ou treinamento adicional da equipe.

Revisão da política: As políticas de privacidade são revisadas pelo menos uma vez por ano para garantir que permaneçam alinhadas com as leis, os regulamentos e as práticas recomendadas atuais do setor. Mudanças na legislação, na tecnologia ou nos processos organizacionais podem exigir atualizações nas políticas. Todas as revisões são aprovadas pela gerência sênior e comunicadas imediatamente a todas as partes relevantes, com treinamento adicional fornecido conforme necessário.

5.3 Relatórios e gerenciamento de incidentes

Relatórios de incidentes: Os funcionários e prestadores de serviços são obrigados a relatar qualquer suspeita ou confirmação de violação de PHI ou PII imediatamente após a descoberta. Os relatórios devem ser feitos ao Privacy Officer usando os procedimentos padronizados de relatório de incidentes da organização. A comunicação imediata permite que a organização tome medidas rápidas para conter e reduzir o impacto do incidente.

Resposta a incidentes: Ao receber um relatório de uma possível violação, o Privacy Officer inicia uma investigação para determinar a natureza e o escopo do incidente. A organização segue um plano definido de resposta a incidentes que inclui etapas para contenção, erradicação da ameaça, recuperação de sistemas e comunicação com as partes afetadas. As notificações aos indivíduos e às autoridades reguladoras são feitas de acordo com os requisitos legais, e todas as ações tomadas são cuidadosamente documentadas.

5.4 Comunicação e conscientização

Disseminação de políticas: A organização garante que as políticas de privacidade e os documentos relacionados sejam facilmente acessíveis a todos os funcionários e prestadores de serviços. As políticas estão disponíveis na intranet da organização, nos manuais dos funcionários e durante as sessões de orientação. Comunicações regulares, como boletins informativos ou reuniões de equipe, são usadas para reforçar a importância da privacidade e destacar quaisquer atualizações ou lembretes.

Mecanismos de feedback: São estabelecidos canais abertos de comunicação para que a equipe forneça feedback ou sugestões sobre as práticas de privacidade. Isso pode incluir pesquisas anônimas, caixas de sugestões ou comunicação direta com o Diretor de Privacidade ou com a gerência. A organização valoriza a contribuição dos funcionários e usa o feedback para aprimorar as políticas e os procedimentos de privacidade.

6. Conformidade

Aplicação da lei: A organização impõe a conformidade com as políticas de privacidade por meio de procedimentos disciplinares estabelecidos. A não conformidade pode resultar em medidas disciplinares, incluindo a rescisão do contrato de trabalho. Para contratados e parceiros, as violações das políticas de privacidade podem levar à rescisão de contratos e a possíveis ações legais. A organização tem o compromisso de responsabilizar todos os indivíduos por suas ações para manter uma cultura de conformidade e integridade.

Obrigações legais: A organização é obrigada a aderir a todas as leis de privacidade federais e estaduais aplicáveis, inclusive a HIPAA e a Lei de Privacidade do Consumidor da Califórnia (CCPA). A conformidade com essas leis não é apenas um requisito legal, mas também é essencial para manter a confiança de nossos beneficiários e partes interessadas. A organização coopera totalmente com os órgãos reguladores durante as análises ou investigações de conformidade e toma as medidas corretivas necessárias para tratar de quaisquer descobertas.

7. Revisão e atualização da política

Esta política será revisada anualmente ou conforme necessário devido a mudanças em leis, regulamentos ou requisitos organizacionais. O processo de revisão envolve a avaliação da eficácia das políticas atuais, considerando o feedback da equipe e das partes interessadas e incorporando quaisquer novos desenvolvimentos legais ou tecnológicos. As atualizações da política são aprovadas pela gerência sênior e comunicadas a todos os funcionários e contratados em tempo hábil. São fornecidos treinamento e recursos para garantir que todos entendam e possam implementar as mudanças de forma eficaz.

8. Referências

Esta política é informada e está em conformidade com as seguintes leis, regulamentos e diretrizes:

• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Legislação federal que fornece provisões de privacidade e segurança de dados para proteger informações médicas.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): Lei estadual que aprimora os direitos de privacidade e a proteção ao consumidor para os residentes da Califórnia.
• Diretrizes do programa CalAIM ECM & CS: Diretrizes fornecidas pelo estado para a implementação e operação do programa Enhanced Care Management & Community Support.
• Políticas de privacidade e segurança da organização: Políticas internas que regem o manuseio de informações confidenciais e descrevem o compromisso da organização com a privacidade e a segurança.

1. Finalidade

O objetivo principal desta política é delinear as responsabilidades de todos os membros da equipe na proteção das Informações de Saúde Protegidas (PHI) dentro do Programa CalAIM Enhanced Care Management & Community Support (ECM & CS). Ao aderir a esta política, pretendemos garantir a total conformidade com todas as leis federais e estaduais pertinentes, inclusive a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) e a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA). Proteger as PHI não é apenas uma exigência legal, mas também um aspecto fundamental para manter a confiança dos indivíduos que atendemos.

2. Escopo

Esta política se aplica de forma abrangente a todos os funcionários, contratados, voluntários e quaisquer outros indivíduos que tenham acesso a PHI dentro do programa ECM e CS da CalAIM. Independentemente de sua função ou nível dentro da organização, se você lidar com PHI, você é obrigado a cumprir as diretrizes e os procedimentos descritos nesta política.

3. Definições

Informações de saúde protegidas (PHI): PHI refere-se a qualquer informação de saúde individualmente identificável que seja transmitida ou mantida em qualquer forma ou mídia. Isso inclui registros eletrônicos, documentos em papel e comunicações orais que contenham detalhes pessoais de saúde.

Equipe: Para os fins desta política, “equipe” engloba todos os indivíduos que trabalham no programa ECM e CS da CalAIM. Isso inclui funcionários de tempo integral e de meio período, prestadores de serviços independentes, estagiários e voluntários que possam entrar em contato com PHI.

Programa CalAIM ECM & CS: O Programa de Gerenciamento de Cuidados Aprimorados e Apoio Comunitário do Medi-Cal da Califórnia (Advancing and Innovating Medi-Cal's Enhanced Care Management & Community Support Program) foi criado para oferecer serviços abrangentes de gerenciamento de cuidados a beneficiários do Medi-Cal com necessidades complexas de saúde. O programa se concentra na prestação de cuidados centrados na pessoa que abordam os determinantes médicos e sociais da saúde.

4. Declaração de política

Todos os membros da equipe têm a responsabilidade pessoal e profissional de proteger a confidencialidade, a integridade e a disponibilidade das PHI. Isso significa evitar ativamente o acesso, o uso ou a divulgação não autorizados de PHI em todas as suas formas. A conformidade com esta política é obrigatória, e a equipe deve se familiarizar com todos os procedimentos relacionados para garantir que as PHI sejam manuseadas adequadamente em todos os momentos.

5. Responsabilidades da equipe

5.1 Controle de acesso

Os membros da equipe devem acessar as PHI estritamente com base na necessidade de conhecimento, correspondendo diretamente às suas funções. É proibido acessar as PHI além do que é necessário para a sua função. Cada membro da equipe deve usar credenciais de identificação de usuário exclusivas e senhas robustas para acessar sistemas eletrônicos que contenham PHI. É estritamente proibido compartilhar credenciais de login com outras pessoas. Quando os dispositivos que contêm PHI forem deixados sem supervisão, os funcionários devem garantir que estejam bloqueados ou desconectados para evitar acesso não autorizado.

5.2 Confidencialidade e privacidade

A manutenção da confidencialidade das PHI é fundamental. A equipe só deve divulgar as PHI a indivíduos autorizados que tenham uma necessidade legítima das informações no exercício de suas funções. Ao transmitir PHI eletronicamente, os funcionários devem usar métodos de comunicação seguros e aprovados, como e-mail criptografado ou portais seguros. Discussões verbais envolvendo PHI devem ser conduzidas em ambientes privados para evitar divulgações inadvertidas. Evite discutir PHI em áreas públicas ou em qualquer lugar onde as conversas possam ser ouvidas por pessoas não autorizadas.

5.3 Uso e divulgação de PHI

A equipe pode usar as PHI somente para os fins permitidos por lei, como tratamento, pagamento e operações de saúde. Qualquer uso ou divulgação de PHI fora desses propósitos permitidos requer autorização explícita por escrito do indivíduo. A equipe deve obter essa autorização antes de proceder com tais divulgações. Além disso, a equipe é responsável por manter registros precisos de quaisquer divulgações de PHI, conforme exigido por lei, garantindo transparência e responsabilidade na forma como as PHI são tratadas.

5.4 Salvaguardas físicas e eletrônicas

A proteção das PHI exige medidas de segurança físicas e eletrônicas. Os registros físicos que contêm PHI devem ser armazenados em armários trancados ou salas com acesso controlado para evitar a entrada de pessoas não autorizadas. As PHI eletrônicas devem ser armazenadas em servidores seguros com protocolos de segurança apropriados, incluindo criptografia, quando aplicável. A equipe deve garantir que todos os dispositivos usados para acessar as PHI, como computadores e dispositivos móveis, tenham medidas de segurança atualizadas, incluindo software antivírus e firewalls.

5.5 Descarte de dados

O descarte adequado das PHI é fundamental para evitar o acesso não autorizado depois que as informações não forem mais necessárias. Os registros em papel que contêm PHI devem ser triturados ou incinerados antes do descarte. Para dados eletrônicos, a equipe deve usar métodos aprovados para excluir permanentemente as PHI dos dispositivos antes que eles sejam descartados ou reaproveitados. A simples exclusão de arquivos não é suficiente; os dados devem ser tornados irrecuperáveis.

5.6 Relatórios e resposta a incidentes

No caso de uma violação suspeita ou real de PHI, a equipe deve informar o incidente imediatamente ao diretor de conformidade ou à autoridade designada. A comunicação imediata permite que a organização tome medidas rápidas para mitigar qualquer dano potencial. Os funcionários devem cooperar totalmente com quaisquer investigações relacionadas a possíveis violações ou violações, fornecendo informações precisas e completas conforme solicitado.

5.7 Treinamento e conformidade

Todos os membros da equipe devem realizar anualmente um treinamento obrigatório sobre proteção de PHI e conformidade com a HIPAA. Esse treinamento foi criado para manter a equipe informada sobre as práticas recomendadas, requisitos legais e quaisquer atualizações de políticas e procedimentos. Também se espera que a equipe se mantenha informada sobre as mudanças nas leis e regulamentos que possam afetar a forma como as PHI são tratadas na organização.

5.8 Sanções por não conformidade

O não cumprimento desta política pode ter consequências graves. Os funcionários que violarem a política poderão sofrer ações disciplinares, que podem incluir advertências verbais ou por escrito, suspensão ou demissão, dependendo da gravidade da violação. Além disso, a divulgação não autorizada de PHI pode resultar em penalidades legais, incluindo multas e acusações criminais. É essencial que a equipe compreenda a gravidade dessas responsabilidades e as possíveis repercussões da não conformidade.

6. Procedimentos

6.1 Plano de resposta a incidentes

No caso de uma violação de PHI, a equipe deve seguir o plano de resposta a incidentes da organização. Isso envolve a comunicação imediata, a contenção da violação, se possível, e a documentação de todos os detalhes relevantes. O plano de resposta a incidentes descreve as medidas específicas a serem tomadas para lidar com a violação, incluindo notificações aos indivíduos afetados e aos órgãos reguladores, conforme exigido por lei.

6.2 Auditoria e monitoramento

A organização realiza auditorias regulares para garantir a conformidade com as políticas de proteção de PHI. Os funcionários podem ser solicitados a participar dessas auditorias, fornecendo acesso a registros ou sistemas e respondendo a perguntas sobre suas práticas. As auditorias ajudam a identificar possíveis pontos fracos nas medidas de segurança e oferecem oportunidades de melhoria.

6.3 Uso de dispositivos pessoais

Os funcionários que desejarem usar dispositivos pessoais para acessar PHI devem obter autorização prévia da organização. Os dispositivos pessoais autorizados devem atender aos padrões de segurança da organização, o que pode incluir a instalação de um software de segurança específico, a ativação da criptografia do dispositivo e a concordância com os recursos de limpeza remota em caso de perda ou roubo do dispositivo.

7. Conformidade e aplicação

Para manter os mais altos padrões de proteção de PHI, a organização realizará verificações e avaliações regulares de conformidade. Espera-se que a equipe coopere totalmente com esses esforços. Quaisquer violações desta política serão tratadas prontamente de acordo com os procedimentos disciplinares da organização. As medidas de aplicação são tomadas não apenas para corrigir o comportamento individual, mas também para manter a integridade do compromisso da organização com a proteção de PHI.

8. Análise e revisão

Esta política passará por uma revisão completa anualmente para garantir que permaneça atualizada com as mudanças nas leis, regulamentos e práticas organizacionais. A equipe é incentivada a fornecer feedback sobre a política e sugerir melhorias. As atualizações da política serão comunicadas a todos os funcionários, que são responsáveis por se familiarizarem com quaisquer alterações.

1. Finalidade

O objetivo desta política é estabelecer diretrizes e procedimentos abrangentes para abordar e penalizar o uso negligente ou abuso de Informações de Saúde Protegidas (PHI) dentro do Programa de Gestão de Cuidados Avançados e Apoio Comunitário (ECM & CS) da CalAIM. Essa política visa garantir o cumprimento rigoroso de todas as leis federais e estaduais aplicáveis, inclusive a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) e a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA). Ao definir claramente as expectativas e as consequências, buscamos proteger a confidencialidade, a integridade e a segurança das PHI, mantendo, assim, a confiança dos indivíduos que atendemos.

2. Escopo

Esta política se aplica a todos os indivíduos que têm acesso a PHI dentro do programa CalAIM ECM & CS. Isso inclui, mas não se limita a, funcionários, contratados, voluntários, estagiários e associados comerciais. Abrange qualquer pessoa que interaja com PHI em qualquer capacidade, seja por meio de atendimento direto ao paciente, funções administrativas ou serviços de apoio.

3. Definições

Informações de saúde protegidas (PHI): Refere-se a qualquer informação, inclusive dados demográficos, relacionada ao estado de saúde física ou mental passado, presente ou futuro de um indivíduo, ao fornecimento de assistência médica ou ao pagamento de serviços de assistência médica, que pode ser usada para identificar o indivíduo. As PHI podem existir em várias formas, como registros eletrônicos, documentos em papel ou comunicações verbais.

Uso negligente ou abuso: Descreve qualquer ação ou inação que demonstre falha em exercer o nível adequado de cuidado no manuseio de PHI, resultando em acesso não autorizado, divulgação, alteração ou destruição de tais informações. Isso inclui atos intencionais e não intencionais que comprometem a confidencialidade e a segurança das PHI.

Programa CalAIM ECM & CS: Significa California Advancing and Innovating Medi-Cal Enhanced Care Management & Community Support Program. É uma iniciativa estadual que visa a fornecer serviços abrangentes de gerenciamento de atendimento a beneficiários do Medi-Cal com necessidades complexas, com foco no atendimento integral à pessoa e em melhores resultados de saúde.

4. Declaração de política

Espera-se que todo o pessoal afiliado ao programa ECM e CS da CalAIM trate as PHI com o máximo de confidencialidade e profissionalismo. O uso negligente ou abuso de PHI é estritamente proibido. Qualquer violação desta política resultará em ações disciplinares que podem incluir retreinamento, suspensão, rescisão do contrato de trabalho ou de relações contratuais e possíveis consequências legais. A organização tem o compromisso de aplicar esta política de forma consistente e justa para proteger os direitos e a privacidade dos indivíduos e para cumprir as obrigações legais e éticas.

5. Procedimentos

5.1. Acesso e uso de PHI

Os funcionários estão autorizados a acessar as PHI estritamente com base na necessidade de conhecimento, conforme necessário para desempenhar suas funções específicas. Ao lidar com as PHI, os indivíduos devem usar métodos seguros para transmissão e armazenamento, como e-mails criptografados, transferências seguras de arquivos e armários de arquivo trancados para documentos físicos. Antes de divulgar PHI, a equipe deve verificar a identidade e a autoridade da parte solicitante para garantir que ela tenha direitos de acesso legítimos. Todos os dispositivos e sistemas eletrônicos usados para acessar as PHI devem ser protegidos por senha e estar em conformidade com os protocolos de segurança cibernética da organização.

5.2. Comunicação de violações

Se um indivíduo suspeitar ou tomar conhecimento de qualquer uso indevido, acesso não autorizado ou violação de segurança envolvendo PHI, ele é obrigado a comunicar o fato imediatamente ao Compliance Officer ou à autoridade designada. O relatório deve incluir todos os detalhes relevantes para facilitar uma investigação completa. Espera-se que os funcionários cooperem totalmente com qualquer investigação interna ou externa, fornecendo informações verdadeiras e completas para ajudar a resolver o problema prontamente.

5.3. Treinamento

Todos os funcionários devem concluir o treinamento obrigatório sobre manuseio de PHI, políticas de privacidade e protocolos de segurança no momento da contratação e, posteriormente, anualmente. O treinamento abrangerá tópicos como reconhecimento de PHI, compreensão das leis de privacidade, métodos adequados de manuseio e descarte de PHI e procedimentos para relatar violações. Os funcionários também são responsáveis por se manterem informados sobre quaisquer atualizações ou alterações nas leis, regulamentos ou políticas organizacionais relevantes que possam afetar suas funções.

6. Penalidades e ações disciplinares

As penalidades por uso negligente ou abuso de PHI serão determinadas com base na gravidade, na intenção e nas circunstâncias que envolvem a violação. A organização se reserva o direito de considerar o histórico de conformidade do indivíduo ao decidir sobre as ações disciplinares apropriadas.

6.1. Violações menores

As violações menores são ações não intencionais que podem não resultar em danos significativos, mas indicam um lapso no cumprimento dos procedimentos adequados. Os exemplos incluem a visualização inadvertida de PHI não relacionada às funções de trabalho ou o esquecimento de fazer logoff de uma estação de trabalho, o que pode expor informações a indivíduos não autorizados.

• Primeira infração: O indivíduo receberá uma advertência verbal e deverá passar imediatamente por um novo treinamento sobre políticas e procedimentos de PHI.
• Segunda infração: Será emitida uma advertência por escrito, e o funcionário será obrigado a participar de sessões de treinamento adicionais com foco em práticas de privacidade e segurança.
• Ofensas subsequentes: Outras violações podem resultar em suspensão sem remuneração ou rescisão do contrato de trabalho, dependendo das circunstâncias e do histórico geral de desempenho do indivíduo.

6.2. Violações moderadas

As violações moderadas envolvem ações que podem expor as PHI a partes não autorizadas ou demonstram um desrespeito aos protocolos estabelecidos. Exemplos incluem compartilhar PHI com pessoal não autorizado ou deixar PHI física ou eletrônica sem segurança.

• Primeira infração: O indivíduo receberá uma advertência por escrito e deverá participar de sessões obrigatórias de retreinamento. Dependendo da gravidade, uma suspensão pode ser considerada.
• Segunda infração: O funcionário poderá ser suspenso sem remuneração, e uma reavaliação de sua função e privilégios de acesso será realizada para determinar se são necessários ajustes para evitar futuros incidentes.
• Ofensas subsequentes: Pode ocorrer a rescisão do contrato de trabalho ou de acordos contratuais, além da possibilidade de denunciar o indivíduo a conselhos de licenciamento profissional ou agências reguladoras para que sejam tomadas medidas adicionais.

6.3. Violações graves

Violações graves são atos intencionais ou negligência repetida que resultam em danos significativos ou representam riscos substanciais aos direitos de privacidade dos indivíduos. Os exemplos incluem a divulgação deliberada de PHI para ganho pessoal, intenção maliciosa ou falha em corrigir o comportamento negligente após receber avisos prévios.

• Ações imediatas: O indivíduo será imediatamente demitido de seu emprego ou de suas relações contratuais. O acesso a todos os sistemas e instalações da organização será revogado imediatamente.
• Consequências legais: A organização comunicará o incidente aos órgãos reguladores apropriados, como o Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS), e poderá mover ações civis ou criminais contra o indivíduo. A organização também poderá cooperar com as agências de aplicação da lei em qualquer investigação ou processo legal.

7. Responsabilidades

7.1. Funcionários e contratados

Todos os funcionários e prestadores de serviços são responsáveis por aderir estritamente às políticas e procedimentos de PHI. Isso inclui proteger ativamente as PHI, usá-las adequadamente e evitar acesso ou divulgação não autorizados. Os indivíduos devem relatar prontamente quaisquer violações suspeitas ou reais e participar integralmente de todos os treinamentos e atividades educacionais necessários para permanecerem em conformidade com as leis e os padrões organizacionais atuais.

7.2. Gerenciamento

Os gerentes e supervisores são responsáveis por aplicar esta política de forma consistente e imparcial. Eles devem garantir que suas equipes compreendam a importância da segurança das PHI e forneçam os recursos e o suporte necessários para a conformidade. A gerência deve monitorar a adesão de sua equipe às políticas, abordar quaisquer problemas de forma proativa e tomar as medidas disciplinares adequadas quando ocorrerem violações.

7.3. Diretor de conformidade

O diretor de conformidade supervisiona a implementação e a aplicação desta política. Essa função inclui a realização de auditorias regulares, a investigação de violações relatadas, a manutenção de registros de incidentes e ações corretivas e a atualização de políticas conforme necessário. O diretor de conformidade atua como um recurso para que a equipe possa responder a perguntas ou preocupações sobre o manuseio de PHI e questões de conformidade.

8. Monitoramento e auditoria

Para garantir a conformidade contínua com os procedimentos de manuseio de PHI, a organização realizará atividades regulares de monitoramento e auditoria. Essas atividades podem incluir a revisão dos registros de acesso, a avaliação das medidas de segurança e a avaliação da conformidade com os requisitos de treinamento. Quaisquer discrepâncias ou áreas de não conformidade identificadas durante as auditorias serão tratadas imediatamente. As ações corretivas podem envolver treinamento adicional, revisões de políticas ou medidas disciplinares de acordo com esta política.

9. Referências

Esta política é informada e está em conformidade com as seguintes leis e diretrizes:

• HIPAA (Health Insurance Portability and Accountability Act) de 1996: Lei federal que estabelece padrões nacionais para a proteção de registros médicos de indivíduos e outras informações pessoais de saúde.
• Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA): Lei estadual que fornece proteções adicionais para a confidencialidade das informações médicas na Califórnia.
• Diretrizes do programa CalAIM ECM & CS: Diretrizes específicas do estado que descrevem os requisitos e as expectativas para o Programa de Gerenciamento de Cuidados Aprimorados e Apoio Comunitário no âmbito do CalAIM.

10. Revisão da política

Esta política será submetida a uma revisão formal anualmente ou conforme necessário devido a mudanças nas leis, regulamentos ou práticas organizacionais relevantes. O processo de revisão envolverá a avaliação da eficácia da política, a incorporação do feedback das partes interessadas e a realização das atualizações necessárias para garantir a conformidade e a proteção contínuas das PHI.

1. Finalidade

A confidencialidade das informações dos participantes é um elemento fundamental do programa CalAIM Enhanced Care Management & Community Support (ECM & CS). Esta política foi estabelecida para fornecer diretrizes e procedimentos claros para a comunicação imediata de qualquer suspeita ou violação real de confidencialidade. Ao aderir a essa política, garantimos a conformidade com os requisitos legais, protegemos as informações dos participantes e defendemos a confiança depositada em nós pelos indivíduos e comunidades que atendemos.

2. Escopo

Esta política se aplica a todos os indivíduos envolvidos no Programa ECM e CS da CalAIM, incluindo funcionários, contratados, voluntários e parceiros que lidam com informações confidenciais dos participantes. Ela abrange todas as formas de Informações de Saúde Protegidas (PHI) e Informações Pessoais Identificáveis (PII), sejam elas armazenadas ou transmitidas eletronicamente, em papel ou comunicadas verbalmente.

3. Definições

Violação de confidencialidade: Uma violação de confidencialidade refere-se a qualquer aquisição, acesso, uso ou divulgação não autorizados de PHI ou PII que comprometa a segurança ou a privacidade de tais informações. Isso inclui incidentes em que as informações são acessadas por indivíduos sem a devida autorização ou usadas para fins não permitidos pelas políticas organizacionais ou pelas leis aplicáveis.

Informações de saúde protegidas (PHI): As PHI incluem qualquer informação sobre o estado de saúde de um indivíduo, o fornecimento de assistência médica ou o pagamento de assistência médica que possa ser vinculado a uma pessoa específica. Isso engloba uma ampla gama de dados, como registros médicos, históricos de saúde, resultados de exames e informações de seguro.

Informações Pessoais Identificáveis (PII): PII refere-se a quaisquer dados que possam identificar, contatar ou localizar uma única pessoa, ou que possam ser usados com outras fontes para identificar um único indivíduo. Os exemplos incluem nomes, endereços, números de previdência social e datas de nascimento.

4. Declaração de política

Todos os funcionários são obrigados a manter os mais altos padrões de confidencialidade com relação às informações dos participantes. No caso de uma violação de confidencialidade suspeita ou real, é obrigatório relatar o incidente imediatamente após a descoberta. A comunicação em tempo hábil é essencial para iniciar os esforços de mitigação imediata, cumprir as obrigações legais e minimizar os possíveis danos aos indivíduos afetados. O atraso na comunicação pode exacerbar o impacto da violação e resultar em não conformidade com os requisitos regulamentares.

5. Procedimentos para a comunicação de violações

Ação imediata após a descoberta

Quando houver suspeita ou confirmação de uma violação, a pessoa que tomar conhecimento do incidente deverá tomar medidas imediatas para denunciá-lo. O primeiro ponto de contato deve ser o supervisor direto. O primeiro ponto de contato deve ser seu supervisor direto. A denúncia deve ser feita verbalmente e o mais rápido possível para garantir uma ação rápida. Se o supervisor não estiver disponível, ou se o indivíduo acreditar que não é apropriado fazer a denúncia a ele, o Privacy Officer designado ou o Departamento de Conformidade deve ser contatado diretamente.

Fornecimento de informações detalhadas

Ao relatar a violação, o indivíduo deve fornecer detalhes abrangentes para facilitar uma resposta eficaz. Isso inclui:

• Descrição do incidente: Um relato claro e conciso do que ocorreu, incluindo como e quando a violação foi descoberta.
• Tipos de informações comprometidas: Identificação dos tipos específicos de PHI ou PII envolvidos na violação.
• Indivíduos afetados: Informações sobre o número e, se conhecidas, as identidades dos indivíduos cujas informações foram comprometidas.
• Ações imediatas tomadas: Todas as medidas já tomadas para conter ou atenuar a violação devem ser descritas.

Preenchimento do relatório de incidentes

Após o relatório verbal inicial, o indivíduo deve preencher um formulário oficial de relatório de incidente fornecido pelo Departamento de Conformidade. Esse documento deve registrar todos os detalhes conhecidos da violação e ser enviado imediatamente. A documentação precisa é fundamental para a conformidade legal e para orientar a investigação e a resposta subsequentes.

Manutenção da confidencialidade durante os relatórios

Durante todo o processo de relatório, é imperativo manter a confidencialidade estrita. Os detalhes da violação não devem ser divulgados a pessoas não autorizadas. Discutir o incidente fora dos canais oficiais de denúncia e investigação pode levar a outras divulgações não autorizadas e comprometer a integridade da investigação.

6. Processo de investigação

Início da investigação

O Privacy Officer é responsável por iniciar uma investigação dentro de 24 horas após a denúncia da violação. O objetivo da investigação é determinar o escopo, a causa e o possível impacto da violação. Ela também avaliará se a violação resultou de problemas sistêmicos ou de incidentes isolados.

Cooperação e suporte

Espera-se que todos os funcionários cooperem plenamente com a investigação. Isso inclui o fornecimento de informações adicionais conforme solicitado, a participação em entrevistas e a ajuda na identificação de fatores que contribuíram para a violação. A cooperação é essencial para uma investigação completa e eficaz.

Avaliação e documentação

A investigação avaliará a extensão da violação, incluindo o número de indivíduos afetados e a sensibilidade das informações comprometidas. Todas as descobertas serão minuciosamente documentadas, e a documentação será mantida em segurança para proteger a confidencialidade e cumprir os requisitos legais.

7. Mitigação e notificação

Medidas de contenção imediatas

Após a confirmação de uma violação, serão tomadas medidas imediatas para conter o incidente e evitar mais acesso ou divulgação não autorizados. Isso pode envolver a proteção de registros físicos, a desativação de contas de usuários comprometidas ou outras ações apropriadas à natureza da violação.

Conformidade legal e notificações

A organização cumprirá todas as obrigações legais relativas a notificações de violação. Isso inclui:

• Notificação de indivíduos afetados: Os indivíduos cujas informações foram comprometidas serão notificados em tempo hábil, conforme exigido por lei. As notificações incluirão informações sobre a violação, as medidas que o indivíduo pode tomar para se proteger e o que a organização está fazendo para resolver a situação.
• Relatórios para órgãos reguladores: A organização informará a violação aos órgãos reguladores relevantes, como o Departamento de Saúde e Serviços Humanos (HHS), de acordo com as normas da HIPAA, se necessário.
• Envolvimento da aplicação da lei: Se houver suspeita de atividade criminosa, as agências de aplicação da lei apropriadas serão notificadas.

Ações corretivas

Com base nos resultados da investigação, a organização implementará ações corretivas para evitar futuras violações. Isso pode incluir a revisão de políticas e procedimentos, o aprimoramento de medidas de segurança, o fornecimento de treinamento adicional ao pessoal ou outras medidas apropriadas.

8. Treinamento e educação

Programas de treinamento obrigatórios

Todos os funcionários são obrigados a participar de um treinamento anual sobre políticas de confidencialidade e segurança de dados. O treinamento abrangerá:

• Compreensão de PHI e PII: Definições e exemplos para garantir clareza sobre o que constitui informação confidencial.
• Requisitos legais: Uma visão geral das leis e normas que regem a confidencialidade, como a HIPAA e leis específicas do estado.
• Identificação e comunicação de violações: Orientação sobre o reconhecimento de possíveis violações e os procedimentos para relatá-las.
• Práticas recomendadas para segurança de dados: Estratégias para proteger informações confidenciais nas atividades diárias de trabalho.

Educação contínua

Além do treinamento anual, a organização fornecerá educação contínua por meio de atualizações, boletins informativos ou reuniões para manter o pessoal informado sobre mudanças nas políticas, ameaças emergentes ou novos requisitos regulamentares.

9. Política de não retaliação

Proteção para denúncias de boa-fé

A organização tem o compromisso de promover um ambiente em que os funcionários possam denunciar violações sem medo de retaliação. Os indivíduos que, de boa-fé, denunciam violações suspeitas ou reais estão protegidos por esta política. A retaliação contra qualquer indivíduo por denunciar uma violação é estritamente proibida e não será tolerada.

Consequências da retaliação

Qualquer ato de retaliação estará sujeito a ações disciplinares, incluindo a rescisão do contrato de trabalho ou de acordos contratuais. Os funcionários são incentivados a relatar qualquer preocupação sobre retaliação ao Departamento de Conformidade ou ao Departamento de Recursos Humanos.

10. Ações disciplinares

Responsabilização por não conformidade

Os funcionários que não cumprirem esta política poderão sofrer ações disciplinares. A não conformidade inclui a não comunicação de violações, o manuseio incorreto de informações confidenciais ou a obstrução de uma investigação.

Variedade de medidas disciplinares

As ações disciplinares serão proporcionais à gravidade da violação e podem incluir:

• Avisos verbais ou escritos: Para infrações menores ou de primeira ocorrência.
• Retreinamento obrigatório: Para abordar lacunas no conhecimento ou na compreensão.
• Suspensão: Afastamento temporário das funções enquanto se aguarda uma investigação mais aprofundada.
• Rescisão: Para violações graves ou repetidas.
• Ação legal: Em casos que envolvam negligência grave, má conduta intencional ou violações da lei, podem ser iniciados processos legais.

11. Revisão e atualizações de políticas

Processo de revisão regular

Esta política será submetida a uma revisão formal pelo menos uma vez por ano ou com mais frequência, se exigido por mudanças nas leis, regulamentos ou práticas organizacionais. A revisão avaliará a eficácia da política e incorporará as atualizações necessárias.

Comunicação de mudanças

Todas as revisões da política serão comunicadas imediatamente a todos os funcionários. As atualizações serão distribuídas por meio dos canais oficiais de comunicação, e sessões adicionais de treinamento ou informação poderão ser oferecidas para garantir a compreensão e a conformidade.

1. Finalidade

O objetivo desta política é estabelecer diretrizes e procedimentos abrangentes para proteger o acesso físico às instalações envolvidas no programa California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). A proteção do acesso físico é fundamental para garantir a segurança de funcionários, clientes e visitantes, bem como para proteger informações confidenciais e ativos organizacionais. Esta política tem como objetivo reduzir os riscos associados à entrada não autorizada, roubo e possíveis violações que possam comprometer a integridade de nossas operações e a conformidade com os requisitos legais e regulamentares.

2. Escopo

Esta política se aplica a todos os indivíduos que acessam as instalações físicas da [Nome da Empresa] onde as atividades do Programa CalAIM ECM & CS são conduzidas. Isso inclui funcionários de todos os níveis, contratados, fornecedores, trabalhadores temporários, estagiários, voluntários e visitantes. A política abrange todos os locais físicos pertencentes, alugados ou operados pela empresa, incluindo escritórios, clínicas, centros de dados e quaisquer locais externos onde os negócios da empresa são realizados.

3. Definições

• Pessoal autorizado: Indivíduos que receberam permissão para acessar áreas específicas das instalações com base em suas responsabilidades profissionais e após os processos de aprovação apropriados.
• Áreas sensíveis: Locais dentro da instalação que abrigam informações confidenciais, sistemas críticos ou realizam operações restritas. Os exemplos incluem salas de servidores, áreas de armazenamento de registros e escritórios executivos.
• Controles de acesso físico: Medidas de segurança, como fechaduras, sistemas de controle de acesso eletrônico, scanners biométricos, pessoal de segurança e equipamentos de vigilância usados para regular a entrada e a saída das instalações.

4. Detalhes da política

4.1 Controles de segurança física

Todos os pontos de entrada da instalação devem ser protegidos para evitar o acesso não autorizado. Isso envolve a instalação e a manutenção de barreiras físicas, como portas trancadas, portões de segurança e catracas. A instalação deve empregar sistemas avançados de controle de acesso, incluindo cartões-chave, scanners biométricos ou números de identificação pessoal (PINs), para autenticar as pessoas que desejam entrar, especialmente em áreas sensíveis.

Sinalização clara e visível deve ser colocada em todas as áreas restritas, indicando que o acesso é limitado apenas ao pessoal autorizado e descrevendo os requisitos para a entrada. Deve-se manter uma iluminação adequada ao redor do perímetro e em todas as entradas para aumentar a visibilidade e impedir o acesso não autorizado. O pessoal de segurança pode estar posicionado em locais importantes para monitorar a entrada, auxiliar nos procedimentos de controle de acesso e responder a incidentes.

Devem ser realizadas inspeções regulares e verificações de manutenção em todos os equipamentos de segurança física para garantir a funcionalidade ideal. Qualquer defeito ou mau funcionamento deve ser comunicado imediatamente à equipe de gerenciamento das instalações e reparado prontamente para manter a integridade das medidas de segurança.

4.2 Procedimentos de controle de acesso

Os direitos de acesso às instalações e às suas áreas sensíveis são concedidos com base no princípio do menor privilégio. Os indivíduos recebem o nível mínimo de acesso necessário para desempenhar suas funções de trabalho específicas. Antes de o acesso ser concedido, uma solicitação formal deve ser enviada e aprovada pelo supervisor do indivíduo e pelo departamento de segurança. Esse processo de aprovação garante que somente as pessoas com uma necessidade legítima possam acessar áreas confidenciais.

O compartilhamento de credenciais de acesso, como cartões-chave ou PINs, é estritamente proibido. Cada indivíduo é responsável pela segurança de suas credenciais de acesso e deve informar imediatamente ao departamento de segurança qualquer perda ou roubo de credenciais. A comunicação imediata permite a desativação de credenciais comprometidas para evitar o acesso não autorizado.

O departamento de segurança realizará auditorias regulares dos registros de acesso e dos níveis de autorização. Essas auditorias ajudam a identificar quaisquer tentativas de acesso não autorizado, a garantir que os direitos de acesso permaneçam adequados às responsabilidades atuais do trabalho e a detectar irregularidades que possam indicar uma violação de segurança.

4.3 Gerenciamento de visitantes

Todos os visitantes do estabelecimento devem aderir aos procedimentos de gerenciamento de visitantes criados para proteger a segurança do estabelecimento e de seus ocupantes. Ao chegar, os visitantes devem se registrar na recepção, fornecendo uma identificação válida emitida pelo governo para verificação. Eles receberão crachás de identificação temporários, que devem ser usados de forma visível o tempo todo enquanto estiverem nas instalações.

Os visitantes devem ser acompanhados por pessoal autorizado durante toda a visita. Isso garante que os visitantes não acessem inadvertidamente áreas restritas ou sensíveis e que suas atividades dentro das instalações sejam monitoradas. Em geral, os visitantes ficam restritos a áreas não confidenciais, a menos que tenham recebido autorização explícita da gerência para acessar áreas confidenciais específicas para uma finalidade legítima.

Ao término da visita, os visitantes devem devolver seus crachás de identificação temporários e assinar a saída na recepção. A equipe da recepção deve verificar se todos os visitantes saíram e se nenhum crachá temporário foi esquecido.

4.4 Responsabilidades dos funcionários

Os funcionários desempenham um papel fundamental na manutenção da segurança física das instalações. Eles são obrigados a concluir o treinamento de conscientização sobre segurança no momento da contratação e a participar de sessões de treinamento de atualização anualmente ou conforme necessário. Esse treinamento abrange a importância da segurança física, os procedimentos para acessar áreas sensíveis e os protocolos para relatar incidentes de segurança.

Os funcionários são responsáveis pela segurança de materiais confidenciais, tanto físicos quanto eletrônicos. Isso inclui trancar armários de arquivos, proteger documentos quando não estiverem em uso e garantir que as estações de trabalho estejam trancadas quando não estiverem sendo usadas. Os funcionários devem ficar atentos e relatar imediatamente ao supervisor ou ao departamento de segurança quaisquer atividades suspeitas, indivíduos não autorizados ou violações de segurança.

Em caso de demissão ou mudança nas responsabilidades do trabalho, todos os direitos de acesso devem ser revogados ou ajustados imediatamente. O departamento de recursos humanos, em coordenação com o departamento de segurança, é responsável por garantir que os funcionários que estão saindo devolvam todos os bens da empresa, inclusive as credenciais de acesso, e que seu acesso às instalações e aos sistemas de informação seja encerrado.

4.5 Monitoramento e vigilância

A instalação empregará um sistema abrangente de monitoramento e vigilância para aumentar a segurança. Câmeras de vigilância serão instaladas em todos os pontos de entrada, saídas e áreas sensíveis. Essas câmeras funcionarão em conformidade com todas as leis e regulamentos de privacidade aplicáveis, garantindo que o monitoramento seja conduzido de forma ética e legal.

As imagens de vigilância serão armazenadas de forma segura por um período definido por requisitos legais ou pela política da empresa, normalmente um mínimo de 90 dias. O acesso às imagens de vigilância é restrito ao pessoal autorizado e usado exclusivamente para fins de segurança. O departamento de segurança é responsável por analisar regularmente as imagens para detectar e investigar quaisquer atividades suspeitas ou incidentes de segurança.

Serão instalados sistemas de alarme para detectar tentativas de acesso não autorizado, violações ou outros incidentes de segurança. Esses sistemas serão conectados a uma estação central de monitoramento com uma equipe de segurança que poderá responder prontamente a qualquer alerta.

4.6 Resposta a emergências e incidentes

A organização tem o compromisso de garantir a segurança de todo o pessoal durante emergências. Todas as saídas de emergência devem ser claramente marcadas com sinalização iluminada e mantidas livres de obstruções o tempo todo para garantir uma evacuação segura e rápida. Devem ser desenvolvidos planos de evacuação para cada instalação, detalhando os procedimentos para vários cenários de emergência, como incêndios, desastres naturais ou ameaças à segurança.

Esses planos de evacuação serão comunicados a todos os funcionários por meio de sessões de treinamento e afixados em locais visíveis em toda a instalação. Serão realizados exercícios regulares para familiarizar os funcionários com as rotas e os procedimentos de evacuação. O feedback desses exercícios será usado para melhorar a eficácia dos planos de resposta a emergências.

No caso de uma violação de segurança ou emergência, o Plano de Resposta a Incidentes deve ser seguido. Esse plano descreve as funções e responsabilidades dos funcionários, os protocolos de comunicação e as etapas para mitigar o incidente e restaurar as operações normais. Kits de primeiros socorros e informações de contato de emergência estarão prontamente disponíveis em toda a instalação para ajudar em caso de ferimentos ou emergências médicas.

4.7 Conformidade e aplicação

A adesão a esta política é obrigatória para todos os funcionários que acessam as instalações. O não cumprimento pode resultar em ações disciplinares, incluindo advertências verbais ou por escrito, suspensão, rescisão do contrato de trabalho ou ação legal, dependendo da gravidade da violação. A organização tem o compromisso de aplicar esta política de forma justa e consistente.

A empresa deve garantir que todas as práticas de segurança física estejam em conformidade com as regulamentações federais, estaduais e locais aplicáveis, incluindo a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e as diretrizes emitidas pelo Departamento de Serviços de Saúde da Califórnia (DHCS).

Os funcionários são incentivados a comunicar quaisquer preocupações ou sugestões relacionadas à segurança física ao seu supervisor ou ao departamento de segurança. Esse feedback é valioso para o aprimoramento contínuo das medidas de segurança.

5. Revisão da política

Esta política será submetida a uma revisão abrangente pelo menos uma vez por ano ou sempre que ocorrerem mudanças significativas no ambiente normativo ou nas práticas organizacionais. O processo de revisão envolverá as principais partes interessadas, inclusive representantes dos departamentos de segurança, recursos humanos, jurídico e operacional. O objetivo é garantir que a política permaneça eficaz, relevante e em conformidade com todas as leis e normas vigentes.

Todas as revisões da política serão comunicadas a todos os funcionários por meio de canais oficiais, e treinamento adicional será fornecido conforme necessário para garantir a compreensão e a conformidade.

6. Referências

• Regulamentos do Departamento de Serviços de Saúde da Califórnia (DHCS): Fornece diretrizes e requisitos para serviços de saúde na Califórnia, que devem ser seguidos na operação do programa CalAIM ECM & CS.
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Lei federal que estabelece padrões para a proteção de informações confidenciais sobre a saúde dos pacientes.

1. Finalidade

O objetivo principal desta política é estabelecer diretrizes e procedimentos abrangentes para proteger o acesso eletrônico a informações confidenciais de pacientes dentro do programa California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Ao implementar esta política, garantimos a adesão a todas as leis federais e estaduais pertinentes, incluindo a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), promovendo assim a confidencialidade, a integridade e a disponibilidade das informações eletrônicas de saúde.

2. Escopo

Esta política é aplicável a todos os indivíduos envolvidos no Programa ECM e CS da CalAIM, incluindo funcionários, contratados, voluntários e parceiros que tenham qualquer forma de acesso a informações eletrônicas de pacientes e sistemas relacionados. Ela abrange todas as informações eletrônicas de saúde protegidas (ePHI) que são criadas, armazenadas, transmitidas ou recebidas eletronicamente dentro do escopo do programa.

3. Definições

Para os fins desta política:

• Informações eletrônicas de saúde protegidas (ePHI): Refere-se a qualquer informação de saúde protegida que seja manuseada eletronicamente, seja ela criada, armazenada, transmitida ou recebida.
• Usuário: Qualquer indivíduo que esteja autorizado a acessar o ePHI nos sistemas associados ao programa CalAIM ECM & CS.
• Autenticação: O processo utilizado para verificar a identidade de um usuário ou sistema, garantindo que o acesso seja concedido somente a indivíduos autorizados.

4. Declarações de política

4.1 Conformidade com leis e regulamentos

Todo acesso eletrônico às informações do paciente deve ser conduzido em estrita conformidade com as leis federais e estaduais, incluindo, entre outras, as seguintes:

• As Regras de Privacidade e Segurança da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), que estabelecem padrões nacionais para a proteção de informações de saúde.
• A Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA), que rege a confidencialidade e a divulgação de informações médicas no estado.
• Quaisquer outras regulamentações federais e estaduais aplicáveis que digam respeito à proteção de informações de saúde.

4.2 Controle de acesso

O acesso ao ePHI deve ser cuidadosamente controlado e gerenciado para evitar o acesso não autorizado:

• Acesso baseado em função: Os direitos de acesso ao ePHI serão concedidos com base nas funções e responsabilidades específicas dos usuários dentro do programa CalAIM ECM & CS. Isso garante que os indivíduos tenham acesso apenas às informações necessárias para suas funções de trabalho.
• Princípio do menor privilégio: Os usuários receberão o nível mínimo de acesso - ou permissões - necessário para desempenhar suas funções com eficiência. Isso minimiza o risco de acesso não autorizado ou violações de dados.
• Processo de autorização: Todo acesso deve ser formalmente autorizado pelo supervisor apropriado ou pelo administrador do programa. Isso envolve um processo de aprovação documentado para garantir a responsabilidade.

4.3 Medidas de autenticação

Para proteger contra acesso não autorizado, serão implementadas medidas robustas de autenticação:

• Identificadores exclusivos de usuário: Cada usuário receberá um ID de usuário exclusivo para garantir que todas as atividades possam ser rastreadas e atribuídas com precisão.
• Políticas de senhas fortes: Os usuários devem criar senhas fortes que atendam aos requisitos de complexidade, como um comprimento mínimo e a inclusão de uma combinação de letras, números e caracteres especiais. As senhas devem ser alteradas regularmente para manter a segurança.
• Autenticação multifator (MFA): A MFA será empregada, especialmente para acesso remoto e sistemas considerados de alto risco, acrescentando uma camada extra de segurança além das simples senhas.

4.4 Criptografia de dados

A criptografia é essencial para proteger o ePHI contra acesso não autorizado durante a transmissão e o armazenamento:

• Criptografia em trânsito: Todos os ePHIs transmitidos por redes devem ser criptografados usando protocolos de criptografia padrão do setor, como TLS ou SSL. Isso garante que os dados interceptados durante a transmissão não possam ser lidos por partes não autorizadas.
• Criptografia em repouso: Os ePHIs armazenados em servidores, bancos de dados, laptops e outros dispositivos também devem ser criptografados para proteger os dados em caso de roubo físico ou acesso não autorizado.

4.5 Segurança física

O acesso físico ao hardware e às instalações que armazenam ePHI deve ser protegido:

• Instalações seguras: Áreas como salas de servidores devem ter acesso controlado, usando fechaduras, cartões de acesso ou sistemas biométricos para impedir a entrada não autorizada.
• Segurança do dispositivo: Dispositivos portáteis, como laptops e tablets, devem ser protegidos com cadeados ou mantidos em locais seguros quando não estiverem em uso. Os usuários devem garantir que esses dispositivos não sejam deixados sem supervisão em áreas não seguras.

4.6 Controles de monitoramento e auditoria

O monitoramento e a auditoria contínuos são essenciais para detectar e responder a acessos não autorizados:

• Registro de atividades: Os sistemas devem registrar logs detalhados de todos os acessos ao ePHI, incluindo IDs de usuários, datas, horários e a natureza das atividades realizadas. Isso cria uma trilha de auditoria para fins de responsabilidade.
• Auditorias regulares: O pessoal designado analisará regularmente os registros do sistema e de acesso para identificar qualquer acesso não autorizado ou atividades incomuns que possam indicar uma ameaça à segurança.
• Sistemas de detecção de intrusão: A implementação de sistemas de detecção de intrusão (IDS) ajudará a monitorar o tráfego de rede em busca de atividades suspeitas e fornecerá alertas sobre possíveis violações de segurança.

4.7 Treinamento e conscientização

Educar os usuários é fundamental para manter os padrões de segurança:

• Programas de treinamento obrigatórios: Todos os usuários devem concluir um treinamento abrangente sobre privacidade e segurança antes de receberem acesso ao ePHI. Esse treinamento abrangerá tópicos como reconhecimento de tentativas de phishing, manuseio adequado de informações confidenciais e procedimentos de notificação de incidentes de segurança.
• Cursos anuais de atualização: Os usuários são obrigados a participar de sessões de treinamento anuais para se manterem atualizados sobre as políticas e práticas de segurança mais recentes.
• Comunicação regular: A organização fornecerá atualizações contínuas, boletins informativos ou lembretes para manter as práticas de segurança na vanguarda das atividades diárias dos usuários.

4.8 Resposta a incidentes

A resposta imediata a incidentes de segurança é fundamental para reduzir os riscos:

• Relatórios imediatos: Os usuários devem informar imediatamente qualquer incidente de segurança suspeito ou real, como dispositivos perdidos ou acesso não autorizado, ao responsável designado pela segurança ou ao departamento de TI.
• Plano de resposta a incidentes: Um plano de resposta a incidentes estabelecido orientará as ações da organização na abordagem e atenuação das violações de segurança. Esse plano inclui etapas para contenção, erradicação, recuperação e análise pós-incidente.
• Requisitos de notificação: No caso de uma violação que envolva ePHI, a organização notificará os indivíduos afetados e as autoridades competentes em conformidade com os requisitos legais e regulamentares.

4.9 Acesso de terceiros

O gerenciamento do acesso de terceiros é essencial para manter a segurança:

• Acordos de Associados Comerciais (BAAs): Todas as entidades terceirizadas que precisem acessar o ePHI devem firmar um contrato formal que defina suas responsabilidades pela proteção dessas informações.
• Processo de due diligence: Antes de conceder acesso, a organização realizará uma avaliação completa das práticas de segurança do terceiro para garantir que elas atendam aos padrões exigidos.
• Monitoramento contínuo: A organização monitorará a conformidade de terceiros com os requisitos de segurança de forma contínua.

4.10 Backup e recuperação de dados

Garantir a disponibilidade do ePHI é essencial para o atendimento contínuo:

• Backups regulares de dados: A organização realizará backups regulares do ePHI em locais seguros para evitar a perda de dados devido a falhas no sistema, desastres ou outros eventos imprevistos.
• Armazenamento seguro de backups: Os dados de backup devem ser armazenados de forma segura, com criptografia e controles de acesso equivalentes aos dos sistemas primários.
• Teste de procedimentos de recuperação: Serão realizados testes regulares dos procedimentos de backup e recuperação para garantir que os dados possam ser restaurados com eficácia e precisão em caso de perda de dados.

4.11 Descarte de ePHI

O descarte adequado do ePHI é necessário para evitar o acesso não autorizado depois que os dados não forem mais necessários:

• Métodos de exclusão segura: As mídias eletrônicas que contêm ePHI devem ser descartadas usando métodos que garantam que os dados não possam ser reconstruídos, como desmagnetização, trituração ou uso de ferramentas de software especializadas para exclusão segura.
• Documentação de descarte: Todos os processos de descarte devem ser minuciosamente documentados, incluindo a data, o método e o pessoal envolvido, para manter a conformidade e a responsabilidade.

5. Responsabilidades

5.1 Gerenciamento de programas

O gerenciamento do programa tem a responsabilidade de garantir a implementação e o cumprimento efetivos desta política. Isso inclui a alocação dos recursos necessários para medidas de segurança e programas de treinamento, bem como o apoio a uma cultura de conformidade e conscientização de segurança em toda a organização.

5.2 Oficial de segurança

O oficial de segurança designado é responsável por supervisionar a conformidade com todas as políticas e procedimentos de segurança. As funções incluem a realização de avaliações de risco e auditorias regulares para identificar possíveis vulnerabilidades, coordenar os esforços de resposta a incidentes no caso de uma violação de segurança e manter-se informado sobre as mudanças nas leis e na tecnologia que possam afetar as práticas de segurança.

5.3 Usuários

Todos os usuários com acesso a ePHI devem seguir rigorosamente as políticas e os procedimentos de segurança descritos neste documento. Os usuários também devem permanecer vigilantes e informar imediatamente às autoridades competentes da organização quaisquer incidentes de segurança ou possíveis vulnerabilidades.

6. Aplicação

A não conformidade com esta política é um assunto sério que pode resultar em ação disciplinar, que pode incluir a rescisão do contrato de trabalho ou de acordos contratuais. Além disso, os indivíduos podem sofrer penalidades legais de acordo com as leis federais ou estaduais por violações que envolvam o manuseio incorreto de informações de saúde protegidas.

7. Análise e revisão

Esta política será submetida a uma revisão formal anualmente ou sempre que ocorrerem mudanças significativas nos regulamentos ou na tecnologia relevantes. O processo de revisão envolverá a avaliação da eficácia das medidas de segurança atuais e a realização das atualizações necessárias para lidar com novas ameaças ou requisitos de conformidade.

8. Referências

• Regra de privacidade da HIPAA: 45 CFR Parte 160 e Subpartes A e E da Parte 164, que estabelecem padrões nacionais para a proteção de informações de saúde individualmente identificáveis.
• Regra de segurança da HIPAA: 45 CFR Parte 160 e Subpartes A e C da Parte 164, que estabelecem padrões para a segurança de informações eletrônicas de saúde protegidas.
• Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA): Lei estadual que rege a confidencialidade e a divulgação de informações médicas.
• Diretrizes do National Institute of Standards and Technology (NIST): Diretrizes federais que fornecem uma estrutura para melhorar a segurança cibernética da infraestrutura crítica.

1. Finalidade

O objetivo desta política é estabelecer processos e diretrizes abrangentes para garantir a segurança dos controles de mídia e dispositivos dentro do programa California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). A política tem como objetivo proteger as informações confidenciais dos pacientes, manter a conformidade com todas as leis e regulamentos relevantes e impedir qualquer acesso não autorizado, divulgação, alteração ou destruição de dados. Ao implementar essas diretrizes, nós nos esforçamos para manter os mais altos padrões de segurança e integridade dos dados, promovendo assim a confiança entre os pacientes, a equipe e as partes interessadas envolvidas no programa.

2. Escopo

Esta política se aplica a todos os indivíduos associados ao programa CalAIM ECM & CS, incluindo, entre outros, funcionários, contratados, consultores, pessoal temporário e qualquer outro pessoal que manuseie ou tenha acesso a mídias e dispositivos eletrônicos ou físicos que contenham informações confidenciais. Ele abrange todas as atividades relacionadas ao uso, armazenamento, transporte e descarte de mídia e dispositivos que possam conter informações de saúde protegidas (PHI), informações de identificação pessoal (PII) ou outros dados confidenciais pertinentes ao programa.

3. Definições

• Mídia: Refere-se a qualquer dispositivo de armazenamento físico ou eletrônico que contenha dados. Isso inclui discos rígidos, unidades USB, CDs, DVDs, fitas magnéticas e documentos em papel. A mídia pode ser portátil ou fixa e é usada para armazenar, transferir ou arquivar informações.
• Dispositivos: Engloba equipamentos eletrônicos, como computadores de mesa, laptops, tablets, smartphones e qualquer outro hardware usado para acessar, processar ou armazenar dados de programas. Os dispositivos podem ser de propriedade da organização ou permitidos para uso de acordo com uma política Bring Your Own Device (BYOD).
• Informações confidenciais: Quaisquer dados que sejam protegidos por leis e normas de privacidade. Isso inclui, entre outros, Informações de Saúde Protegidas (PHI), que se referem ao estado de saúde ou aos serviços de saúde de um indivíduo, e Informações Pessoais Identificáveis (PII), que podem ser usadas para identificar um indivíduo, como números de Seguro Social, endereços e informações financeiras.

4. Declarações de política

Para garantir a segurança de informações confidenciais dentro do programa CalAIM ECM & CS, são estabelecidos os seguintes princípios:

• Segurança de mídia e dispositivos: Todas as mídias e dispositivos que contêm informações confidenciais devem ser protegidos adequadamente para evitar o acesso não autorizado. Isso envolve a implementação de proteções físicas e técnicas.
• Criptografia: Todos os dispositivos e mídias de armazenamento eletrônico que contêm informações confidenciais devem utilizar métodos de criptografia aprovados. A criptografia serve como uma linha de defesa essencial para proteger a integridade e a confidencialidade dos dados.
• Restrição de acesso: O acesso à mídia e aos dispositivos deve ser estritamente restrito ao pessoal autorizado. Os níveis de autorização devem ser atribuídos com base no princípio do menor privilégio, garantindo que os indivíduos tenham acesso apenas às informações necessárias para sua função.
• Descarte adequado: As mídias e os dispositivos que não estão mais em uso devem ser descartados de acordo com os procedimentos adequados para evitar qualquer possibilidade de recuperação de dados ou acesso não autorizado. Isso inclui métodos seguros de apagamento de dados e destruição física.
• Auditorias regulares: Auditorias e avaliações periódicas devem ser realizadas para garantir a conformidade contínua com esta política. Essas avaliações ajudarão a identificar possíveis vulnerabilidades e áreas de melhoria.

5. Procedimentos

5.1. Inventário de mídia e dispositivos

Deve ser mantido um inventário preciso e atualizado de todas as mídias e dispositivos usados no programa. Esse inventário deve incluir detalhes como tipo de dispositivo, números de série, usuários designados e a classificação dos dados armazenados. A rotulagem adequada de mídias e dispositivos é essencial para indicar o nível de sensibilidade das informações que eles contêm, o que ajuda a aplicar os procedimentos de manuseio adequados.

5.2. Controle de acesso

Mecanismos robustos de autenticação devem ser implementados para restringir o acesso aos dispositivos e às informações confidenciais que eles contêm. Isso inclui a implementação de políticas de senhas fortes, varreduras biométricas ou métodos de autenticação multifator. Os direitos de acesso devem ser atribuídos com base nas responsabilidades do cargo e revisados regularmente para ajustar quaisquer alterações nas funções ou no status do emprego. As tentativas de acesso não autorizado devem ser registradas e investigadas imediatamente.

5.3. Criptografia

Tecnologias de criptografia aprovadas devem ser empregadas para todos os dados confidenciais armazenados em mídias e dispositivos eletrônicos. As chaves de criptografia devem ser gerenciadas de forma segura, com acesso restrito para evitar a descriptografia não autorizada dos dados. Devem ser estabelecidos procedimentos para geração, distribuição, armazenamento, rotação e destruição de chaves para manter a integridade do processo de criptografia.

5.4. Segurança física

As proteções físicas são essenciais para evitar o acesso não autorizado a mídias e dispositivos. Todas as mídias físicas devem ser armazenadas em armários trancados ou salas seguras com medidas de acesso controlado, como cartões-chave ou scanners biométricos. Os dispositivos nunca devem ser deixados sem supervisão em áreas não seguras. Os visitantes devem ser acompanhados nas áreas em que as informações confidenciais são acessíveis, e um registro do acesso dos visitantes deve ser mantido.

5.5. Transporte de mídia e dispositivos

Ao transportar mídias ou dispositivos que contenham informações confidenciais, devem ser usados métodos seguros para protegê-los contra perda ou roubo. A mídia física deve ser colocada em contêineres trancados, e as transmissões eletrônicas de dados devem ser criptografadas de ponta a ponta. Deve-se manter um registro detalhado de todas as mídias e dispositivos removidos de áreas seguras, documentando a data, a hora, a finalidade da remoção e o pessoal envolvido no transporte.

5.6. Descarte e destruição

Antes do descarte, todos os dados devem ser irreversivelmente apagados de mídias e dispositivos eletrônicos usando métodos aprovados de sanitização de dados, como desmagnetização ou sobrescrita. Para mídias físicas que contenham informações confidenciais, métodos como trituração, incineração ou pulverização devem ser empregados para garantir que os dados não possam ser reconstruídos. Os registros de todas as atividades de descarte e destruição devem ser meticulosamente mantidos, incluindo detalhes dos itens destruídos, métodos usados e pessoal envolvido no processo.

5.7. Relatórios de incidentes

Todos os incidentes que envolvam perda, roubo ou acesso não autorizado a mídias ou dispositivos devem ser comunicados imediatamente ao oficial de segurança designado. A comunicação imediata é essencial para iniciar o plano de resposta a incidentes, que inclui etapas para contenção, erradicação, recuperação e comunicação às partes afetadas, se necessário. Os funcionários devem ser treinados para reconhecer possíveis incidentes de segurança e entender a importância da comunicação em tempo hábil.

5.8. Treinamento e conscientização

Devem ser realizadas sessões regulares de treinamento para instruir todo o pessoal sobre práticas de segurança de mídia e dispositivos. O treinamento deve abranger tópicos como o reconhecimento de tentativas de phishing, o manuseio adequado de informações confidenciais e os procedimentos descritos nesta política. À medida que a tecnologia e as ameaças à segurança evoluem, os materiais de treinamento devem ser atualizados para refletir as práticas recomendadas mais recentes. A compreensão dos funcionários deve ser avaliada periodicamente por meio de avaliações.

6. Funções e responsabilidades

• Gerente de programas: O gerente de programa é responsável por garantir a conformidade geral com esta política. Isso inclui a alocação dos recursos necessários para sua implementação, a promoção de uma cultura de conscientização de segurança e a resolução de quaisquer problemas de não conformidade.
• Oficial de segurança: O Security Officer supervisiona as medidas de segurança relacionadas à mídia e aos dispositivos. As responsabilidades incluem a realização de auditorias regulares, o gerenciamento de respostas a incidentes, a atualização de protocolos de segurança e o fornecimento de orientação sobre questões de segurança para a equipe.
• Funcionários e equipe: Todos os funcionários devem seguir rigorosamente as diretrizes e os procedimentos descritos nesta política. Eles são responsáveis por proteger a mídia e os dispositivos que lhes foram confiados, relatando prontamente quaisquer incidentes ou preocupações de segurança e participando dos programas de treinamento necessários.

7. Conformidade e aplicação

A adesão a essa política é obrigatória para todo o pessoal associado ao programa CalAIM ECM & CS. A não conformidade pode resultar em ação disciplinar, que pode variar de treinamento adicional e advertências à rescisão do contrato de trabalho ou de acordos contratuais. Nos casos em que as violações envolverem violações de leis ou regulamentos, poderão ser tomadas medidas legais. Serão realizadas auditorias regulares de conformidade, e todas as deficiências identificadas deverão ser corrigidas imediatamente.

8. Análise e revisão

Esta política será submetida a uma revisão completa pelo menos uma vez por ano ou sempre que ocorrerem mudanças significativas na tecnologia, nos requisitos regulamentares ou na estrutura organizacional. As revisões serão feitas conforme necessário para garantir que a política permaneça eficaz e relevante. Todas as atualizações serão comunicadas ao pessoal relevante, e os materiais de treinamento serão ajustados de acordo. O feedback da equipe é incentivado para melhorar a eficácia da política.

1. Finalidade

O objetivo principal desta política é estabelecer requisitos abrangentes para as proteções físicas que protegem as estações de trabalho dentro do programa Enhanced Care Management & Community Support (ECM & CS) da CalAIM. Essas proteções são essenciais para evitar acesso não autorizado, roubo, dano ou perda de informações confidenciais, inclusive informações eletrônicas de saúde protegidas (ePHI). Ao implementar essas medidas, nós nos esforçamos para manter a confidencialidade, a integridade e a disponibilidade de dados confidenciais, garantindo a conformidade com as normas federais e estaduais aplicáveis.

2. Escopo

Esta política se aplica universalmente a todos os funcionários, prestadores de serviços, voluntários e quaisquer outros indivíduos que tenham acesso a estações de trabalho nas instalações do Programa CalAIM ECM & CS. Ela abrange todos os locais físicos onde as estações de trabalho são usadas ou armazenadas, incluindo escritórios, salas de reunião e ambientes de trabalho remoto associados ao programa.

3. Definições

• Estação de trabalho: Qualquer dispositivo de computação eletrônica, como um computador de mesa, laptop, tablet ou dispositivo semelhante, juntamente com a mídia eletrônica armazenada em seu ambiente imediato. Isso inclui qualquer equipamento que execute funções como processamento, armazenamento ou transmissão de dados.
• Proteções físicas: As medidas físicas, políticas e procedimentos implementados para proteger os sistemas de informações eletrônicas e os edifícios e equipamentos relacionados contra riscos naturais e ambientais, bem como contra invasões não autorizadas. Essas proteções são projetadas para impedir o acesso físico a equipamentos e instalações por indivíduos não autorizados.

4. Declarações de política

4.1 Localização segura das estações de trabalho

Todas as estações de trabalho devem estar situadas em áreas seguras com acesso controlado para evitar que indivíduos não autorizados as vejam ou acessem. Isso significa que as estações de trabalho devem estar localizadas longe de espaços acessíveis ao público e não devem ser facilmente visíveis ou acessíveis aos transeuntes. Por exemplo, não é recomendável colocar as estações de trabalho perto de balcões de recepção, corredores ou salas de reunião, a menos que haja medidas de segurança adequadas. Se as estações de trabalho precisarem estar nessas áreas, proteções adicionais, como telas de privacidade, barreiras físicas ou acesso supervisionado, devem ser implementadas para proteger as informações confidenciais exibidas nas telas.

4.2 Controle de acesso

O acesso às áreas que contêm estações de trabalho deve ser restrito exclusivamente ao pessoal autorizado. Isso envolve a implementação de controles de acesso físico, como portas trancadas, crachás de acesso ou sistemas biométricos para garantir que somente indivíduos com a devida autorização possam entrar nessas áreas. Visitantes ou qualquer pessoa não autorizada devem estar sempre acompanhados por pessoal autorizado quando estiverem em áreas com estações de trabalho. Essa política de escolta ajuda a evitar o acesso não autorizado a informações confidenciais e garante que os visitantes não comprometam inadvertidamente os protocolos de segurança.

4.3 Medidas de segurança física

Para proteger as estações de trabalho contra roubo ou remoção não autorizada, devem ser empregadas medidas de segurança física. Isso inclui o uso de travas físicas, cabos de segurança ou gabinetes para proteger os dispositivos quando eles estiverem sem supervisão. Por exemplo, os laptops devem ser travados nas mesas usando cabos de segurança e os desktops devem ser ancorados para evitar a remoção fácil. Em áreas compartilhadas ou não seguras, essas medidas são particularmente importantes. Além disso, as salas de servidores e as áreas que abrigam infraestrutura essencial devem ter medidas de segurança aprimoradas, como câmeras de vigilância e sistemas de alarme, para impedir o acesso não autorizado e oferecer recursos de monitoramento.

4.4 Proteção da tela

Para evitar a visualização não autorizada de informações confidenciais exibidas nos monitores, devem ser usados filtros ou telas de privacidade. Esses dispositivos limitam o ângulo de visão da tela, dificultando a leitura do monitor por pessoas próximas, a menos que estejam diretamente em frente a ele. Além disso, todas as estações de trabalho devem ser configuradas para travar automaticamente após um período de inatividade que não ultrapasse cinco minutos. Esse mecanismo de travamento automático garante que, se um funcionário se afastar de sua estação de trabalho, ela não poderá ser acessada por pessoas não autorizadas. Os funcionários também são incentivados a bloquear manualmente suas telas quando deixarem suas estações de trabalho sem supervisão, mesmo por períodos curtos.

4.5 Política de mesa limpa

Uma política de mesa limpa deve ser aplicada para garantir que todos os documentos e materiais confidenciais sejam armazenados de forma segura quando não estiverem em uso. Os funcionários devem remover todos os documentos confidenciais de suas estações de trabalho ao final de cada dia de trabalho e armazená-los em gavetas ou armários trancados. Isso inclui anotações, impressões, dispositivos de armazenamento portáteis e quaisquer outros materiais que contenham informações confidenciais. Ao manter as estações de trabalho livres de materiais confidenciais, reduzimos o risco de acesso não autorizado e mantemos um ambiente de trabalho profissional. Os funcionários também devem se certificar de que os quadros brancos e os quadros de avisos não exibam informações confidenciais.

4.6 Controles ambientais

As estações de trabalho devem ser protegidas contra riscos ambientais, como vazamentos de água, calor excessivo, poeira e surtos elétricos. Isso envolve posicionar os dispositivos longe de áreas propensas a derramamentos ou vazamentos, como embaixo de unidades de ar condicionado ou perto de janelas que possam vazar durante a chuva. Protetores contra surtos e fontes de alimentação ininterrupta (UPS) devem ser usados para proteger contra surtos elétricos e quedas de energia. Além disso, os funcionários devem evitar consumir alimentos e bebidas perto das estações de trabalho para evitar derramamentos acidentais que possam danificar o equipamento ou levar à perda de dados.

4.7 Descarte de equipamentos

Todos os dispositivos eletrônicos devem passar por procedimentos adequados de sanitização de dados antes do descarte ou da reimplantação para garantir que informações confidenciais não sejam divulgadas inadvertidamente. Isso inclui apagar ou destruir com segurança a mídia de armazenamento de dados de acordo com as práticas recomendadas do setor e os requisitos regulamentares. Os dispositivos não devem ser descartados em lixeiras comuns, mas devem ser descartados seguindo práticas de reciclagem ambientalmente responsáveis e em conformidade com os regulamentos aplicáveis, como os descritos pelas diretrizes do National Institute of Standards and Technology (NIST) sobre sanitização de mídia.

4.8 Relatórios e respostas

Em caso de roubo, perda ou acesso não autorizado às estações de trabalho, é imprescindível que esses incidentes sejam comunicados imediatamente ao departamento designado, como o Security Officer ou o Departamento de TI. A comunicação imediata permite uma ação rápida para reduzir os possíveis riscos, inclusive o acesso não autorizado a dados confidenciais. Deve haver um plano de resposta a incidentes para lidar com violações de segurança envolvendo estações de trabalho. Esse plano deve delinear procedimentos específicos para responder a incidentes, incluindo etapas de contenção, erradicação, recuperação e notificação. Devem ser realizados exercícios e treinamentos regulares para garantir que todos os funcionários estejam familiarizados com os procedimentos de resposta a incidentes.

5. Responsabilidades

5.1 Funcionários e usuários autorizados

Os funcionários e usuários autorizados são responsáveis por aderir a todas as políticas e procedimentos de proteção física descritos neste documento. Eles devem permanecer vigilantes na proteção das estações de trabalho e das informações confidenciais contra acesso não autorizado. Isso inclui seguir as práticas recomendadas para proteger os dispositivos, como bloquear as telas quando não estiverem em uso e proteger os dispositivos portáteis quando estiverem viajando. Além disso, os funcionários devem relatar prontamente quaisquer atividades suspeitas, incidentes de segurança ou possíveis vulnerabilidades às autoridades competentes para permitir uma intervenção oportuna.

5.2 Gerenciamento

A gerência tem a responsabilidade de garantir que suas equipes estejam totalmente informadas sobre essa política e cumpram seus requisitos. Eles devem facilitar programas de treinamento e conscientização para instruir os funcionários sobre a importância da segurança física e as medidas específicas que precisam implementar. Os gerentes também devem dar o exemplo, aderindo estritamente à política e promovendo uma cultura de segurança em suas equipes. Eles são responsáveis por resolver qualquer problema de não conformidade e por fornecer os recursos necessários para implementar as proteções exigidas.

5.3 Oficial de segurança/Departamento de TI

O Security Officer e o Departamento de TI têm a tarefa de supervisionar a implementação de proteções físicas em toda a organização. Eles são responsáveis por desenvolver e manter as políticas e os procedimentos relacionados à segurança física e por garantir que essas políticas estejam atualizadas com os requisitos normativos mais recentes e as práticas recomendadas do setor. Devem ser realizadas auditorias e avaliações regulares para avaliar a conformidade com a política e identificar as áreas que precisam ser melhoradas. No caso de um incidente de segurança, o Security Officer e o Departamento de TI coordenam os esforços de resposta, incluindo investigação, mitigação e comunicação com as partes interessadas relevantes.

6. Conformidade

A conformidade com esta política é obrigatória para todos os funcionários e pessoal afiliado. O não cumprimento pode resultar em ação disciplinar, que pode incluir a rescisão do contrato de trabalho ou de acordos contratuais. Essas ações são necessárias para manter a integridade da postura de segurança da organização e para cumprir as obrigações legais. Além disso, os indivíduos podem sofrer penalidades legais de acordo com as leis federais e estaduais aplicáveis, incluindo as estipuladas pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e pela Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA). A organização tem o compromisso de aplicar esta política para proteger informações confidenciais e manter a confiança dos indivíduos que atendemos.

7. Referências

Essa política é orientada por vários regulamentos e diretrizes importantes:

• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), 45 CFR Parte 164: Estabelece padrões nacionais para a segurança de informações eletrônicas de saúde protegidas.
• Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA): Rege a confidencialidade e a divulgação de informações médicas na Califórnia.
• Diretrizes do programa CalAIM ECM & CS: Fornece diretrizes específicas e práticas recomendadas para o Enhanced Care Management & Community Support Program.

Essas referências servem como estrutura básica para nossas medidas de segurança física e garantem que nossas políticas estejam alinhadas com os requisitos legais e regulamentares.

8. Análise e revisão

Esta política deve ser submetida a uma revisão formal anualmente ou conforme necessário para acomodar mudanças nos regulamentos, avanços tecnológicos ou práticas organizacionais. O processo de revisão envolve a avaliação da eficácia das proteções atuais, a avaliação dos níveis de conformidade e a atualização da política para tratar de quaisquer lacunas identificadas ou ameaças emergentes. Todas as revisões devem ser aprovadas pela autoridade designada e comunicadas a todos os funcionários e partes interessadas relevantes para garantir conformidade e conscientização contínuas.

1. Finalidade

O objetivo desta política é estabelecer diretrizes abrangentes para a proteção de informações confidenciais orais, escritas e eletrônicas dentro da organização, especificamente relacionadas ao programa California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Ao implementar essa política, a organização visa garantir a conformidade com todas as leis federais e estaduais relevantes, inclusive a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), e manter os mais altos padrões de integridade e confidencialidade para todas as informações confidenciais.

2. Escopo

Esta política é aplicável a todos os indivíduos associados à organização, incluindo funcionários, contratados, voluntários, estagiários e quaisquer outras pessoas que tenham acesso a informações confidenciais relacionadas ao Programa de ECM e CS da CalAIM. Ela abrange todas as formas de informações confidenciais - orais, escritas e eletrônicas - e descreve as responsabilidades de todas as partes na proteção dessas informações contra acesso, uso, divulgação, alteração ou destruição não autorizados.

3. Definições

Informações confidenciais referem-se a quaisquer dados ou informações que sejam privados, sensíveis ou proprietários. Isso inclui, mas não se limita a, informações de saúde protegidas (PHI), informações de identificação pessoal (PII), registros financeiros e quaisquer informações organizacionais proprietárias. PHI é qualquer informação sobre o estado de saúde de um indivíduo, o fornecimento de assistência médica ou o pagamento de assistência médica que possa ser vinculado a uma pessoa específica. Informações eletrônicas de saúde protegidas (ePHI) são PHI criadas, armazenadas, transmitidas ou recebidas eletronicamente. Os membros da força de trabalho são definidos como funcionários, voluntários, estagiários e quaisquer outras pessoas cuja conduta, no desempenho do trabalho para a organização, esteja sob seu controle direto, independentemente de serem remunerados pela organização.

4. Declarações de política

A organização tem o compromisso de proteger todas as formas de informações confidenciais contra acesso, uso, divulgação, alteração ou destruição não autorizados. Todos os membros da força de trabalho devem lidar com informações confidenciais de forma responsável e em conformidade com as leis e políticas organizacionais aplicáveis. O acesso a informações confidenciais é estritamente limitado aos indivíduos que precisam delas para desempenhar suas funções. Qualquer violação ou suspeita de violação de informações confidenciais deve ser comunicada imediatamente, de acordo com os procedimentos de comunicação de incidentes da organização.

5. Procedimentos

5.1. Controle de acesso

O acesso a informações confidenciais é concedido com base no princípio do menor privilégio, o que significa que os indivíduos recebem o nível mínimo de acesso necessário para desempenhar suas funções. Os membros da força de trabalho devem usar IDs de usuário exclusivos e senhas fortes ao acessar sistemas eletrônicos que contenham informações confidenciais. As senhas devem ser mantidas em sigilo e não devem ser compartilhadas com outras pessoas. O acesso físico a áreas onde são armazenadas informações confidenciais, como arquivos ou salas de servidores, deve ser controlado por meio de fechaduras, cartões de acesso ou outras medidas de segurança. Os visitantes devem ser acompanhados nas áreas onde as informações confidenciais estão acessíveis.

5.2. Manuseio de informações confidenciais

Ao lidar com informações orais, os membros da força de trabalho devem garantir que as conversas envolvendo informações confidenciais sejam conduzidas em ambientes privados para evitar que indivíduos não autorizados as ouçam. Isso inclui estar atento ao ambiente em escritórios abertos, elevadores, cafeterias ou locais públicos.

No caso de informações escritas, os documentos físicos que contêm informações confidenciais devem ser armazenados em locais seguros quando não estiverem em uso. Isso pode envolver manter os documentos em gavetas ou armários trancados. Ao transportar documentos, eles devem ser mantidos em pastas ou envelopes seguros e não devem ser deixados sem supervisão.

As informações eletrônicas devem ser armazenadas em servidores seguros com criptografia e controles de acesso adequados. Os membros da força de trabalho devem fazer logoff ou bloquear seus computadores quando não estiverem em uso para evitar acesso não autorizado. Dispositivos eletrônicos como laptops, tablets e smartphones que contenham informações confidenciais devem ter recursos de segurança como senhas ou bloqueios biométricos ativados.

5.3. Transmissão de informações confidenciais

As informações confidenciais devem ser transmitidas usando métodos seguros. Ao enviar comunicações eletrônicas, os membros da força de trabalho devem usar serviços de e-mail criptografados ou protocolos seguros de transferência de arquivos. As informações confidenciais não devem ser enviadas por canais não seguros, como e-mail padrão ou mensagens instantâneas, a menos que haja medidas de segurança adequadas.

Ao enviar informações confidenciais por fax, os membros da força de trabalho devem confirmar o número de fax do destinatário antes de enviar e usar uma folha de rosto que inclua uma declaração de confidencialidade. Eles também devem verificar se o destinatário está disponível para receber o fax para evitar acesso não autorizado.

5.4. Eliminação de informações confidenciais

O descarte de documentos confidenciais deve ser feito de forma segura. Os documentos físicos devem ser triturados usando trituradores de corte transversal ou colocados em caixas de descarte seguras designadas para materiais confidenciais. A mídia eletrônica que contém informações confidenciais, como discos rígidos, unidades USB ou CDs, deve ser higienizada usando métodos aprovados de destruição de dados ou destruída fisicamente para evitar a recuperação de dados.

5.5. Uso de dispositivos pessoais

Se os membros da força de trabalho forem autorizados a usar dispositivos pessoais para acessar informações confidenciais, esses dispositivos deverão estar em conformidade com as políticas de segurança da organização. Isso inclui a instalação de software de segurança, a ativação da criptografia do dispositivo e a adesão às políticas de senha. As informações confidenciais não devem ser armazenadas em dispositivos pessoais, a menos que sejam explicitamente autorizadas e protegidas. Se um dispositivo pessoal for perdido ou roubado, o incidente deve ser relatado imediatamente.

5.6. Treinamento e conscientização

Todos os membros da força de trabalho devem participar de treinamento sobre a proteção de informações confidenciais no momento da contratação e, posteriormente, anualmente. Os programas de treinamento abrangerão tópicos como o reconhecimento de informações confidenciais, procedimentos adequados de manuseio, obrigações legais e protocolos de comunicação de violações ou suspeitas de violações. Poderá ser oferecido treinamento adicional quando houver mudanças em leis, regulamentos ou políticas organizacionais para garantir a conformidade contínua.

6. Responsabilidades

Todos os membros da força de trabalho são responsáveis por compreender e cumprir esta política. Eles devem lidar com informações confidenciais de forma apropriada e relatar imediatamente qualquer violação suspeita ou real. Os supervisores e gerentes têm a responsabilidade adicional de garantir que suas equipes compreendam a política e sigam suas diretrizes. Eles devem facilitar o acesso ao treinamento e estar disponíveis para responder a quaisquer dúvidas ou preocupações relacionadas ao manuseio de informações confidenciais.

O diretor de segurança da informação é responsável por supervisionar a implementação de medidas de segurança destinadas a proteger as informações confidenciais. Isso inclui o monitoramento da conformidade com a política, a realização de avaliações de segurança regulares e a resolução de incidentes que envolvam informações confidenciais.

7. Monitoramento e conformidade

A organização realizará auditorias e avaliações regulares para monitorar a conformidade com esta política. Isso pode envolver a revisão dos registros de acesso, a realização de inspeções físicas e a avaliação dos controles de segurança. A não conformidade com a política pode resultar em medidas disciplinares, incluindo a rescisão do contrato de trabalho. A organização se reserva o direito de tomar medidas legais, se necessário.

8. Notificação de violação

No caso de uma violação de informações confidenciais, a organização seguirá todas as leis e normas aplicáveis com relação à notificação dos indivíduos e autoridades afetados. Isso inclui a realização de uma investigação minuciosa para determinar o escopo da violação, a mitigação de qualquer dano e a implementação de medidas para evitar futuros incidentes. Os indivíduos afetados serão notificados imediatamente, e a organização cooperará com os órgãos reguladores conforme necessário.

9. Análise e revisão

Esta política será revisada anualmente e atualizada conforme necessário para refletir as mudanças nas leis, regulamentos ou práticas organizacionais. O feedback dos membros da força de trabalho e as lições aprendidas com incidentes serão considerados durante o processo de revisão para aumentar a eficácia da política.

10. Referências

Esta política é informada e está em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA) e outras leis federais e estaduais relevantes. Ela também se alinha com as políticas internas da organização sobre segurança e privacidade das informações.

Introdução

O programa CalAIM Enhanced Care Management & Community Support (ECM & CS) dedica-se a fornecer serviços de gerenciamento de cuidados de alta qualidade, mantendo os mais altos padrões de confidencialidade e proteção de dados. Em um ambiente em que informações confidenciais são rotineiramente manipuladas, é imperativo ter políticas robustas que governem o acesso a dados confidenciais. Esta Política de Controle de Acesso estabelece uma estrutura abrangente para conceder, modificar e revogar o acesso a informações confidenciais com base no emprego baseado em funções dentro do programa. A política foi criada para garantir que todos os funcionários tenham acesso apropriado alinhado com suas responsabilidades profissionais e que a confidencialidade das informações confidenciais seja mantida em conformidade com todas as leis e normas aplicáveis.

Escopo

Esta política é aplicável a todos os indivíduos que têm acesso a informações confidenciais dentro do Programa ECM e CS da CalAIM, incluindo, entre outros, funcionários, contratados, voluntários, estagiários e consultores. Ela abrange todas as formas de dados confidenciais, sejam eles armazenados eletronicamente, em papel ou transmitidos verbalmente. A política abrange todos os sistemas organizacionais, redes, bancos de dados e locais físicos onde as informações confidenciais são armazenadas ou acessadas.

Declaração de política

O acesso a informações confidenciais é um privilégio que vem acompanhado de uma responsabilidade significativa. O Programa de ECM e CS da CalAIM adota os princípios de privilégio mínimo e controle de acesso baseado em função (RBAC) para controlar o acesso a dados confidenciais. De acordo com essa política, os direitos de acesso são cuidadosamente atribuídos para garantir que os indivíduos tenham apenas o nível mínimo de acesso necessário para realizar suas funções de trabalho específicas. Os direitos de acesso devem ser ajustados imediatamente em resposta a qualquer alteração na função ou no status de emprego de um indivíduo, inclusive promoções, movimentações laterais, rebaixamentos ou rescisões. Essa abordagem minimiza o risco de acesso não autorizado e ajuda a proteger a integridade e a confidencialidade das informações confidenciais.

Funções e responsabilidades

Diretor do programa

O Diretor do Programa tem a responsabilidade final pela implementação e aplicação desta Política de Controle de Acesso. Isso inclui a aprovação das definições de função, a determinação dos níveis de acesso apropriados para vários cargos e a garantia de que a política esteja alinhada aos objetivos organizacionais e aos requisitos regulamentares. O Diretor do Programa também colabora com outros departamentos para tratar de quaisquer questões relacionadas ao controle de acesso e à proteção de dados.

Departamento de Recursos Humanos

O Departamento de Recursos Humanos (RH) desempenha um papel fundamental na administração dos direitos de acesso. O RH é responsável por notificar o Departamento de Tecnologia da Informação (TI) e o Compliance Officer sobre todas as mudanças de pessoal, inclusive novas contratações, mudanças de função e rescisões. Essa notificação deve ocorrer prontamente para garantir ajustes oportunos nos direitos de acesso. O RH também tem a tarefa de garantir que as descrições de cargos reflitam com precisão os requisitos de acesso e as responsabilidades associadas a cada função, facilitando assim as medidas adequadas de controle de acesso.

Departamento de Tecnologia da Informação

O Departamento de TI é responsável por gerenciar os aspectos técnicos do controle de acesso. Isso inclui a configuração e a manutenção de sistemas que reforçam os direitos de acesso, o processamento de solicitações autorizadas para conceder, modificar ou revogar o acesso e a garantia de que os controles de acesso estejam funcionando corretamente. O Departamento de TI mantém registros de auditoria detalhados do acesso a informações confidenciais, o que é essencial para monitorar a conformidade e investigar possíveis incidentes de segurança. Além disso, o departamento de TI colabora com o RH e os supervisores para garantir que os direitos de acesso estejam alinhados com as responsabilidades atuais do cargo.

Diretor de conformidade

O diretor de conformidade supervisiona a adesão a essa política e garante que a organização cumpra todas as leis e regulamentos relevantes, como a HIPAA. Essa função envolve a realização de auditorias periódicas e revisões de acesso para verificar se os direitos de acesso foram atribuídos adequadamente e se não ocorreu nenhum acesso não autorizado. O Compliance Officer também é responsável por desenvolver e ministrar programas de treinamento sobre confidencialidade, proteção de dados e conformidade regulamentar para instruir a equipe sobre suas responsabilidades de acordo com esta política.

Supervisores e gerentes

Os supervisores e gerentes são diretamente responsáveis por iniciar as solicitações de acesso para os membros de suas equipes. Eles devem garantir que essas solicitações reflitam com precisão o acesso necessário para a função de cada membro da equipe. Os supervisores também são responsáveis por monitorar a conformidade de sua equipe com as políticas de acesso, resolver qualquer problema de não conformidade e informar imediatamente ao RH e à TI qualquer mudança no status ou na função do funcionário. Eles desempenham um papel fundamental no reforço da importância da proteção de dados e da confidencialidade em suas equipes.

Funcionários e usuários autorizados

Todo funcionário e usuário autorizado que tenha acesso a informações confidenciais deve usar esse acesso com responsabilidade. Espera-se que os usuários acessem somente as informações para as quais tenham autorização explícita e mantenham a confidencialidade de todas as informações com as quais lidam. Eles não devem compartilhar suas credenciais de acesso com outras pessoas e devem relatar qualquer suspeita de acesso não autorizado ou violação de segurança imediatamente ao seu supervisor, ao Departamento de TI ou ao Compliance Officer. Espera-se também que os funcionários participem das sessões de treinamento necessárias para se manterem informados sobre as políticas e práticas recomendadas relacionadas à proteção de dados.

Procedimentos

Autorização de acesso para novas contratações

Quando um novo funcionário entra para a organização, o departamento de RH inicia o processo de autorização de acesso. O RH deve enviar uma solicitação formal de acesso ao departamento de TI, detalhando a função do novo contratado e os direitos de acesso específicos necessários. Essa solicitação deve ser baseada em perfis de acesso predefinidos que correspondam ao cargo do funcionário. Antes que qualquer acesso seja concedido, o novo funcionário deve concluir o treinamento obrigatório sobre confidencialidade, políticas de proteção de dados e normas relevantes, como a HIPAA. Em seguida, o departamento de TI configura os direitos de acesso necessários, garantindo que o funcionário tenha as ferramentas necessárias para realizar seu trabalho com eficiência, mantendo a conformidade com o princípio do menor privilégio.

Modificação de acesso para mudanças de função

Em situações em que a função de um funcionário muda - seja devido a uma promoção, transferência ou reestruturação - o supervisor deve notificar imediatamente o RH e o Departamento de TI. Uma solicitação de modificação de acesso deve ser enviada, descrevendo as mudanças nas responsabilidades e os ajustes correspondentes necessários nos direitos de acesso. O departamento de TI analisa a solicitação e modifica o acesso do funcionário de acordo. Se a nova função envolver o manuseio de diferentes tipos de informações confidenciais ou exigir autorização de segurança adicional, o funcionário deverá concluir qualquer treinamento adicional necessário antes que os novos direitos de acesso sejam concedidos.

Remoção de acesso após o término do contrato

Após a rescisão de um funcionário, seja ela voluntária ou involuntária, o Departamento de RH é responsável por iniciar o processo de remoção de acesso. O RH deve notificar o Departamento de TI imediatamente após receber a notificação da rescisão. O Departamento de TI deve revogar todos os privilégios de acesso do funcionário até o final de seu último dia de trabalho. Isso inclui a desativação de contas de rede, a revogação do acesso a aplicativos e bancos de dados e a recuperação de todos os dispositivos de propriedade da organização. O RH também deve recolher todos os dispositivos de acesso físico do funcionário que está saindo, como crachás de identificação, chaves e cartões de acesso, para evitar o acesso físico não autorizado às instalações da organização.

Revisão periódica de acesso

Para garantir a conformidade contínua com as políticas de controle de acesso, o diretor de conformidade e o departamento de TI realizam revisões semestrais de todos os direitos de acesso. Durante essas revisões, eles verificam se o acesso de cada indivíduo continua adequado à sua função e responsabilidades atuais. O processo de revisão envolve a verificação dos registros de acesso, a confirmação das atribuições de função e a garantia de que nenhum acesso não autorizado tenha sido concedido. Todas as discrepâncias identificadas são documentadas e informadas ao diretor do programa para que sejam tomadas medidas corretivas imediatas. Essa abordagem proativa ajuda a evitar violações de segurança e a manter a integridade das informações confidenciais.

Registros de auditoria e monitoramento

O Departamento de TI mantém registros de auditoria abrangentes que registram todos os acessos a informações confidenciais. Esses registros capturam detalhes como a identidade do usuário, os dados acessados, a hora do acesso e as ações executadas. Os registros de auditoria são revisados trimestralmente para detectar quaisquer padrões de acesso não autorizado ou atividades suspeitas. Se forem encontradas irregularidades, o departamento de TI colabora com o diretor de conformidade para investigar o assunto minuciosamente. Em seguida, são tomadas as medidas adequadas para resolver os problemas de segurança, que podem incluir ações disciplinares contra os indivíduos que violaram a política.

Protocolo de acesso de emergência

Em circunstâncias excepcionais, quando o acesso imediato a informações confidenciais for necessário para atender a uma emergência, poderá ser concedido acesso temporário. Esse acesso requer aprovação explícita do Diretor do Programa ou de um representante autorizado. A solicitação de acesso emergencial deve ser documentada, incluindo a justificativa para o acesso e as informações específicas necessárias. O Departamento de TI concederá o acesso temporário e monitorará todas as atividades realizadas de acordo com essa disposição. O acesso emergencial é revogado assim que não for mais necessário, e uma revisão pós-evento é realizada para avaliar a adequação do acesso e para atualizar as políticas ou os procedimentos, se necessário.

Conformidade e aplicação

A conformidade com esta Política de Controle de Acesso é obrigatória para todos os indivíduos dentro do escopo da política. A não conformidade pode resultar em ações disciplinares, que podem incluir repreensão, suspensão, rescisão do contrato de trabalho ou do contrato e possível ação legal se as leis tiverem sido violadas. A organização leva as violações a sério devido aos possíveis riscos que elas representam para clientes, parceiros e para a reputação da organização. Espera-se que todos os funcionários denunciem qualquer suspeita de violação desta política ao seu supervisor, ao Compliance Officer ou por meio dos canais de denúncia estabelecidos, sem medo de retaliação.

Definições

Informações confidenciais

Informações confidenciais referem-se a quaisquer dados protegidos por estruturas legais ou regulamentares, incluindo, entre outros, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Isso inclui informações pessoais de saúde (PHI), informações de identificação pessoal (PII), registros financeiros, informações comerciais proprietárias e quaisquer outros dados que a organização tenha o dever de proteger contra divulgação não autorizada.

Controle de acesso baseado em função (RBAC)

O controle de acesso baseado em função é uma abordagem de segurança em que as permissões de acesso são atribuídas a funções específicas dentro de uma organização, e não a usuários individuais. Os usuários são então atribuídos a funções com base em seus cargos, o que determina o nível de acesso que eles têm a sistemas e informações. Esse método simplifica o gerenciamento de acesso e aumenta a segurança, garantindo que os usuários tenham acesso apenas às informações necessárias para suas funções.

Princípio do menor privilégio

O princípio do menor privilégio é um conceito de segurança que determina que os usuários devem receber o nível mínimo de acesso - ou permissões - necessário para realizar suas funções. Ao limitar os direitos de acesso, a organização reduz o risco de acesso não autorizado a informações confidenciais e minimiza o possível impacto das violações de segurança.

Políticas relacionadas

Esta Política de Controle de Acesso faz parte de um conjunto abrangente de políticas criadas para proteger informações confidenciais e garantir a conformidade normativa. Outras políticas relevantes incluem:

• Política de privacidade de dados: Descreve o compromisso da organização com a proteção de dados pessoais e especifica os procedimentos para lidar com essas informações.
• Política de segurança da informação: Define as medidas tomadas para proteger os ativos de informações da organização contra ameaças como acesso não autorizado, ataques cibernéticos e violações de dados.
• Política de conformidade com a HIPAA: Detalha os requisitos e procedimentos específicos para lidar com informações de saúde protegidas em conformidade com os regulamentos da HIPAA.
• Contrato de confidencialidade do funcionário: Um acordo vinculativo que todos os funcionários devem assinar, reconhecendo suas responsabilidades de proteger informações confidenciais.

Espera-se que os funcionários estejam familiarizados com essas políticas e integrem suas diretrizes em suas práticas diárias de trabalho.

Referências

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

Uma lei federal promulgada para proteger informações confidenciais de saúde do paciente contra divulgação sem o consentimento ou conhecimento do paciente. As organizações que lidam com PHI são obrigadas a implementar proteções administrativas, físicas e técnicas para garantir a confidencialidade, a integridade e a segurança das informações eletrônicas de saúde protegidas (ePHI).

Diretrizes do programa CalAIM ECM & CS

Diretrizes específicas do estado que descrevem os requisitos de implementação do programa Enhanced Care Management & Community Support. Essas diretrizes fornecem orientações sobre as operações do programa, elegibilidade dos participantes, relatórios de dados e outros aspectos críticos que afetam a forma como as informações confidenciais são gerenciadas.

Manual do Funcionário da Organização

Um recurso abrangente que contém políticas adicionais relacionadas à conduta dos funcionários, expectativas do local de trabalho, obrigações de confidencialidade e procedimentos para lidar com violações. O manual complementa essa política fornecendo contexto e orientação mais amplos sobre os padrões organizacionais.

Aprovação e revisão

Esta Política de Controle de Acesso entra em vigor a partir de [Inserir data de vigência].. A política será revisada anualmente ou conforme a necessidade de mudanças nos requisitos regulatórios, na estrutura organizacional ou nas necessidades operacionais. As revisões da política devem ser aprovadas pelo diretor do programa para garantir a consistência com os objetivos organizacionais e os mandatos de conformidade.

Agradecimento

Todos os indivíduos que recebem acesso a informações confidenciais devem assinar um formulário de reconhecimento confirmando que leram, entenderam e concordam em cumprir esta Política de Controle de Acesso. A confirmação assinada será mantida no arquivo pessoal do indivíduo ou nos registros do contratado. Ao assinar, os indivíduos afirmam seu compromisso de manter os padrões de proteção de dados e confidencialidade da organização.

Conclusão

A adesão a esta Política de Controle de Acesso é essencial para manter a confidencialidade, a integridade e a disponibilidade de informações confidenciais dentro do Programa CalAIM ECM & CS. Ao seguir os procedimentos e diretrizes descritos, a organização garante a conformidade com os requisitos legais e regulamentares, protege a privacidade dos indivíduos e mantém a confiança depositada em nós pelos clientes, parceiros e comunidade. É responsabilidade coletiva de todo o pessoal contribuir para um ambiente de trabalho seguro e ético, no qual as informações confidenciais sejam tratadas com o mais alto nível de cuidado e profissionalismo.

1. Finalidade

O objetivo desta política é estabelecer procedimentos abrangentes para o descarte seguro de informações confidenciais dentro do programa California Advancing and Innovating Medi-Cal (CalAIM) Enhanced Care Management & Community Support (ECM & CS). Com a implementação desses procedimentos, pretendemos garantir a total conformidade com todas as leis federais e estaduais aplicáveis, inclusive a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e as normas de privacidade da Califórnia. O descarte seguro é fundamental para evitar o acesso não autorizado, a divulgação ou o uso indevido de informações confidenciais, protegendo assim a privacidade dos indivíduos e mantendo a integridade do Programa ECM & CS.

2. Escopo

Esta política se aplica a todos os indivíduos associados ao programa CalAIM ECM & CS. Isso inclui funcionários, prestadores de serviços, voluntários e quaisquer terceiros associados que lidam com informações confidenciais em qualquer capacidade. Cada pessoa dentro desse escopo é responsável por compreender e aderir aos procedimentos descritos nesta política para garantir o descarte seguro de informações confidenciais.

3. Definições

Informações confidenciais refere-se a todos os dados protegidos por leis federais ou estaduais. Isso inclui, entre outros, Informações de Saúde Protegidas (PHI), Informações Pessoais Identificáveis (PII) e dados organizacionais confidenciais. Descarte é definido como o ato de descartar ou destruir informações ou mídias que contenham informações confidenciais de forma a impedir o acesso não autorizado ou a reconstrução das informações.

4. Declaração de política

Todas as informações confidenciais devem ser descartadas de forma segura para evitar qualquer possibilidade de acesso não autorizado, divulgação ou uso indevido. Os métodos de descarte empregados devem tornar as informações irrecuperáveis e ilegíveis. Esta política exige a adesão estrita às práticas de descarte seguro de registros físicos e eletrônicos, garantindo que todos os funcionários compreendam e implementem os procedimentos necessários.

5. Procedimentos

5.1 Registros físicos

Todos os documentos físicos que contêm informações confidenciais devem ser manuseados com o máximo cuidado durante o processo de descarte. Antes do descarte, esses documentos devem ser armazenados em locais seguros. Especificamente, eles devem ser colocados em contêineres trancados designados para materiais confidenciais que aguardam trituração. Esses contêineres devem ser claramente rotulados como “Confidencial - Para trituração” para evitar acesso acidental ou manuseio incorreto.

Ao descartar esses documentos, as fragmentadoras de corte transversal devem ser usadas para destruição no local. A fragmentação transversal garante que os documentos sejam fragmentados em pequenos pedaços que não podem ser remontados, protegendo assim as informações contidas neles. Se um serviço de destruição terceirizado for empregado, é essencial verificar se o prestador de serviços é certificado e se adere a padrões rígidos de confidencialidade. O prestador de serviços deve fornecer um certificado de destruição para cada lote de documentos destruídos, servindo como um registro verificável de conformidade.

Os supervisores são responsáveis por supervisionar o processo de trituração. Eles devem verificar se a trituração é concluída regularmente e documentada adequadamente. Essa supervisão garante que o processo de descarte seja consistente e que nenhuma informação confidencial permaneça vulnerável devido a atrasos ou lapsos de procedimento.

5.2 Registros eletrônicos

Os registros eletrônicos requerem atenção especial devido ao potencial de recuperação de dados mesmo após a exclusão. Ao descartar registros eletrônicos, é necessário utilizar um software seguro de exclusão de dados. O software deve estar em conformidade com os padrões do Departamento de Defesa (DoD 5220.22-M) para sanitização de dados, o que envolve sobrescrever os dados várias vezes para evitar qualquer possibilidade de recuperação.

Para mídias eletrônicas que não podem ser limpas com segurança - como discos rígidos danificados ou dispositivos não funcionais - devem ser empregados métodos de destruição física. A destruição física pode incluir desmagnetização (desmagnetização da mídia de armazenamento), trituração ou incineração. Esses métodos garantem que os dados não possam ser reconstruídos de forma alguma.

A coordenação com o Departamento de TI é fundamental para o descarte de servidores, computadores, dispositivos móveis e outros equipamentos eletrônicos. O departamento de TI é responsável por garantir que todos os dados sejam apagados com segurança antes de o equipamento ser descartado, reatribuído ou reciclado. Ele deve seguir as práticas recomendadas do setor e manter registros do processo de descarte.

5.3 Dispositivos de armazenamento portáteis

Dispositivos de armazenamento portáteis, como unidades USB, CDs e DVDs, representam um risco único devido ao seu tamanho e portabilidade. Um inventário de todos os dispositivos de armazenamento portáteis que contêm informações confidenciais deve ser mantido diligentemente. Esse inventário deve incluir detalhes como o tipo de dispositivo, as informações que ele contém e seu guardião atual.

Quando os dispositivos de armazenamento portáteis não são mais necessários, eles devem ser descartados de forma segura. A destruição física é o método preferido, garantindo que os dados não possam ser recuperados. Os métodos podem incluir a trituração dos dispositivos ou a incineração, dependendo dos materiais envolvidos.

5.4 Aparelhos de fax, impressoras e copiadoras

Muitos aparelhos de fax, impressoras e copiadoras modernos têm memória interna que armazena cópias de documentos processados pelo dispositivo. Antes de descartar ou reatribuir esses equipamentos, todos os dados armazenados devem ser apagados da memória interna. Se isso não for feito, poderá resultar em acesso não autorizado a informações confidenciais.

Se o equipamento for alugado e for devolvido ao fornecedor, é essencial garantir que o fornecedor seja contratualmente obrigado a apagar com segurança todos os dados da memória do equipamento. Esse acordo deve ser documentado por escrito, fornecendo proteção legal e garantindo a conformidade.

5.5 Empreiteiros terceirizados

Quando terceiros contratados estão envolvidos no descarte de informações confidenciais, é necessária a devida diligência para verificar sua conformidade com esta política e com todos os requisitos legais. Isso inclui a análise de seus procedimentos, certificações e histórico no manuseio de informações confidenciais.

Devem ser estabelecidos acordos por escrito com todos os terceiros contratados, descrevendo explicitamente suas obrigações de confidencialidade e os procedimentos que devem seguir para o descarte seguro. Esses contratos devem incluir disposições para auditoria e verificação de conformidade, garantindo que os contratados mantenham os mesmos padrões elevados da organização.

6. Responsabilidades

Todos os membros da equipe são responsáveis por aderir a esta política e por relatar imediatamente quaisquer violações ou riscos potenciais ao seu supervisor ou ao Compliance Officer. A vigilância é essencial para evitar o acesso não autorizado a informações confidenciais.

Os supervisores devem garantir que os membros de suas equipes cumpram a política. Eles são responsáveis por fornecer os recursos e o suporte necessários para as práticas de descarte seguro e por relatar prontamente quaisquer problemas ou preocupações.

O Departamento de TI desempenha um papel fundamental no gerenciamento do descarte seguro de equipamentos eletrônicos. Ele tem a tarefa de implementar soluções técnicas para a destruição de dados e fornecer orientação e suporte a outros departamentos, conforme necessário.

O diretor de conformidade supervisiona a implementação dessa política em toda a organização. Isso inclui a realização de auditorias regulares para avaliar a conformidade, a solução de quaisquer problemas identificados e a atualização da política conforme necessário para refletir as mudanças nas leis ou nas práticas organizacionais.

7. Treinamento

Para garantir a implementação efetiva, todos os funcionários e associados devem passar por um treinamento obrigatório sobre o descarte seguro de informações confidenciais. Esse treinamento será fornecido no momento da contratação e, posteriormente, anualmente. O treinamento abrangerá a importância do descarte seguro, os procedimentos específicos a serem seguidos e as implicações legais da não conformidade. A educação contínua reforça o compromisso da organização com a confidencialidade e equipa o pessoal com o conhecimento necessário para cumprir suas responsabilidades de forma eficaz.

8. Conformidade e aplicação

A conformidade com esta política é obrigatória. O não cumprimento pode resultar em medidas disciplinares, inclusive a rescisão do contrato de trabalho ou de contratos. Em casos de má conduta intencional ou negligência grave, também poderão ser tomadas medidas legais. A organização tem o compromisso de aplicar esta política para proteger a confidencialidade das informações e manter a confiança dos clientes, parceiros e órgãos reguladores.

9. Referências

Essa política é informada por várias peças importantes de legislação e orientação regulatória, incluindo:

• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Estabelece padrões nacionais para a proteção de informações de saúde.
• Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA): Rege a privacidade das informações médicas no estado.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): Fornece direitos aos consumidores com relação às suas informações pessoais.
• Regulamentos do Department of Health Care Services (DHCS): Supervisiona o Medi-Cal e programas relacionados.

Essas referências fornecem a estrutura legal dentro da qual esta política opera e enfatizam a importância da conformidade.

10. Análise e revisão

Esta política será revisada anualmente para garantir que permaneça atualizada com os requisitos legais e as práticas recomendadas. Ela será revisada conforme necessário em resposta a mudanças na legislação, na tecnologia ou nos procedimentos organizacionais. O feedback da equipe e os resultados das auditorias de conformidade informarão as atualizações necessárias, garantindo que a política evolua para atender aos desafios emergentes.