Is Gmail HIPAA compliant?

Not by default. Google Workspace can be made HIPAA compliant if you configure the correct security settings and sign a Business Associate Agreement (BAA) with Google. The free version of Gmail cannot be made compliant because Google does not offer a BAA for it.

What happens if I send PHI in a regular, unencrypted email?

Sending Protected Health Information in an unencrypted email may result in a reportable HIPAA breach. Depending on how the violation is classified, fines can range from $100 to $50,000 per violation. Regulatory investigations can occur even when organizations believe the risk is minimal.

Do I need a BAA with every vendor that handles my email?

Yes. Any third-party vendor that processes, stores, or transmits electronic Protected Health Information on your behalf, including email providers, archiving services, and encryption tools, must have a signed Business Associate Agreement in place.

Can external patients email me from a regular email account?

Yes, you may respond if the patient initiated contact and understood the risks of using unsecured email. However, you must document this acknowledgment, and you remain responsible for protecting any Protected Health Information you send in your reply.

Provedores de e-mail em conformidade com a HIPAA: O que você precisa saber

A maioria das práticas de saúde não começa a pensar seriamente sobre a segurança de e-mail até que um paciente reclame ou uma auditoria os atinja. Três e-mails não criptografados enviados por acidente são suficientes, que é exatamente o que aconteceu em um centro médico da área de Memphis, onde o erro honesto de um funcionário desencadeou uma investigação federal e notificações obrigatórias de violação para os pacientes afetados. Não foi malicioso nem mesmo um hack. Foi apenas um e-mail comum, enviado da maneira errada.

Esse é o problema da HIPAA e do e-mail. O risco geralmente é mundano, e é isso que faz com que seja fácil ignorá-lo até que seja tarde demais.

Neste artigo, explicaremos de onde vêm esses riscos, como a HIPAA se aplica ao uso diário de e-mails e o que as práticas de saúde precisam implementar para evitar que você se torne o próximo estudo de caso.

Principais conclusões

O e-mail em conformidade com a HIPAA exige criptografia, controles de acesso, registros de auditoria, segurança de transmissão e um contrato de associação comercial (BAA) assinado; todos devem ser implementados em conjunto
Não existe um provedor universalmente melhor. Muito disso se resume ao tamanho e à configuração da sua clínica; um profissional individual e uma rede hospitalar estão procurando coisas completamente diferentes

Então, o que é exatamente a HIPAA?

Provedores de e-mail em conformidade com a HIPAA que protegem as informações de saúde dos pacientes e a segurança dos dados

O Health Insurance Portability and Accountability Act foi sancionado em 1996. Originalmente, tratava-se de proteger a cobertura de saúde dos trabalhadores entre empregos, mas, à medida que o setor de saúde se tornou digital, a lei se expandiu para abranger a forma como os dados dos pacientes são tratados, transmitidos e armazenados em todos os canais, inclusive na comunicação eletrônica.

A lei chama esses dados de Informações de saúde protegidas, ou PHI. E as PHI são mais amplas do que parecem à primeira vista. Não se trata apenas de registros médicos. Lembretes de consultas, resultados de laboratório e até mesmo um endereço de e-mail contam, se estiverem vinculados a um serviço de saúde. Qualquer coisa que identifique um paciente e esteja relacionada à sua saúde é PHI, e no momento em que você a envia por e-mail, a HIPAA se aplica.

O Escritório de Direitos Civis (OCR) aplica isso. As multas variam de US$ 100 a US$ 50.000 por violação, com um limite anual de US$ 1,5 milhão. Violações intencionais, em que você conhecia as regras e as ignorou, podem resultar em acusações criminais. A maioria das violações não chega a esse ponto, mas o risco financeiro é grande o suficiente para que você não descubra isso retroativamente.

A criptografia por si só não salvará você

Provedores de e-mail em conformidade com a HIPAA com criptografia, TLS, registros de auditoria e acordos BAA

Há um equívoco comum que coloca as práticas em apuros, que é adicionar criptografia à configuração do e-mail, presumindo que o problema está resolvido. Isso está longe de ser verdade.

A conformidade com a HIPAA para e-mail é, na verdade, cinco coisas ao mesmo tempo:

Criptografia, é claro.
Controles de acesso (somente as pessoas certas podem ler ou enviar PHI)
Logs de auditoria (um registro de quem acessou o quê e quando)
Controles de integridade (as PHI não podem ser alteradas em trânsito)
Segurança de transmissão (protocolos TLS modernos que protegem os dados à medida que eles se movem entre os servidores).

Há também uma parte contratual que não tem nada a ver com as configurações de seu software. Qualquer provedor de e-mail terceirizado que tenha acesso às suas PHI deve assinar um Contrato de Associado Comercial (BAA). Esse é um documento legal que define como o fornecedor protege seus dados, o que ele faz se houver uma violação e pelo que ele é responsável. Se um fornecedor não assinar um BAA, você não poderá usá-lo legalmente para obter PHI, pura e simplesmente.

Isso traz à tona a questão do e-mail gratuito. Yahoo, Hotmail, AOL, nenhum deles oferece BAAs para contas gratuitas. O Gmail padrão e o Outlook pessoal também não. A ausência de BAA significa que você não está em conformidade, ponto final, independentemente da linguagem de marketing.

Os três tipos de soluções

Comparação de provedores de e-mail compatíveis com hipaa com BAAs e opções de criptografia

Antes de entrar em provedores de serviços de e-mail específicos, é útil entender a categoria em que você está comprando. A resposta certa para um terapeuta individual não se parece em nada com a resposta certa para uma rede de hospitais regionais.

As plataformas de comunicação especializadas em saúde são projetadas desde o início para os prestadores de serviços de saúde. Elas vêm com BAAs, criptografia e recursos de conformidade já implementados. Isso requer uma configuração mínima e uma instalação relativamente rápida. A desvantagem é que elas são mais restritas, o que significa que você está comprando uma ferramenta especializada que pode não ser tão flexível quanto você deseja. É a melhor opção para clínicas de pequeno e médio porte que desejam algo que funcione imediatamente.

O e-mail corporativo com complementos de HIPAA, como o Google Workspace e o Microsoft 365, pode ser totalmente compatível. Tanto o Google quanto a Microsoft oferecem BAAs e a infraestrutura de segurança para dar suporte à HIPAA. Mas “pode ser colocado em conformidade” é uma frase que exige muito trabalho. Você ainda precisa configurar as políticas de DLP, ativar as configurações de criptografia corretas, definir os controles de administrador e manter tudo isso atualizado. É na configuração incorreta que as práticas são detectadas. Esse caminho funciona bem quando você tem suporte de TI. Sem ele, você terá uma enorme responsabilidade.

Os complementos e plug-ins de criptografia adicionam segurança à plataforma de e-mail compatível com HIPAA que você já está usando. Custo mais baixo, menos problemas. O problema é que eles são tão bons quanto a plataforma básica que você utiliza.

Os lembretes de compromissos e os acompanhamentos são inúteis no spam. O InboxAlly ajuda a reconstruir a confiança na caixa de entrada, gerando as ações de engajamento que os provedores recompensam, para que as comunicações com seus pacientes não sejam enterradas após uma mudança de domínio, importação de lista ou pico de volume. Comece gratuitamente e veja como ele funciona em sua configuração de envio.

Os melhores serviços de e-mail em conformidade com a HIPAA no momento

Comparação dos recursos dos provedores de e-mail em conformidade com a hipaa Paubox, LuxSci e ProtonMail

Essas são as opções que aparecem regularmente nos ambientes de saúde. No entanto, nenhuma delas é universalmente correta, portanto, tenha em mente o que funciona para você ao ler este texto.

Paubox

Ideal para você: Clínicas de médio porte que já usam o Google Workspace ou o Microsoft 365

O argumento da Paubox é que a criptografia deve ser invisível. Não há portais, etapas extras para os pacientes ou treinamento da equipe sobre “como enviar um e-mail seguro”. As mensagens são criptografadas por padrão, independentemente de o servidor do destinatário ser compatível ou não, e chegam diretamente à caixa de entrada como um e-mail normal.

Essa abordagem é rara nesse espaço, e é por isso que a Paubox ocupa regularmente o primeiro lugar nas classificações do G2 e da Capterra. Ele se integra diretamente ao G Suite e ao Office 365, inclui um BAA em todos os planos pagos e tem certificação HITRUST. Os níveis Plus e Premium adicionam proteção contra ameaças de entrada, DLP, arquivamento e transcrição de correio de voz, caso sua clínica precise deles.

No entanto, o mínimo de cinco usuários o torna menos prático para profissionais individuais, e o preço é mais adequado para um posicionamento no mercado intermediário. Essa não é a opção mais barata da categoria.

Prós:

Criptografia contínua de ponta a ponta
Confiado pelos destinatários
Ótimas integrações
Certificação HITRUST

Contras:

Mínimo de cinco usuários
Preço mais alto
É necessária alguma configuração prévia do DNS

Preços: Padrão: US$ 29/usuário/mês; Plus: US$ 59; Premium: US$ 69

LuxSci

Ideal para você: Organizações de saúde maiores com necessidades de comunicação complexas

A LuxSci está nesse espaço desde 1999. Tanto a Aetna quanto a Beth Israel Lahey Health a utilizam. Esse histórico é importante quando você confia os dados dos pacientes a um fornecedor.

Seu recurso de destaque é o SecureLine. Trata-se de um sistema de criptografia adaptável que escolhe o melhor método(SMTP TLS, PGP, S/MIME ou Escrow) com base no que o servidor do destinatário pode suportar. Em vez de uma abordagem de tamanho único, ele se adapta. Essa é uma grande diferença quando você está se comunicando com dezenas de sistemas de parceiros diferentes.

A LuxSci também vai muito além do e-mail, oferecendo suporte a formulários da Web seguros, mensagens de texto, videoconferência e hospedagem na Web. Mais do que a maioria dos pequenos consultórios precisa, mas ótimo para organizações de nível empresarial que desejam conformidade e mais de uma maneira de se comunicar.

Prós:

Criptografia adaptável
Certificação HITRUST
Amplo conjunto de recursos
Longo histórico

Contras:

A partir de US$ 50/mês
Excesso de trabalho para necessidades de pequenos consultórios

Preços: Planos a partir de US$ 50/mês

ProtonMail (Proton for Business)

Ideal para você: Práticas em que a privacidade é a principal preocupação

O ProtonMail foi criado por pesquisadores do CERN na Suíça, o que diz a você algo sobre sua orientação. A criptografia de acesso zero significa que o próprio Proton não pode ler seus e-mails criptografados. Os dados são armazenados de acordo com a lei de privacidade suíça. Sua infraestrutura de servidor principal está localizada em uma instalação subterrânea sob 1.000 metros de granito, o que parece extremo até que você considere o que está em jogo.

O BAA está disponível nos planos empresariais, que é o único nível que você deve considerar para PHI. A interface precisa de alguns ajustes se você estiver vindo do Gmail ou do Outlook. Além disso, vale a pena verificar os limites de envio diário nas camadas inferiores em relação ao seu volume. Mas essa é uma opção séria para uma prática em que a privacidade do paciente é a estrela do norte.

Prós:

Criptografia de acesso zero
Jurisdição suíça
Código aberto
Privacidade de alto nível

Contras:

Curva de aprendizado da interface
Limites de envio em camadas inferiores
O Proton Bridge é necessário para clientes de desktop

Preços: Planos empresariais a partir de US$ 6,99/usuário/mês

Algumas coisas que você deve saber quando estiver avaliando essas ferramentas

Provedores de e-mail em conformidade com a Hipaa com BAA, registros de auditoria e políticas de DLP

Leia o BAA antes de você assiná-lo. Alguns fornecedores oferecem um BAA, mas o redigem de uma forma que transfere a responsabilidade de notificação de violação para você, limita significativamente a responsabilidade deles ou exclui subcontratados. Um BAA assinado não é o mesmo que um BAA de proteção.

A experiência do paciente é mais importante do que você imagina. A solução mais segura do mundo não ajudará se os pacientes não a usarem. Se a leitura de uma mensagem exigir a criação de uma conta segura no portal por meio de um login de várias etapas e o download de um aplicativo, muitos pacientes (especialmente os mais velhos) simplesmente não se darão ao trabalho.

Os logs de auditoria precisam ser exportáveis. Durante uma investigação, você precisa produzir rapidamente registros limpos. Se os logs existirem, mas não puderem ser exportados em um formato utilizável, eles não ajudarão você sob pressão.

As políticas de DLP são onde a conformidade acontece. Você não pode contar com a equipe para sinalizar manualmente todos os e-mails confidenciais. Procure plataformas com criptografia automática com base no conteúdo

A capacidade de entrega é um problema à parte e está relacionada a ele

A conformidade protege seus pacientes. A capacidade de entrega determina se seus e-mails realmente chegam a eles.

Esses problemas são diferentes, mas se cruzam. Se você estiver executando lembretes de consultas, divulgação de pacientes ou qualquer tipo de comunicação de saúde em volume, seu domínio precisa de um bom histórico comportamental antes de enviar esses e-mails.

Quando seus e-mails estão em total conformidade, mas continuam chegando ao spam, o problema é comportamental. O InboxAlly cria os sinais de envolvimento que os provedores de caixa de entrada realmente procuram, para que as comunicações com seus pacientes cheguem onde deveriam. Experimente-o gratuitamente e veja como a confiança é restabelecida na prática.

PERGUNTAS FREQUENTES

O Gmail está em conformidade com a norma HIPAA?
▼ Você está em conformidade com a norma HIPAA?

Não por padrão. O Google Workspace pode estar em conformidade se você definir as configurações corretas e assinar um BAA diretamente com o Google. A versão gratuita do Gmail não pode, pois o Google não oferece um BAA para ela.

O que acontece se eu enviar PHI em um e-mail comum, não criptografado?
▼ Você pode enviar PHI em um e-mail comum, não criptografado.

Você está diante de um possível relatório de violação e, dependendo da classificação, as multas variam de US$ 100 a US$ 50.000 por violação. O caso da investigação federal do centro médico de Memphis é um bom lembrete de que o limite de “suficientemente grave para ser investigado” é menor do que a maioria das pessoas supõe.

Preciso de um BAA com todos os fornecedores que lidam com meu e-mail?
▼ Você precisa de um BAA com todos os fornecedores que lidam com meu e-mail?

Sim. Qualquer serviço de terceiros que processe, armazene ou transmita Informações de Saúde Protegidas eletronicamente em seu nome (provedor de e-mail, serviço de arquivamento, complemento de criptografia) precisa de um BAA assinado.

Os pacientes externos podem me enviar e-mails a partir de uma conta de e-mail comum?
▼ Você pode me enviar e-mails a partir de uma conta de e-mail comum?

Você pode responder se o paciente iniciou o contato e entendeu os riscos, mas certifique-se de documentar isso. A escolha dele de usar um e-mail não seguro não altera a sua responsabilidade pelo que você envia de volta.