M2

Question 1

O que caracteriza um negócio de fisioterapia como uma entidade coberta pela HIPAA?

Answer 1

Um negócio de fisioterapia é considerado uma entidade coberta pela HIPAA porque lida com informações de saúde protegidas (PHI) ao transmitir dados de saúde entre o médico primário do paciente e outras partes relevantes.

Question 2

Os fabricantes que vendem suplementos de saúde são considerados entidades cobertas pela HIPAA?

Answer 2

Não, fabricantes que vendem suplementos de saúde não são considerados entidades cobertas pela HIPAA, pois não lidam diretamente com informações de saúde protegidas (PHI) de pacientes.

Question 3

Uma entidade sem fins lucrativos especializada em nutrição e refeições é coberta pela HIPAA?

Answer 3

Não, uma entidade sem fins lucrativos especializada em nutrição e refeições não é considerada uma entidade coberta pela HIPAA, pois provavelmente não lida com informações de saúde protegidas (PHI) de pacientes.

Question 4

Uma organização sem fins lucrativos que conduz pesquisas usando informações publicamente disponíveis é coberta pela HIPAA?

Answer 4

Não, uma organização sem fins lucrativos que utiliza informações publicamente disponíveis para pesquisas não é considerada uma entidade coberta pela HIPAA, pois não lida com informações de saúde protegidas (PHI).

Question 5

A divulgação de informações pessoais de saúde (PHI) a outra parte é permitida sem a autorização do paciente sob a Regra de Privacidade HIPAA?

Answer 5

Não, a divulgação de PHI a outra parte geralmente não é permitida sem a autorização adequada do paciente.

Question 6

É necessária autorização para a divulgação de informações pessoais de saúde ao próprio indivíduo?

Answer 6

Não, a autorização não é necessária para a divulgação de PHI diretamente ao indivíduo.

Question 7

A organização pode divulgar PHI para interesse ou benefício público?

Answer 7

Sim, a organização pode divulgar PHI para interesse ou benefício público, conforme permitido por lei, como quando solicitado pelo departamento de saúde do estado.

Question 8

A organização pode divulgar informações de saúde redigidas para pesquisa?

Answer 8

Sim, a organização pode divulgar informações de saúde redigidas como parte de um conjunto de dados para uso em pesquisa. Se as informações não forem redigidas, a divulgação não seria permitida.

Question 9

O que as entidades cobertas são obrigadas a proteger sob a Regra de Segurança HIPAA?

Answer 9

As entidades cobertas são obrigadas a proteger contra ameaças razoavelmente antecipadas à segurança das informações de saúde protegidas (PHI) dos pacientes.

Question 10

Conduzir atualizações periódicas do sistema e do servidor é um requisito sob a Regra de Segurança HIPAA?

Answer 10

Não, conduzir atualizações periódicas do sistema e atualizações do servidor não é um requisito sob a Regra de Segurança HIPAA.

Question 11

Proteger contra padrões não antecipados em diagnósticos de saúde do cliente é um requisito sob a Regra de Segurança HIPAA?

Answer 11

Não, proteger contra padrões não antecipados em diagnósticos de saúde do cliente não é um requisito sob a Regra de Segurança HIPAA.

Question 12

A comunicação com outras entidades cobertas, como médicos primários, é um requisito sob a Regra de Segurança HIPAA?

Answer 12

Não, a comunicação com outras entidades cobertas, como médicos primários, não é um requisito sob a Regra de Segurança HIPAA.

Question 13

O escopo do GDPR se aplica à TampCorp se o processamento de dados ocorrer fora da UE?

Answer 13

Sim, o escopo do GDPR ainda se aplica totalmente à TampCorp, mesmo que o processamento de dados ocorra fora da UE, pois a empresa está localizada na UE.

Question 14

Por que a TampCorp é obrigada a cumprir o GDPR?

Answer 14

A TampCorp é obrigada a cumprir o GDPR porque está localizada na UE e processa dados dentro da UE.

Question 15

O escopo do GDPR se aplica a processadores de dados localizados dentro da UE, mesmo que o processamento ocorra fora da UE?

Answer 15

Sim, o escopo do GDPR se aplica integralmente a processadores de dados localizados na UE, mesmo que o processamento real ocorra fora da UE.

Question 16

O escopo do GDPR é afetado pela localização dos clientes da TampCorp?

Answer 16

Não, o escopo do GDPR é totalmente aplicável à TampCorp independentemente da localização dos clientes, pois a empresa processa dados na UE.

Question 17

Qual das seguintes organizações provavelmente seria considerada uma entidade coberta pela Lei de Portabilidade e Seguro Saúde (HIPAA)?

A. Um fabricante de equipamentos de exercício que vende aparelhos para academias e consumidores.
B. Uma clínica de fisioterapia que compartilha informações de saúde dos pacientes com seus médicos para coordenar o tratamento.
C. Uma organização sem fins lucrativos que fornece educação e materiais informativos sobre doenças crônicas.
D. Uma empresa de consultoria de saúde que coleta dados públicos para análise estatística de doenças.

Answer 17

Resposta: B. Uma clínica de fisioterapia que compartilha informações de saúde dos pacientes com seus médicos para coordenar o tratamento.

Explicação: A opção B é uma entidade coberta pela HIPAA porque lida diretamente com informações de saúde protegidas (PHI) e compartilha essas informações para coordenar o tratamento, caracterizando-se como um provedor de assistência médica. As outras opções não envolvem o manejo direto de PHI no contexto de tratamento médico.

Question 18

Qual das seguintes organizações seria considerada uma entidade coberta de acordo com a HIPAA?

A. Uma loja online que vende produtos naturais para o bem-estar.
B. Um consultório de fisioterapia que lida diretamente com dados de pacientes e coordena o cuidado com outros profissionais de saúde.
C. Uma instituição de caridade que organiza corridas beneficentes para conscientização sobre a saúde do coração.
D. Uma empresa de marketing que analisa dados públicos sobre tendências de saúde.

Answer 18

Resposta: B. Um consultório de fisioterapia que lida diretamente com dados de pacientes e coordena o cuidado com outros profissionais de saúde.

Explicação: A opção B representa uma entidade que processa informações de saúde protegidas (PHI) de pacientes, como parte de seu papel de prestação de cuidados de saúde, o que a torna uma entidade coberta pela HIPAA. As outras opções não estão envolvidas diretamente no processamento de PHI de maneira a serem regulamentadas pela HIPAA.

Question 19

Qual das seguintes organizações precisaria seguir as diretrizes de proteção de dados da HIPAA?

A. Uma empresa que vende suplementos alimentares para melhorar o bem-estar geral.
B. Uma empresa de fisioterapia que trata pacientes e se comunica com seus médicos principais sobre o tratamento.
C. Uma organização sem fins lucrativos que promove estilos de vida saudáveis através de seminários e workshops.
D. Um grupo de pesquisa acadêmica que usa informações de saúde agregadas e anonimizadas para estudos populacionais.

Answer 19

Resposta: B. Uma empresa de fisioterapia que trata pacientes e se comunica com seus médicos principais sobre o tratamento.

Explicação: A empresa de fisioterapia (opção B) é obrigada a seguir as diretrizes da HIPAA porque está diretamente envolvida no tratamento de pacientes e na comunicação de informações de saúde protegidas (PHI) com outros profissionais médicos. As outras organizações não têm responsabilidade direta pelo manejo de PHI de maneira a serem consideradas entidades cobertas pela HIPAA.

Question 20

Qual das seguintes opções descreveria uma violação da Regra de Privacidade da HIPAA pela Regional Health Corporation?

A. Divulgar informações pessoais de saúde (PHI) diretamente ao paciente individual mediante solicitação.
B. Fornecer informações pessoais de saúde (PHI) específicas ao departamento de saúde do estado para cumprir uma exigência legal de saúde pública.
C. Divulgar informações pessoais de saúde (PHI) diretamente ao empregador de um paciente, quando o empregador exige essas informações como condição para o emprego.
D. Compartilhar informações de saúde anonimizadas como parte de um conjunto de dados para pesquisa.

Answer 20

Resposta: C. Divulgar informações pessoais de saúde (PHI) diretamente ao empregador de um paciente, quando a política interna de recursos humanos do empregador exige a obtenção de PHI do funcionário como condição para a continuidade do emprego.

Explicação: A opção C é uma violação da Regra de Privacidade da HIPAA, pois a divulgação de PHI a um empregador sem o consentimento expresso do paciente ou uma base legal específica é proibida. As opções A, B, e D descrevem divulgações permitidas pela HIPAA, seja por solicitação do paciente, para cumprimento de requisitos legais de saúde pública, ou com dados anonimizados para pesquisa.

Question 21

Em qual dos seguintes casos a Regional Health Corporation estaria cumprindo com a Regra de Privacidade da HIPAA?

A. Enviar por e-mail informações pessoais de saúde (PHI) de um paciente para um fornecedor terceirizado sem um contrato de acordo de negócios.
B. Divulgar informações de saúde protegidas (PHI) anonimizadas para uso em estudos acadêmicos.
C. Permitir que funcionários da empresa visualizem PHI sem um motivo válido relacionado ao trabalho.
D. Compartilhar PHI com um parceiro comercial para fins de marketing sem a autorização do paciente.

Answer 21

Resposta: B. Divulgar informações de saúde protegidas (PHI) anonimizadas para uso em estudos acadêmicos.

Explicação: A opção B está em conformidade com a Regra de Privacidade da HIPAA, pois informações de saúde anonimizadas podem ser usadas para pesquisa sem violar as regras. As outras opções envolvem a divulgação inadequada de PHI, o que violaria a HIPAA.

Question 22

Em qual cenário a Regional Health Corporation estaria violando a Regra de Privacidade da HIPAA?

A. Utilizar PHI para fornecer serviços de agendamento aos pacientes conforme solicitado.
B. Divulgar PHI a um provedor de saúde envolvido no cuidado do paciente.
C. Enviar PHI de pacientes por meio de um sistema de mensagens de texto não seguro.
D. Compartilhar PHI com autoridades de saúde pública para controlar um surto de doença.

Answer 22

Resposta: C. Enviar PHI de pacientes por meio de um sistema de mensagens de texto não seguro.

Explicação: A opção C representa uma violação da Regra de Privacidade da HIPAA, pois a transmissão de PHI por canais não seguros expõe os dados a riscos de acesso não autorizado. As opções A, B, e D são permitidas sob a HIPAA, desde que cumpram outras normas de segurança e privacidade.

Question 23

A BECHealth é uma prestadora de serviços de saúde especializada em podologia. De acordo com a Regra de Segurança HIPAA, qual das seguintes ações a BECHealth deve adotar em relação às informações de saúde protegidas eletrônicas (ePHI)?

A. Realizar treinamentos anuais obrigatórios de segurança para todos os funcionários.
B. Proteger contra ameaças razoavelmente previstas à segurança das informações.
C. Realizar verificações de antecedentes criminais de todos os pacientes que acessam o sistema.
D. Monitorar diariamente todas as comunicações eletrônicas dos funcionários para garantir conformidade.

Answer 23

Resposta: B. Proteger contra ameaças razoavelmente previstas à segurança das informações.

Explicação: A opção B é uma exigência da Regra de Segurança da HIPAA, que requer que as entidades cobertas protejam contra ameaças razoavelmente antecipadas à segurança das informações de saúde protegidas eletrônicas (ePHI). As opções A, C e D não são requisitos específicos da HIPAA.

Question 24

A BECHealth lida com informações de saúde protegidas eletrônicas (ePHI). Qual das seguintes ações está de acordo com a Regra de Segurança HIPAA?

A. Enviar informações de saúde protegidas por e-mail sem criptografia para economizar tempo.
B. Implementar controles de acesso que limitam o acesso a informações de saúde protegidas apenas a funcionários autorizados.
C. Permitir que os funcionários usem dispositivos pessoais sem supervisão para acessar informações de saúde protegidas.
D. Compartilhar senhas de sistema entre funcionários para garantir que todos possam acessar informações de saúde protegidas conforme necessário.

Answer 24

Resposta: B. Implementar controles de acesso que limitam o acesso a informações de saúde protegidas apenas a funcionários autorizados.

Explicação: A opção B cumpre a Regra de Segurança da HIPAA, que exige a implementação de controles de acesso apropriados para garantir que apenas pessoal autorizado tenha acesso às informações de saúde protegidas. As opções A, C, e D violam as diretrizes de segurança da HIPAA.

Question 25

Para cumprir a Regra de Segurança da HIPAA, qual das seguintes práticas deve ser adotada pela BECHealth?

A. Atualizar as políticas de segurança apenas quando ocorrer uma violação.
B. Realizar uma análise de risco regular para identificar e mitigar possíveis ameaças à segurança das informações.
C. Permitir o uso de redes Wi-Fi públicas para acessar informações de saúde protegidas eletrônicas sem proteção adicional.
D. Substituir as senhas de acesso ao sistema apenas quando os funcionários saem da empresa.

Answer 25

Resposta: B. Realizar uma análise de risco regular para identificar e mitigar possíveis ameaças à segurança das informações.

Explicação: A opção B está de acordo com a Regra de Segurança da HIPAA, que exige uma análise de risco contínua para identificar e mitigar ameaças à segurança das informações de saúde protegidas eletrônicas (ePHI). As opções A, C, e D não são suficientes para garantir a conformidade com a HIPAA e poderiam resultar em violações.

Question 26

A TampCorp é uma empresa com sede na Itália, que processa dados pessoais de clientes localizados na União Europeia (UE). Se o processamento desses dados pessoais for realizado nos Estados Unidos, como se aplica o regulamento geral de proteção de dados (GDPR)?

A. A TampCorp deve cumprir o GDPR em todos os aspectos, pois está sediada na UE.
B. A TampCorp deve apenas cumprir o GDPR para dados processados dentro da UE.
C. A TampCorp não está sujeita ao GDPR, pois o processamento ocorre fora da UE.
D. A TampCorp deve cumprir o GDPR apenas se processar dados sensíveis.

Answer 26

Resposta: A. A TampCorp deve cumprir o GDPR em todos os aspectos, pois está sediada na UE.

Explicação: A TampCorp deve cumprir o GDPR independentemente de onde o processamento de dados ocorra, pois está sediada na UE e coleta dados pessoais de clientes na UE. O GDPR aplica-se a todas as empresas que processam dados pessoais de residentes da UE, independentemente de onde o processamento físico ocorre.

Question 27

Se a TampCorp, uma organização sediada na Itália, processa dados pessoais de clientes da UE fora da União Europeia, o GDPR se aplica a qual das seguintes situações?

A. Apenas aos dados pessoais armazenados na UE.
B. A todos os dados pessoais de residentes da UE, independentemente da localização do processamento.
C. Apenas aos dados pessoais processados por organizações da UE.
D. Apenas aos dados processados dentro da própria Itália.

Answer 27

Resposta: B. A todos os dados pessoais de residentes da UE, independentemente da localização do processamento.

Explicação: O GDPR se aplica a qualquer empresa que processe dados pessoais de residentes da UE, independentemente de onde o processamento aconteça. A TampCorp deve cumprir o GDPR, pois processa dados pessoais de residentes da UE, mesmo que o processamento seja realizado fora da União Europeia.

Question 28

Como a TampCorp, com sede na Itália, deve lidar com o GDPR ao processar dados de recursos humanos de clientes da UE remotamente nos Estados Unidos?

A. Não precisa cumprir o GDPR, pois o processamento ocorre fora da UE.
B. Deve cumprir o GDPR, pois é uma empresa sediada na UE processando dados de clientes da UE.
C. Precisa apenas cumprir o GDPR quando transferir dados para países fora da UE.
D. Deve cumprir o GDPR apenas se solicitado por um cliente específico da UE.

Answer 28

Resposta: B. Deve cumprir o GDPR, pois é uma empresa sediada na UE processando dados de clientes da UE.

Explicação: Como a TampCorp está sediada na UE e processa dados pessoais de clientes da UE, ela deve cumprir com o GDPR em todas as suas operações, mesmo que o processamento físico ocorra fora da UE. O regulamento se aplica independentemente da localização do processamento dos dados.