Fexyn
Fexyn
All posts

VPN para saúde e HIPAA: o que a HIPAA realmente exige

Fexyn Team··10 min read

A frase "VPN compatível com HIPAA" aparece por toda a indústria de VPN. É uma frase sem significado. HIPAA não certifica produtos. O Departamento de Saúde e Serviços Humanos não emite selos HIPAA pra fornecedores de software. Uma VPN não pode ser "HIPAA-compatível" mais do que uma senha pode ser "HIPAA-compatível".

O que a HIPAA exige é que entidades cobertas (e parceiros de negócio) implementem salvaguardas específicas. Criptografia em trânsito é uma dessas salvaguardas. Uma VPN pode fornecer criptografia em trânsito. Isso faz uma VPN uma peça de uma postura de compliance, não a coisa toda, e definitivamente não um produto mágico de compliance.

A versão honesta é mais útil que a versão de marketing. Aqui vai.

Não somos advogados nem consultores de compliance HIPAA. Isso é informativo. Valide sua postura específica de compliance com alguém que de fato faz trabalho de compliance HIPAA na sua jurisdição.

O que a HIPAA realmente exige

A Regra de Segurança HIPAA (45 CFR Parte 164, Subparte C) exige que entidades cobertas e parceiros de negócio implementem salvaguardas pra proteger Informação de Saúde Protegida eletrônica (ePHI). As salvaguardas são organizadas em três categorias:

  • Salvaguardas administrativas: políticas, treinamento, avaliações de risco, sanções
  • Salvaguardas físicas: controles de acesso a instalações, segurança de estação de trabalho, descarte de dispositivo
  • Salvaguardas técnicas: controle de acesso, controles de auditoria, integridade, segurança de transmissão

As salvaguardas técnicas incluem "segurança de transmissão" (45 CFR 164.312(e)), que exige "implementar medidas de segurança técnica pra proteger contra acesso não autorizado a informação de saúde protegida eletrônica que tá sendo transmitida sobre uma rede de comunicações eletrônicas".

O padrão de segurança de transmissão tem duas especificações de implementação:

  • Controles de integridade (endereçável): medidas pra garantir que ePHI não seja modificada impropriamente durante transmissão
  • Criptografia (endereçável): mecanismo pra criptografar ePHI sempre que for considerado apropriado

"Endereçável" não significa opcional. Significa que a entidade coberta deve avaliar se a implementação é "razoável e apropriada" pro seu ambiente. Se sim, implemente. Se não, documente o motivo e implemente uma alternativa equivalente.

Pra ePHI movendo sobre redes públicas (a internet), criptografia é quase sempre razoável e apropriada. O Office for Civil Rights do HHS foi explícito: ePHI enviada sem criptografia sobre redes públicas é violação da Regra de Segurança em essencialmente qualquer cenário plausível.

Onde uma VPN se encaixa

Uma VPN fornece criptografia em trânsito entre o dispositivo do usuário e o servidor de saída do provedor de VPN. Dali, o tráfego continua pro destino — tipicamente sobre TLS, que fornece sua própria camada de criptografia.

Pra cenários ePHI, os caminhos de transmissão relevantes:

  • Laptop do profissional pra sistema EHR sobre Wi-Fi público. Sistemas EHR são criptografados via TLS. A VPN adiciona uma camada externa de criptografia. Ambas as camadas fornecem proteção redundante; a VPN protege contra ataques de downgrade TLS e contra o ponto de acesso Wi-Fi público ver padrões de tráfego.
  • Laptop do profissional pra plataforma de telessaúde. Plataformas de telessaúde são criptografadas via TLS (e muitas são criptografadas ponta a ponta pro áudio/vídeo da chamada). A VPN protege a sinalização ao redor.
  • Laptop do profissional pra email contendo ePHI. Email pra servidor de email é criptografado via TLS por padrão em 2026. A VPN criptografa a conexão do laptop. A ePHI dentro do email ainda é legível pelo provedor de email a menos que medidas adicionais (S/MIME, anexos de arquivo criptografados) estejam no lugar.

Pra trabalhadores de saúde viajando, trabalhando de casa ou trabalhando de clínicas com redes compartilhadas, uma VPN é salvaguarda razoável pra segurança de transmissão.

O que "VPN compatível com HIPAA" realmente significa em marketing

Quando você vê essa frase, a empresa geralmente tá alegando uma de:

  1. Eles vão assinar um Business Associate Agreement (BAA) com você
  2. Seu serviço "suporta configurações compatíveis com HIPAA"
  3. Alguma versão menos precisa de qualquer dos dois

Um BAA é um contrato. Diz que o fornecedor (o provedor de VPN) vai proteger ePHI que manuseia e que o fornecedor assume responsabilidade sob HIPAA por violações envolvendo essa ePHI. Um BAA é exigido quando um fornecedor processa ou armazena ePHI.

Aqui tá a pergunta relevante: seu provedor de VPN realmente manuseia ePHI? Uma VPN pura de trânsito criptografado não manuseia. O provedor de VPN vê tráfego criptografado; eles não decodificam; não armazenam; não têm acesso à ePHI dentro. De uma interpretação legal estrita, uma VPN que não faz decodificação argumentavelmente não é um Parceiro de Negócios HIPAA porque não "processa" ePHI no sentido regulado.

Na prática, o HHS não emitiu orientação definitiva sobre se VPNs só de trânsito exigem BAA. A maioria dos consultores de compliance de saúde toma posição conservadora: pegue um BAA onde possível, trate o provedor de VPN como Parceiro de Negócios por segurança. Alguns provedores de VPN (Atlas VPN historicamente, NordLayer, ExpressVPN pra tier business) oferecem BAAs. A maioria das VPNs tier consumidor não.

O Fexyn atualmente não oferece BAAs. Tamo trabalhando se vamos oferecer; a sobrecarga de compliance é real e o caso técnico de se são exigidos é genuinamente incerto. Pra profissionais de saúde solo ou pequenas clínicas que querem provedor que assina BAA como medida de cinto-e-suspensórios, o tier focado em HIPAA da NordLayer ou VPN business similar com BAA é melhor encaixe hoje.

O que uma VPN não cobre pra HIPAA

Uma postura completa de compliance HIPAA precisa de tudo a seguir. Uma VPN cobre exatamente uma peça:

Criptografia em repouso. ePHI em laptops, em armazenamento na nuvem, em servidores de email, em mídia de backup — tudo precisa criptografia. Uma VPN não criptografa arquivos no disco.

Controles de acesso e autenticação. Autenticação forte em EHR, email, armazenamento na nuvem. Acesso baseado em papel. MFA. Uma VPN não fornece identidade.

Controles de auditoria. HIPAA exige logging de acesso a ePHI. Sistemas EHR e gestão de documentos têm seu próprio logging de auditoria. Uma VPN não fornece isso.

Controles de integridade. Mecanismos pra garantir que ePHI não seja modificada impropriamente.

Email contendo ePHI. Email regular (mesmo criptografado via TLS) não é apropriado pra HIPAA pra ePHI sem medidas adicionais. Use portal seguro de documento ou email criptografado ponta a ponta pra ePHI.

Treinamento de força de trabalho. Treinamento HIPAA anual é exigido administrativamente.

Avaliação de risco e gestão de risco. Avaliação documentada de riscos plausíveis e mitigações.

Políticas de notificação de violação. Procedimentos escritos pra o que acontece quando algo dá errado, incluindo o requisito de notificação de 60 dias.

Acordos de fornecedor de serviço (BAAs) com todas as entidades que manuseiam ePHI. Fornecedores de EHR, armazenamento em nuvem, serviços de cobrança, serviços de transcrição todos precisam BAAs.

Salvaguardas físicas. Escritórios trancados, armários trancados, descarte seguro de dispositivo.

Uma alegação de marketing "VPN compatível com HIPAA" que ignora todos estes e foca em criptografia-em-trânsito tá te vendendo a menor peça de compliance e chamando ela de a coisa toda.

Como parece um posicionamento honesto de VPN-pra-saúde

O Fexyn fornece:

  • Criptografia AES-256-GCM e ChaCha20-Poly1305 (cifras AEAD modernas)
  • Protocolos VPN fortes (WireGuard via Bolt, VLESS Reality com Vision via Stealth)
  • Kill switch no nível do kernel no Windows (filtros do Windows Filtering Platform que bloqueiam tráfego quando a VPN cai, não handlers de desconexão no nível do app)
  • Operação no-logs em navegação, DNS e conteúdo de tráfego
  • Jurisdição Wyoming (EUA) com estrutura no-logs como mecanismo de proteção de dados (membro Five Eyes; ainda não completamos auditoria no-logs de terceiros, planejada pra 2026)

Estas são todas características razoáveis de segurança de transmissão. Não constituem compliance HIPAA por si só; constituem um componente que se encaixa numa postura em camadas de compliance.

Pra trabalhadores de saúde que querem VPN como uma camada ao lado do resto de uma configuração consciente da HIPAA (laptops criptografados com MFA, EHR com trilhas de auditoria, portal seguro de documento pra emails ePHI, BAAs com principais Parceiros de Negócios, políticas escritas no estilo WISP, treinamento anual), o Fexyn é apropriado.

Pra trabalhadores de saúde ou pequenas clínicas que querem fornecedor único assinando BAAs pra simplificar a papelada de compliance, o tier HIPAA da NordLayer ou o posicionamento de saúde da Perimeter81 são melhores encaixes hoje. Somos honestos sobre isso.

O que outras VPNs não te contam

A maior parte do conteúdo "VPN compatível com HIPAA" na web é colocação paga. A estrutura de marketing de afiliados da indústria de VPN recompensa fazer alegações de compliance que soam mais fortes que o produto subjacente pode suportar. Tamo escrevendo este texto em parte porque a versão enganosa desse conteúdo tá em todo lugar, e em parte porque a versão honesta é mais útil, mesmo que seja menos conveniente.

Se uma VPN te diz que é "compatível com HIPAA", pergunte:

  1. Vocês vão assinar um BAA?
  2. O que o BAA realmente cobre?
  3. Que documentação vocês podem fornecer pra fins de auditoria HIPAA?
  4. Como vocês lidam com intimações e pedidos de dados de usuário em contexto ePHI da aplicação da lei?
  5. Qual seu processo de resposta a incidentes se vocês tiverem uma violação?

Um fornecedor que tem boas respostas pras cinco é parceiro real de BAA. Um fornecedor sem respostas tá vendendo cópia de marketing.

Perguntas frequentes

VPN é exigida pela HIPAA?

Não literalmente. O padrão de segurança de transmissão da HIPAA exige criptografia "endereçável", significando que a entidade coberta deve avaliar e ou implementar ou documentar por que não. Pra ePHI movendo sobre redes públicas, criptografia é quase sempre exigida; uma VPN é um jeito de fornecer.

Posso usar VPN grátis pra trabalho de saúde?

Geralmente não. A postura consciente da HIPAA exige fornecedor cujas práticas de manuseio de dados você possa verificar. VPNs grátis quase universalmente têm problemas de coleta de dados que tornam seu uso pra trabalho relacionado a ePHI indefensável.

E sobre Telessaúde especificamente?

Plataformas de telessaúde (Doxy.me, Zoom Healthcare, Healow, etc.) assinam BAAs e manuseiam a ePHI diretamente dentro da sua plataforma. A VPN protege a conexão de rede ao redor. Use ambos: uma plataforma de telessaúde consciente da HIPAA mais uma VPN pra a camada de rede ao redor.

Devo evitar email pra ePHI?

Pra enviar ePHI a pacientes, use o portal de paciente no seu EHR. Esse é construído pra propósito e auditado por trilha. Pra comunicação interna sobre ePHI entre profissionais, mensagem segura dentro do EHR ou serviço de email seguro consciente da HIPAA. Email regular com VPN não resolve a questão de conteúdo do email; o conteúdo do email é legível pelo provedor de email.

O Fexyn oferece BAA?

Atualmente não. Tamo avaliando. Pra trabalhadores de saúde que especificamente precisam de VPN que assina BAA, o tier business focado em HIPAA da NordLayer é melhor encaixe hoje.

Qual o cenário real de responsabilidade pra uma falha de VPN durante transmissão de ePHI?

Se você transmite ePHI sobre Wi-Fi público sem VPN e a transmissão é interceptada, isso é violação HIPAA com as consequências padrão de notificação, reportagem e penalidade potencial. Se você transmite com VPN funcionando corretamente, a camada de criptografia previne que a interceptação produza ePHI legível; é exatamente por isso que segurança de transmissão é padrão da Regra de Segurança. Se a conexão VPN cai no meio da transmissão e tráfego sai não criptografado, a questão do kill switch fica carregada. Por isso fazemos questão sobre kill switches baseados em WFP no kernel versus handlers no nível do app.

Experimente o Fexyn grátis por 7 dias. Sem cartão exigido pro teste. O guia Como escolher uma VPN cobre a decisão de compra mais ampla. Kill switch explicado cobre a implementação de kill switch no nível do kernel. VPN para advogados cobre o cenário paralelo da ABA 477R pra profissão jurídica.

Última revisão em 2026-05-09. Não é aconselhamento legal ou de compliance; valide com revisor de compliance HIPAA pra sua situação específica.

VPN para saúde e HIPAA: o que a HIPAA realmente exige | Fexyn VPN