Qu'est-ce que l'HIPAA ? Voici comment vous assurer que vous êtes conforme à la loi HIPAA

Publié: 2023-01-23

Personne ne devrait faire de compromis sur la santé et la sécurité, et c'est ce que garantit HIPAA.

La Health Insurance Portability and Accountability Act (HIPAA) a été promulguée en 1996 pour fournir aux patients un meilleur accès à leurs informations de santé et pour réglementer leur protection. Au fil des ans, HIPAA a évolué pour créer des exigences de notification de violation de données et déterminer les entités auxquelles elle s'applique.

Si vous travaillez dans le secteur de la santé, les gens parlent souvent de HIPAA, mais qu'est-ce que c'est et comment pouvez-vous répondre à ses exigences ?

Qu'est-ce que la loi sur la transférabilité et la responsabilité de l'assurance maladie ?

La loi HIPAA (Health Insurance Portability and Accountability Act) décrit l'utilisation et la divulgation appropriées des informations de santé protégées (PHI), comment elles doivent être sécurisées et ce qu'il faut faire en cas de violation. Le ministère de la Santé et des Services sociaux (HHS) réglemente l'HIPAA, tandis que l'Office des droits civils (OCR) applique la conformité.

Lorsqu'une plainte de non-conformité est déposée contre un organisme de soins de santé, l'OCR enquête sur l'organisme pour déterminer si les allégations sont vraies. S'il s'avère que l'organisation a enfreint la loi HIPAA, des amendes et des mesures correctives peuvent être imposées.

Les trois règles de la loi sur la portabilité et la responsabilité de l'assurance maladie

Le règlement HIPAA se compose de trois règles principales. Les règles de confidentialité, de sécurité et de notification de violation de l'HIPAA fournissent des directives aux organisations de soins de santé pour partager des informations, protéger les informations sensibles des patients, répondre et signaler une violation.

Règle de confidentialité HIPAA

La règle de confidentialité HIPAA se concentre principalement sur l'utilisation et la divulgation d'informations de santé protégées. L'utilisation et la divulgation des PHI ne sont autorisées que pour des raisons spécifiques, telles que le traitement, le paiement et les soins de santé. Toute autre utilisation ou divulgation nécessite l'accord écrit préalable du patient.

La norme minimale HIPAA exige également que l'accès aux RPS soit restreint. L'accès aux RPS ne devrait être accordé qu'aux employés qui en ont besoin pour leur travail. Cet accès doit également être limité aux informations nécessaires à l'exercice de leurs fonctions.

Par exemple, un assistant administratif peut avoir besoin d'accéder à certaines informations sur le patient pour planifier un rendez-vous. Cet employé aurait probablement besoin de connaître le nom du patient, ses coordonnées, ses informations d'assurance et, dans certains cas, des informations procédurales de base pour déterminer la durée du rendez-vous. Ils n'auront pas besoin d'accéder au dossier complet du patient.

Votre avis sur les pratiques de confidentialité (NPP) doit clairement décrire comment votre organisation utilise et divulgue les informations sur les patients. Il devrait également discuter des droits des patients concernant leurs informations. Les patients doivent recevoir un NPP pour examen lors de l'admission.

Les droits des patients (droit d'accès HIPAA) sont également traités en détail dans la règle de confidentialité. La norme HIPAA sur le droit d'accès exige que les prestataires de soins de santé fournissent aux patients l'accès à leurs dossiers médicaux sur demande. Les dossiers demandés doivent être mis à la disposition du patient dans les 30 jours suivant la demande. Les patients ont également le droit de recevoir leurs dossiers dans le format qu'ils ont demandé, le cas échéant.

Règle de sécurité HIPAA

La règle de sécurité HIPAA exige que la confidentialité, l'intégrité et la disponibilité des PHI soient maintenues. Cela signifie essentiellement que les organisations de soins de santé doivent protéger la confidentialité des RPS et empêcher leur altération ou leur destruction sans autorisation. Les protections HIPAA aident à atteindre une sécurité optimale des données.

Quelles sont les garanties HIPAA ?

Les garanties HIPAA sont des mesures administratives, techniques et physiques prises pour empêcher l'accès, l'utilisation ou la divulgation non autorisés des PHI.

Les garanties administratives sont des politiques et des procédures qui fournissent aux employés des lignes directrices pour utiliser et divulguer correctement les RPS. Ils décrivent également les exigences de formation et d'évaluation des risques de sécurité HIPAA pour les employés.

Les garanties techniques sont des mesures visant à protéger les RPS électroniques (ePHI). Des exemples courants de protections techniques incluent le chiffrement, l'authentification des utilisateurs, les contrôles d'accès et les contrôles d'audit.

  • Cryptage : code les données afin que les entités non autorisées ne puissent pas lire les informations.
  • Authentification de l'utilisateur : fournit à chaque utilisateur un ID utilisateur unique pour accéder au réseau de votre organisation.
  • Contrôles d'audit : permettent aux administrateurs de surveiller facilement les activités suspectes sur un réseau, telles qu'un utilisateur accédant à un réseau à partir d'un emplacement suspect ou plusieurs tentatives de connexion infructueuses par un utilisateur individuel.
  • Contrôles d'accès : permettent aux administrateurs de désigner différents niveaux d'accès aux informations sur les patients en fonction du rôle de l'employé.

Les protections physiques, telles que les serrures et les systèmes d'alarme, protègent l'emplacement physique d'une organisation.

Règle de notification de violation HIPAA

La règle de notification de violation HIPAA exige que les entreprises et les associés commerciaux couverts signalent les violations de PHI.

Tous les incidents ne sont pas des infractions. Les exemples courants d'infractions comprennent les incidents de piratage, l'accès non autorisé aux RPS, la divulgation des RPS à une partie non autorisée, le vol ou la perte de documents papier et le vol ou la perte d'appareils électroniques portables non cryptés.

Par exemple, le vol ou la perte d'un ordinateur portable crypté n'est pas une violation car les informations ne sont pas accessibles. Si les informations sur l'ordinateur portable n'étaient pas sécurisées et devenaient accessibles à des personnes non autorisées, il s'agirait d'une violation.

Les violations de données des patients doivent obligatoirement être signalées. L'organisation violée doit informer les patients concernés par écrit dans les 60 jours suivant la découverte de l'incident. Les organisations doivent également signaler la violation au ministère de la Santé et des Services sociaux (HHS).

Si l'incident affecte moins de 500 patients, les organisations ont jusqu'à soixante jours après la fin de l'année civile pour le signaler au HHS. Si l'incident affecte 500 patients ou plus, les organisations doivent le signaler au HHS 30 jours après sa découverte. Les violations affectant 500 patients ou plus doivent également être signalées aux médias.

Quelles informations HIPAA protège-t-il ?

HIPAA protège les informations des patients, connues sous le nom d'informations de santé protégées (PHI). Les RPS sont définis comme toute information de santé identifiable individuellement associée à la prestation passée, présente ou future de soins de santé.

Les informations de santé protégées électroniquement (ePHI) sont des PHI stockées dans un format électronique, comme sur un ordinateur portable ou dans une plateforme de dossiers de santé électroniques. ePHI doit également être protégé par HIPAA.

18 identifiants HIPAA

Le ministère de la Santé et des Services sociaux (HHS) classe les informations de santé protégées en 18 identifiants uniques. Chacun des 18 identifiants est considéré comme un RPS s'il est associé à la prestation de services de soins de santé.

18 identifiants HIPAA

Source : Groupe de conformité

Voici les 18 identifiants HIPAA :

  1. Noms des patients
  2. Éléments géographiques, tels qu'une adresse postale, une ville, un comté ou un code postal
  3. Dates liées à la santé ou à l'identité des personnes, y compris les dates de naissance, la date d'admission, la date de sortie, la date de décès ou l'âge exact d'un patient de plus de 89 ans
  4. Numéros de téléphone
  5. Numéros de télécopie
  6. Adresses mail
  7. Numéros de sécurité sociale
  8. Numéros de dossier médical
  9. Numéros de bénéficiaires de l'assurance maladie
  10. Numéros de compte
  11. Numéros de certificat ou de licence
  12. Identificateurs de véhicule
  13. Attributs ou numéros de série de l'appareil
  14. Identifiants numériques, tels que les URL de sites Web
  15. Adresses IP
  16. Éléments biométriques, y compris les empreintes digitales, rétiniennes et vocales
  17. Images photographiques de plein visage
  18. Autres numéros ou codes d'identification

Qui doit être conforme à la loi HIPAA ?

Une idée fausse courante est que la loi HIPAA s'applique lorsque des informations sur la santé sont consultées ou divulguées. Alors que HIPAA restreint l'utilisation et la divulgation des PHI, HIPAA ne s'applique qu'aux organisations impliquées dans le traitement, le paiement ou les opérations de soins de santé. Ces organisations sont appelées "entités couvertes" et "associés commerciaux".

Les organisations susceptibles d'accéder aux PHI ou ePHI doivent être conformes à la loi HIPAA.

Entités couvertes

Les entités couvertes comprennent les prestataires de soins de santé, les compagnies d'assurance et les chambres de compensation. Les médecins, les dentistes, les professionnels de la santé mentale, les chiropraticiens et les prestataires d'assurance maladie sont tous des entités couvertes.

Associés d'affaires

Les associés commerciaux sont des fournisseurs sous contrat avec une entité couverte qui peuvent avoir accès aux RPS. Les plates-formes de dossiers de santé électroniques (DSE), les fournisseurs de services de messagerie électronique, les planificateurs de rendez-vous en ligne et les fournisseurs de services gérés sont des exemples courants d'associés commerciaux.

Comment être conforme HIPAA

La conformité HIPAA implique plusieurs étapes. C'est plutôt un succès ou un échec. Vous êtes conforme ou vous ne l'êtes pas. Vous devez répondre aux exigences de chaque étape pour être conforme à la loi HIPAA et remplir certaines de ces exigences chaque année.

conformité hipaa

Source : Groupe de conformité

Effectuer des évaluations des risques de sécurité, identifier les lacunes et intégrer des plans de remédiation

Les évaluations des risques de sécurité (SRA) sont essentielles pour répondre à vos exigences HIPAA. Pour être conforme à la loi HIPAA, vous devez effectuer chaque année une évaluation des risques de sécurité HIPAA. En effet, les SRA mesurent vos protections actuelles par rapport aux normes HIPAA. Un écart se produit lorsque votre travail actuel n'est pas suffisant pour répondre aux normes HIPAA.

Les « lacunes » sont des lacunes qui peuvent entraîner des infractions et des violations de la loi HIPAA. C'est là que les plans d'assainissement entrent en jeu. Les plans de remédiation créent des étapes concrètes pour combler les écarts de conformité. Pour être efficaces, les plans de remédiation doivent être spécifiques, y compris ce qui sera fait pour combler l'écart, qui est responsable de la remédiation et un calendrier de remédiation.

Mettre en œuvre les politiques et procédures

Les politiques et procédures doivent être conçues en tenant compte des trois règles HIPAA. Les politiques et procédures doivent s'adapter au type et à la taille d'une organisation et être revues et mises à jour annuellement pour être efficaces.

Les politiques et procédures décrivent :

  • Les utilisations et divulgations appropriées des RPS par votre organisation et vos employés
  • Comment votre organisation sécurise les PHI
  • Que faire en cas de violation ou de suspicion de violation

Dans le passé, les organisations utilisaient les manuels HIPAA pour leurs politiques et procédures. Cependant, comme les manuels HIPAA sont prêts à l'emploi, ils ne tiennent pas compte des nuances du fonctionnement de votre organisation.

Les politiques et procédures appropriées pour un petit cabinet médical peuvent ne pas être efficaces pour un grand groupe hospitalier, tout comme les politiques et procédures rédigées pour une entité couverte peuvent ne pas s'appliquer à un associé commercial.

Organiser une formation HIPAA pour les employés

Les employés ayant un accès potentiel aux RPS ou aux ePHI doivent être formés chaque année. La formation doit inclure les meilleures pratiques HIPAA, un aperçu des politiques et procédures de votre organisation et les meilleures pratiques en matière de cybersécurité.

HIPAA conseille que les employés doivent être formés lorsqu'ils sont embauchés, donc la tenue d'un cours de formation une fois par an ne suffit pas. Un programme de formation des employés HIPAA flexible est essentiel pour répondre aux besoins de formation.

L'utilisation d'un outil de formation en ligne est le meilleur moyen d'y parvenir. Avec un programme de formation en ligne, les employés peuvent se voir attribuer une formation en cas de besoin, suivre leur formation à leur propre rythme et les administrateurs peuvent suivre les progrès des employés.

Conseil : L'utilisation d'un programme de formation HIPAA autonome peut vous aider à répondre à certaines exigences de formation HIPAA, mais assurez-vous que les employés sont également formés aux politiques et procédures de votre organisation.

Signer des accords de partenariat commercial

Les accords de partenariat commercial HIPAA (HIPAA BAA) sont des contrats légaux qui doivent être signés entre une entité couverte et son partenaire commercial (ou entre deux partenaires commerciaux). Les BAA HIPAA doivent être signés avant d'échanger des PHI ou des ePHI. Tous les fournisseurs ne sont pas disposés ou capables d'agir en tant qu'associés commerciaux ; si le fournisseur ne signe pas de BAA, il ne peut remplir aucune obligation d'associé commercial.

Supposons que vous recherchiez un planificateur de rendez-vous en ligne permettant aux patients de prendre leurs propres rendez-vous. Vous trouvez un fournisseur qui répond à vos besoins administratifs, mais il ne souhaite pas signer de contrat d'affiliation. Vous ne pouvez pas contracter avec ce fournisseur pour la planification des patients tant qu'il n'a pas signé un BAA.

Gestion des incidents et réponse

Une partie de la conformité HIPAA consiste à mettre en œuvre un plan de réponse aux incidents testé. Vous pouvez identifier, répondre et signaler rapidement les incidents grâce à un plan de réponse aux incidents. Les organisations disposant d'un plan de réponse aux incidents testé réduisent considérablement le temps nécessaire pour se remettre d'un incident tout en réduisant ses coûts.

Infractions et amendes HIPAA

Bien que de nombreuses violations entraînent des violations de la loi HIPAA, la violation elle-même n'est jamais la raison pour laquelle une entreprise se voit infliger une amende. Les violations HIPAA se produisent lorsqu'une organisation ne respecte pas les normes HIPAA. Des amendes HIPAA peuvent être imposées en fonction de la gravité de la violation.

violations de la loi hipaa

Source : Groupe de conformité

Des exemples courants de violations de la loi HIPAA incluent le défaut de :

  • Effectuer une évaluation précise et approfondie des risques
  • Fournir aux patients un accès rapide à leur dossier médical
  • Répondre correctement aux avis des patients en ligne
  • Avoir un accord d'associé signé avec un associé
  • Éliminer correctement les dossiers médicaux des patients

Alors, quand une organisation serait-elle condamnée à une amende pour une infraction ?

Les amendes HIPAA sont émises en fonction du niveau de négligence perçue.

  • Le niveau 1 concerne les infractions les moins graves. Des pénalités de niveau 1 sont imposées lorsqu'une violation de la loi HIPAA se produit parce qu'une entité couverte ou un associé commercial n'était pas au courant de la règle qu'elle a enfreinte. Pour être considérée comme une pénalité de niveau 1, la violation doit également être une violation qui n'aurait pas pu être évitée si une organisation avait fait preuve de diligence raisonnable pour se conformer à la loi HIPAA. Les amendes à ce niveau vont de 120 $ à 60 226 $ par infraction.
  • Les violations de niveau 2 se produisent lorsqu'une entité couverte ou un associé commercial est conscient de la violation commise. Pour être qualifiée de violation de niveau 2, la violation en est une qui aurait pu être évitée même avec un degré de soin raisonnable. Les amendes à ce niveau vont de 12 045 $ à 60 226 $ par infraction.
  • Les violations de niveau 3 sont considérées comme plus graves que les niveaux 1 ou 2 et sont passibles d'amendes plus coûteuses. Les violations de niveau 3 découlent d'une négligence délibérée de la loi HIPAA. Pour être considérée comme un contrevenant de niveau 3, l'organisation doit savoir qu'elle a enfreint la loi HIPAA tout en faisant preuve de diligence raisonnable. Ces violations doivent être corrigées dans les 30 jours pour être qualifiées de violations de niveau 3. Les amendes à ce niveau vont de 1 205 $ à 12 045 $ par infraction.
  • Les violations de niveau 4 impliquent une négligence délibérée des règles HIPAA. L'OCR impose des pénalités de niveau 4 lorsque l'entité ou l'associé couvert n'a pas tenté de remédier à la violation. Les amendes à ce niveau vont de 60 226 $ à 1 806 757 $ par infraction.

Les organisations qui enfreignent la loi HIPAA sont souvent soumises à une surveillance OCR et à des mesures correctives. Des plans d'action correctifs sont élaborés par l'OCR à la fin des enquêtes sur les violations de la loi HIPAA lorsque les organisations identifient des lacunes. Ils sont conçus pour prévenir d'autres violations et incidents en alignant le programme de conformité de l'organisation sur les normes HIPAA.

Restez conforme ; rester en sécurité

La loi sur la portabilité et la responsabilité de l'assurance maladie devrait être une priorité absolue pour toute organisation impliquée dans les soins de santé (entité couverte ou associé commercial). En termes simples, pour travailler dans le domaine de la santé, vous devez être conforme à la loi HIPAA.

Sans HIPAA, les données des patients sont vulnérables à l'utilisation et à la divulgation non autorisées. Lorsqu'une violation se produit, non seulement les patients perdent confiance dans la capacité d'une organisation à protéger leurs informations confidentielles, mais cela peut également entraîner des violations de la loi HIPAA et des amendes coûteuses.

En mettant en œuvre un programme de conformité HIPAA efficace qui répond à toutes les normes HIPAA, vous améliorez votre posture de sécurité globale et réduisez la probabilité d'infractions et de violations.

Les patients sont désormais plus conscients de la loi HIPAA et de leurs droits. La conformité HIPAA leur donne la tranquillité d'esprit qu'ils peuvent vous faire confiance avec leurs informations sensibles.

La gestion de la confidentialité ne se limite pas à l'obtention d'un seul type de conformité. Sachez tout sur la gestion de la confidentialité des données et la sécurité de votre organisation.