Avis de pratiques de confidentialité (NPP) – Le lien de la plupart des gens avec l’HIPAA
Lorsque vous mentionnez l’HIPAA, la plupart des gens font référence à l’avis de pratiques de confidentialité (NPP) qu’ils ont reçu à l’hôpital, chez le médecin, le dentiste ou l’ophtalmologue.
Le NPP est un document qui indique à vos patients, employés ou clients comment leurs informations de santé peuvent être utilisées et partagées et qui énumère leurs droits en matière de confidentialité de la santé liés aux informations de santé protégées (PHI). Il fait partie de la règle de confidentialité de l’HIPAA et constitue une exigence clé pour votre organisation. Cette semaine, nous allons passer en revue les exigences relatives à un NPP.
Votre organisation est-elle tenue de créer et de distribuer un NPP ?
Vous avez déjà reçu un avis de pratiques de confidentialité (NPP) lorsque vous allez chez le médecin. Vous en avez reçu un, mais votre organisation est-elle tenue de créer et de distribuer un NPP pour d’autres personnes ?
Depuis le 14 avril 2003, les prestataires médicaux et dentaires ont la responsabilité de fournir aux patients une copie d’un avis de pratiques de confidentialité (NPP).
En tant qu’agence d’assurance maladie, associé commercial ou groupe d’employeurs qui fournit un plan de santé collectif, l’HIPAA vous oblige à créer et à distribuer un avis de pratiques de confidentialité à partir de 2004.
Ce que vous fournissez exactement à vos clients dans un NPP est très spécifique et la façon dont vous le distribuez dépend de votre secteur d’activité. Quelle que soit votre taille ou votre spécialité, vous devez fournir à vos patients, employés ou clients un avis de pratiques de confidentialité (NPP) et il doit être disponible sur demande à tout moment.
Création de l’avis de pratiques de confidentialité (NPP)
La façon la plus simple de créer un avis de pratiques de confidentialité (NPP) est d’utiliser un modèle ; cela peut garantir que vous incluez le langage et les informations que la loi HIPAA exige.
Votre avis de pratiques de confidentialité (NPP) sera différent en fonction de votre secteur d’activité. Vous trouverez beaucoup de sources différentes pour les modèles, mais attention : tous ne sont pas créés égaux. Vous devrez vous assurer que le modèle provient d’une source réputée et qu’il contient les informations requises. Par exemple, les fournisseurs de soins de santé ou les responsables d’un plan de santé peuvent se référer au site Web du HHS pour un modèle d’avis NPP.1
Total HIPAA a créé un avis de pratiques de confidentialité (NPP) pour refléter les exigences distinctes des cinq marchés que nous desservons.
Pour les transporteurs et les agences d’assurance, votre NPP doit comporter un langage faisant référence à la loi de modernisation financière Gramm-Leach-Bliley (alias loi GLB), ainsi qu’à la loi HITECH.
Bien que vous soyez libre de développer vos propres formats de NPP qui incluent le texte et les informations requises, Total HIPAA fournit des modèles de NPP qui incluent toutes les composantes fédérales requises, ainsi que les lois des États ou autres qui peuvent exiger des limites plus importantes sur les divulgations.
En outre, nos NPP ont été testés auprès de consommateurs pour leur facilité de compréhension et l’attrait de leur conception.
Quoi qu’il en soit, votre NPP doit contenir un langage convivial et des informations spécifiques :
- Pour toutes les exigences relatives aux NPP, reportez-vous aux règlements HIPAA dans 45 CFR 164.520(b).
- En-tête : Tous les NPP doivent comporter l’en-tête suivant : » Cet avis décrit comment les informations médicales vous concernant peuvent être utilisées et divulguées et comment vous pouvez avoir accès à ces informations. Veuillez l’examiner attentivement. »
- Déclaration(s) d’utilisation, divulgations :
- Décrire les types d’utilisations ou de divulgations de RPS qui sont autorisées sans l’autorisation de la personne.
- Décrire les types d’utilisations ou de divulgations qui nécessitent une autorisation ou que la personne peut choisir de refuser :
- Notes de psychothérapie
- Utilisation des RPS à des fins de marketing
- La vente des RPS
- Autres utilisations et divulgations qui ne sont pas décrites dans le PPN ne peuvent être faites qu’avec l’autorisation de la personne.
- Les personnes qu’elles peuvent refuser les communications relatives aux collectes de fonds.
- (Fournisseur seulement) Le NPP doit indiquer que les personnes ont la possibilité de restreindre certaines divulgations de RPS à un régime de santé lorsque la personne paie entièrement de sa poche l’article ou le service de soins de santé.
- Droits individuels : Les droits individuels spécifiques prévus par la règle de confidentialité doivent être décrits. Ces droits comprennent le droit de demander des restrictions sur les utilisations ou les divulgations des RPS, le droit d’inspecter, de copier et de modifier les RPS.
- Responsabilités de l’entité couverte : Le PPN doit préciser les devoirs de l’entité couverte, qui comprennent l’obligation, en vertu de la loi, de maintenir la confidentialité des RPS des personnes.
- Préoccupations supplémentaires :
- La date d’entrée en vigueur du NPP doit faire partie de l’avis. La date ne peut pas être antérieure à la date de publication, soit le 14 avril 2003, ou 2004 pour les petits plans de santé.Le nom ou le titre et le numéro de téléphone d’une personne du plan de santé ou du fournisseur à qui les questions peuvent être adressées doivent être inclus.
- Les informations sur la façon de déposer une plainte auprès de l’organisation doivent être fournies. Bien que le NPP doive également informer les personnes que les plaintes peuvent être déposées auprès du HHS, il n’a pas besoin de détailler la façon de le faire.
- La règle finale sur la protection de la vie privée exige que le NPP inclue une déclaration informant les personnes du droit d’être notifiées à la suite d’une violation des RPS non sécurisées.
Distribution de l’avis des pratiques de confidentialité (NPP)
Lorsque vous distribuez votre NPP, il existe des exigences générales que chaque industrie devrait connaître :
- Toute personne qui demande une copie doit en recevoir une.
- Les entités couvertes doivent afficher de façon bien visible son NPP dans le lieu physique.
- Afficher sur leurs sites Web si le site fournit des informations sur les services aux clients ou les avantages.
Référer aux points ci-dessous pour les exigences spécifiques à l’industrie concernant la distribution du NPP:
Prestataires médicaux et dentaires:
- En avoir un affiché quelque part en évidence dans le cabinet, sur votre site Web (si le cabinet en a un), et documenté que chaque patient en a reçu un.
Agences d’assurance:
- Si l’agence fournit un plan de santé collectif au sein de l’organisation, un doit aller à chaque employé.
- L’agence doit distribuer aux individus (un seul exemplaire par famille quel que soit le nombre de personnes dans la couverture familiale) et s’il s’agit d’un régime collectif, l’agence doit fournir un exemplaire à l’entreprise (en tant que client) et l’entreprise est responsable de la distribution à chaque employé.
Groupes d’employeurs:
- Distribuer le PPN aux employés qui font partie du régime collectif de santé offert.
Associés d’affaires:
- Si l’associé d’affaires fournit un plan de santé de groupe, une copie doit aller à chaque employé.
Accusé de NPP
La loiHIPAA exige que les médecins, les hôpitaux ou les autres fournisseurs de soins de santé conservent des dossiers indiquant que les clients ou les employés ont reçu la notification. Vous pouvez le faire en obtenant une signature reconnaissant que la personne a reçu le NPP ou en conservant un journal daté de la distribution du NPP.
- Une signature ne signifie pas que le client/employé a accepté des utilisations ou des divulgations spéciales (partage) de dossiers médicaux.
- Le refus de signer une reconnaissance n’empêche pas un prestataire ou un plan d’utiliser ou de divulguer des informations de santé comme le permet l’HIPAA.
- Si votre client ou patient refuse de signer une reconnaissance, le prestataire doit conserver un enregistrement de ce fait.
- Demandez à la personne d’examiner et de signer une autorisation de recevoir le NPP par voie électronique lorsqu’on lui remet le NPP pour de futures notifications.
En tant que prestataire de soins de santé, vous pouvez demander à un patient qui reçoit un NPP pour la première fois de signer qu’il a reçu un NPP, puis de numériser le document signé dans son dossier personnel.
Mise à jour et maintenance du NPP
Vous devez mettre à jour votre NPP au moins une fois tous les trois ans. Plus précisément :
- Les patients d’un prestataire de soins de santé doivent se voir rappeler l’existence du NPP et être informés de la manière dont ils peuvent en obtenir une copie s’ils le souhaitent.
- Les compagnies d’assurance et les agences doivent envoyer un NPP chaque année tant que dure la relation avec le client.
.