Qu’est-ce que l’HIPAA ? Or is it HIPPA?
Si vous êtes lié de près ou de loin au secteur des soins de santé, il y a de fortes chances que vous ayez entendu parler de quelque chose appelé HIPAA (parfois appelé à tort HIPPA).
Mais à part le fait qu’il s’agit d’une considération essentielle pour les fournisseurs de soins de santé, qu’est-ce que l’HIPAA ?
Que signifie HIPAA ?
Cet acronyme déroutant, HIPAA, désigne la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie, qui est une législation américaine fixant des dispositions en matière de confidentialité et de sécurité des données pour la sauvegarde des informations médicales, telles que les dossiers médicaux et autres informations de santé identifiables.
La loi contient cinq sections, appelées titres :
- Le titre I protège la couverture d’assurance maladie des personnes qui perdent ou changent d’emploi et empêche également les plans de santé de groupe de refuser ou de limiter certaines couvertures.
- Le titre II donne au ministère américain de la Santé et des Services sociaux le pouvoir d’établir des normes nationales pour l’industrie des soins de santé lors du traitement des transactions électroniques. Il exige également que les organisations de soins de santé sécurisent l’accès électronique aux données de santé pour rester en conformité.
- Le titre III comprend des dispositions liées à la fiscalité et des directives pour les soins médicaux.
- Le titre IV définit plus en détail la réforme de l’assurance maladie, y compris les dispositions pour les personnes ayant des conditions préexistantes et celles qui cherchent une couverture continue.
- Le titre V comprend des dispositions sur l’assurance-vie détenue par l’entreprise et le traitement de ceux qui perdent leur citoyenneté américaine à des fins d’impôt sur le revenu.
La plupart des reportages sur les violations de l’HIPAA font référence au titre II de l’HIPAA, en particulier les sections qui contiennent les exigences de conformité à l’HIPAA et de sécurisation des données de santé des patients :
- Règle de confidentialité de l’HIPAA. La règle de confidentialité couvre l’utilisation et la divulgation des informations de santé protégées (PHI) et les normes qui doivent être maintenues pour que les individus comprennent et contrôlent comment leurs informations de santé individuellement identifiables sont utilisées par une organisation.
- Règle de sécurité HIPAA. La règle de sécurité définit les normes de sécurité qui doivent être mises en place pour protéger les informations de santé protégées électroniques (ePHI), qui sont des informations ou des dossiers de santé détenus ou transférés sous forme électronique. Il s’agit notamment de définir les garanties techniques, les garanties physiques et les garanties administratives.
- Règle d’application de l’HIPAA. La règle d’application définit la manière dont l’HIPAA sera appliquée et ce qui se passera si une non-conformité est découverte.
Toutefois, une pièce sous-estimée du titre II de l’HIPAA est les dispositions supplémentaires ajoutées en 2010 à partir de la loi sur les soins abordables (ACA) qui couvrait les transactions HIPAA.
Connue sous le nom de simplification administrative de l’HIPAA, l’objectif était de simplifier le côté commercial des soins de santé. C’est un élément clé pour aider à l’interopérabilité et faire en sorte que les organisations de toutes tailles au sein du système de soins de santé puissent travailler à partir des mêmes normes.
LIRE LA SUITE : Guide complet de la conformité HIPAA pour les professionnels occupés
SUPPRIMER : Que signifie une transaction HIPAA pour moi ?
À qui s’applique l’HIPAA ?
La réglementation HIPAA s’applique aux entités couvertes et à leurs associés commerciaux. Une entité couverte est définie comme suit :
- Un prestataire de soins de santé tel que les médecins, les cliniques ou les pharmacies
- Un plan de santé tel que les compagnies d’assurance maladie, les HMO et les plans de santé d’entreprise
- Un centre d’échange de soins de santé qui traite les informations de santé non standard qu’il reçoit d’une autre entité pour en faire un standard
Les associés commerciaux, tels que les partenaires, sont des tiers qu’une entité couverte peut désigner pour exécuter certaines fonctions ou activités impliquant l’utilisation de PHI en son nom. Voici quelques exemples :
- Un administrateur tiers qui aide un assureur maladie à traiter les demandes de remboursement
- Un avocat dont les services impliquent l’accès à des RPS
- Un fournisseur de cryptage de courriels comme Paubox
Dans chaque cas, il est important de faire signer un accord d’association commerciale (BAA) pour s’assurer que le tiers prend les bonnes mesures pour répondre aux exigences de la conformité HIPAA.
La loi HITECH et la règle omnibus
En 2009, la loi HITECH (Health Information Technology for Economic and Clinical Health) a été promulguée pour promouvoir l’adoption et l’utilisation significative de la technologie dans les soins de santé.
Les incitations, les exigences et les réglementations connexes ont eu un impact considérable, et les soins de santé essaient toujours de suivre le rythme. Construit dans la loi HITECH sont des stipulations que les technologies ne violent pas les règles HIPAA.
La règle HIPAA Omnibus a été mise en place par le HHS en 2013 pour modifier HIPAA conformément aux directives établies par la loi HITECH concernant les responsabilités des associés commerciaux des entités couvertes. Elle a également augmenté les pénalités pour les violations de la conformité HIPAA à un maximum de 1,5 million de dollars par incident.
Vérifiez que votre messagerie est conforme à la loi HIPAA. Vous ne savez pas comment faire ?
Nous avons élaboré ce guide rapide gratuit sur les courriels conformes à la HIPAA.
DOWNLOAD NOW
Éviter les violations de la HIPAA
Les violations de la HIPAA peuvent s’avérer assez coûteuses pour les organisations de soins de santé.
Au plus simple, une violation de l’HIPAA se produit lorsqu’une entité couverte ne maintient pas les garanties appropriées pour empêcher l’utilisation ou la divulgation intentionnelle ou involontaire de PHI, conformément aux directives de la règle de confidentialité de l’HIPAA.
Les coûts peuvent inclure les entités couvertes et tout associé commercial affecté notifiant les patients suite à une violation de données. Aux coûts de notification, s’ajoutent les amendes prélevées par l’Office for Civil Rights (OCR) après l’examen des violations de l’HIPAA.
Les amendes pour violation de l’HIPAA elles-mêmes peuvent atteindre 1,5 million de dollars et inclure des peines d’emprisonnement s’il y a des accusations criminelles liées aux violations.
Pour éviter les violations, il faut planifier. Les entités couvertes et les associés commerciaux peuvent atténuer les risques en s’assurant que le personnel suit des programmes de formation à la conformité HIPAA. Des consultants peuvent également intervenir pour s’assurer que les bons processus sont en place afin d’éviter et de traiter toute violation.
LIRE LA SUITE : Le guide complet des violations de l’HIPAA
Conclusion
Bien qu’il n’existe pas de sceau d’approbation ou de programme de certification officiel pour la conformité à l’HIPAA, il y a beaucoup d’entreprises qui offrent des titres de compétences qui montrent qu’une organisation a pris les bonnes mesures pour répondre aux exigences de l’HIPAA.
Alors que la technologie continue de faire partie des soins de santé, il y aura toujours de nouveaux endroits potentiels pour qu’une brèche se produise. Mais en gardant à l’esprit les règles HIPAA, toutes les organisations peuvent être sûres de faire de leur mieux pour protéger les PHI.
.