Quelles sont les exigences de conformité HIPAA? [Checklist complete]
Les sanctions HIPAA sont brutales, mais respecter les exigences de conformité HIPAA vous aidera à les éviter. Voici une liste complète étape par étape pour la conformité HIPAA.
Les exigences de conformité HIPAA comprennent les éléments suivants:
- Vie privée: les droits des patients à des informations de santé protégées (PHI)
- Sécurité: mesures de sécurité physiques, techniques et administratives
- Application: enquêtes sur une violation
- Notification de violation: étapes requises en cas de violation
- Omnibus: associés commerciaux conformes
Qu’est-ce que la conformité HIPAA?
HIPAA est un cadre développé en 1996 pour définir les obligations légales d’une organisation à l’égard de réglementations spécifiques dans la loi sur la portabilité et la responsabilité de l’assurance maladie. Ces réglementations fixent des normes pour des aspects critiques de la gestion des données de santé, notamment le droit des patients à la confidentialité et la nécessité de disposer de contrôles de sécurité appropriés pour protéger les données de santé.
Données privées, et les exigences que les organisations de santé ont si ces données ont été compromises par un tiers malveillant. Un élément important de ce cadre est la notion de protection des données. La sécurité physique des données, les normes de chiffrement utilisées pour protéger ces données, et les procédures utilisées pour documenter, transmettre et stocker les données sont tous des éléments critiques de la HIPAA et de ses exigences sous-jacentes. Géré par le Département de la Santé et des Services Humains et le Bureau des Droits Civiques, des réglementations existent pour garantir la confidentialité des informations privées des patients dans un monde de conservation des dossiers électroniques, de transfert de données numériques et (plus récemment) de services cloud.
Qui est tenu de respecter les exigences de la HIPAA?
Les organisations doivent se conformer à la HIPAA pour garantir que les données sensibles sur la santé des patients sont sécurisées et ne sont pas divulguées à des personnes ou entités non autorisées. La HIPAA fournit également des mesures de sécurité qui garantissent que les données sont utilisées uniquement à des fins prévues et ne sont pas utilisées ou divulguées à d’autres fins.
Les types d’entreprises qui doivent se conformer à la HIPAA sont:
- Compagnies d’assurance maladie
- Centres de compensation de soins de santé
- Prestataires de soins de santé (hôpitaux, médecins, dentistes, etc.)
- Associés commerciaux des entités couvertes (comme les sociétés de facturation et les sociétés de stockage de documents)
- Pharmacies
- Établissements de soins de longue durée
- Institutions de recherche
- Autorités de santé publique
- Employeurs
- Écoles et universités
L’importance de la conformité à la HIPAA
La conformité à la HIPAA est nécessaire pour garantir la sécurité des informations confidentielles relatives aux soins de santé. Il s’agit d’une loi fédérale qui exige des organisations, telles que les prestataires de soins de santé, qu’elles préservent la confidentialité et la sécurité des données de leurs patients. La conformité à ces normes est nécessaire pour la protection des données sensibles, telles que les dossiers médicaux des patients, les informations sur l’assurance maladie et autres informations personnellement identifiables (PII) et informations de santé protégées (PHI).
Si les entreprises ne sont pas conformes à la HIPAA, elles peuvent faire face à de sérieuses sanctions. Le Bureau des droits civils du Département américain de la santé et des services sociaux peut imposer des sanctions, notamment des amendes et des pénalités, des plans d’action correctifs et des amendes pécuniaires. De plus, les entreprises peuvent être passibles de poursuites pénales. Des exemples d’amendes pour violation de la conformité à la HIPAA comprennent :
- Jusqu’à 1,5 million de dollars pour une violation unique et jusqu’à 15 millions de dollars pour plusieurs violations au cours d’une année civile
- Jusqu’à 50 000 dollars par violation pour l’utilisation abusive intentionnelle des informations des patients
- Jusqu’à 100 dollars par violation pour défaut de fournir à un patient une demande d’accès
- Jusqu’à 250 000 dollars ou jusqu’à 1 an de prison ou les deux pour l’obtention ou la divulgation d’informations de santé identifiables sans autorisation
Pourquoi ces sanctions sont-elles si élevées ? Si les dossiers d’un patient sont volés, la vie privée du patient peut être violée. Les dossiers volés peuvent être utilisés pour commettre une usurpation d’identité ou une fraude financière, entraînant des pertes financières ou l’utilisation non autorisée d’avantages. Les informations médicales sensibles interceptées peuvent également être utilisées pour faire chanter le patient ou le harceler.
Qui doit être conforme à la HIPAA?
La conformité à la HIPAA s’applique à toute organisation ou individu qui crée, reçoit, maintient ou transmet des informations de santé protégées électroniquement (ePHI). Cela inclut les fournisseurs de soins de santé tels que les médecins et les hôpitaux, les régimes de santé, les compagnies d’assurance maladie et toute autre organisation qui travaille dans l’industrie de la santé. Cela s’applique également aux partenaires commerciaux, tels que les sociétés de facturation tierces, les transcripteurs et les fournisseurs de services informatiques. En fin de compte, toute entité qui stocke, transmet ou traite des informations ePHI doit se conformer aux réglementations de la HIPAA. Cette longue chaîne d’approvisionnement en soins de santé La conformité à la HIPAA peut créer un risqué significatif.
Les organisations qui ne créent pas, ne reçoivent pas, ne conservent pas ou ne transmettent pas de données de santé électroniques (ePHI) n’ont pas besoin d’être conformes à la HIPAA. Cela inclut les détaillants et les restaurants. Cependant, même les organisations qui ne sont pas directement impliquées dans les soins de santé peuvent être soumises aux exigences de la HIPAA, par exemple si elles fournissent des services tels que le stockage en nuage pour des informations liées aux soins de santé.
Quelques termes réglementaires et de conformité importants de la HIPAA
Pour comprendre ce qu’est la conformité et à qui elle s’applique, il est important de connaître quelques termes clés :
Entité couverte
Il s’agit des hôpitaux, des médecins, des cliniques, des agences d’assurance ou de toute personne qui travaille régulièrement avec des patients et leurs données privées.
Associé commercial
Les prestataires de services qui travaillent en étroite collaboration avec les Entités Couvertes sans travailler directement avec les patients. Les associés commerciaux manipulent souvent des données privées en raison de leurs produits technologiques, de leur consultation, de leur administration financière, de leur analyse de données ou d’autres services.
Informations personnelles de santé électroniques (ePHI)
ePHI est le nom légal des données privées des patients stockées et transmises par des moyens électroniques. Toutes les règles de confidentialité, de sécurité et de signalement se réfèrent à la protection et à la gestion de l’ePHI.
Quelles sont les 4 principales règles de l’HIPAA et comment impactent-elles la conformité?
Quatre règles principales définissent la structure et le sens de tout ce qui concerne les exigences en matière de conformité :
- La règle sur la confidentialité
- La règle sur la sécurité
- La règle sur la notification des violations
- La règle omnibus
Chaque règle fournit un cadre pour un aspect de la conformité et informe des aspects critiques des autres règles.
La règle de confidentialité HIPAA
La règle de confidentialité HIPAA établit la norme nationale pour les droits à la confidentialité et aux informations privées des patients. De plus, elle met en place le cadre qui dicte ce qu’est l’ePHI, comment il doit être protégé, comment il peut et ne peut pas être utilisé, et comment il peut être transmis et stocké. Une partie supplémentaire de la règle de confidentialité concerne les formalités administratives et les dérogations requises pour les entités traitant l’ePHI. Dans cette règle, l’ePHI est défini comme toutes les données identifiables des patients soumises à la confidentialité par l’entité couverte ou toute entreprise associée. C’est ce qu’on appelle les “informations de santé protégées” et cela inclut:
- Toute documentation passée, présente ou future sur des conditions physiques ou mentales
- Toute information concernant les soins du patient
- Et les informations faisant référence aux paiements passés, présents ou futurs pour les soins de santé
La règle stipule que les seuls scénarios dans lesquels les entités couvertes peuvent divulguer des informations de santé privées impliquent des situations très spécifiques de soins, de recherche ou juridiques. Ces situations sont elles-mêmes extrêmement limitées et sujettes à interprétation devant un tribunal.
La meilleure règle à suivre est que lorsqu’il s’agit de la confidentialité des ePHI, l’entité couverte et ses associés commerciaux ont l’obligation de la protéger.
Liste de vérification de la règle sur la confidentialité de la HIPAA
Cette liste de vérification de la règle sur la confidentialité de la HIPAA comprend 10 étapes essentielles que les organisations de santé et leurs partenaires commerciaux doivent suivre pour garantir la conformité à la règle sur la confidentialité de la HIPAA. De la désignation d’un responsable de la confidentialité à l’établissement de protocoles de divulgation des informations de santé protégées (PHI) à des tiers, cette liste de vérification couvre tous les aspects nécessaires pour protéger les informations de santé sensibles des patients. Le respect de ces lignes directrices permettra non seulement aux organisations d’éviter les violations de la HIPAA (et les amendes, les pénalités et les litiges subséquents), mais aussi de renforcer la confiance des patients dans le système de santé. Elles comprennent :
- Désigner un responsable de la confidentialité
- Élaborer et mettre en œuvre des politiques et des procédures écrites
- Fournir une formation aux membres du personnel
- Obtenir le consentement du patient pour certaines divulgations
- Maintenir des garanties appropriées pour les informations de santé protégées (PHI)
- Mettre en place un système pour examiner et vérifier les demandes de PHI
- Répondre aux demandes des patients d’accéder aux PHI
- Informer les patients en cas de violation de PHI non sécurisées
- Attribuer des identifiants uniques aux individus et aux groupes
- Établir des protocoles pour divulguer des PHI à des associés commerciaux et à d’autres tiers
La règle de sécurité HIPAA
Avec la définition de la confidentialité et de l’ePHI en place, la prochaine étape consiste à protéger ces données. La règle de sécurité HIPAALa règle de sécurité de la HIPAA a établi les normes nationales pour les mécanismes nécessaires à la protection des données ePHI. Ces mécanismes s’étendent sur l’ensemble du fonctionnement de l’entité couverte, y compris la technologie, l’administration, les mesures de sécurité physique pour les ordinateurs et les appareils, et tout ce qui pourrait avoir un impact sur la sécurité des ePHI.
Les contrôles décrits dans cette règle sont organisés en trois groupes de mesures de sauvegarde :
1. Tâches administratives pour la conformité HIPAA
Cela comprend les politiques et procédures qui ont un impact sur les ePHI, ainsi que les technologies, la conception du système, la gestion des risques et la maintenance liées à toutes les autres mesures de sécurité. Cela comprend également des aspects de l’administration des soins de santé tels que les ressources humaines et la formation des employés.
2. Mesures physiques pour la conformité HIPAA
Les mesures de sécurité physique protègent l’accès aux équipements physiques, y compris les ordinateurs, les routeurs, les commutateurs et les données Stockage. Les entités couvertes sont tenues de maintenir des locaux sécurisés où seuls les individus autorisés peuvent accéder aux données.
3. Technique pour la conformité HIPAA
La cybersécurité comprend les ordinateurs, les appareils mobiles, le chiffrement, la sécurité du réseau, la sécurité des appareils et tout ce qui concerne la technologie réelle de stockage et de communication des données de santé électroniques protégées (ePHI).
Checklist de la règle de sécurité HIPAA
La checklist de la règle de sécurité HIPAA couvre 10 domaines clés que les organisations doivent aborder pour protéger les informations de santé électroniques protégées (ePHI). De la réalisation d’évaluations des risques à l’établissement de plans de continuité en cas d’urgence, cette checklist complète est conçue pour aider les organisations à assurer la conformité aux normes de sécurité HIPAA et à protéger les données sensibles des patients contre les menaces et les vulnérabilités potentielles.
- Réaliser une analyse des risques pour identifier les menaces et vulnérabilités potentielles
- Mettre en place des politiques et des procédures pour maintenir et surveiller la sécurité des informations de santé protégées électroniquement (ePHI)
- Restreindre l’accès à l’ePHI uniquement aux personnes autorisées qui ont besoin d’y accéder pour exercer leurs fonctions professionnelles
- S’assurer que toutes les ePHI sont cryptées et stockées de manière sécurisée
- Mettre en place des procédures pour répondre aux incidents de sécurité et aux violations
- Former tous les membres du personnel sur les politiques et procédures de sécurité HIPAA
- Revoir et mettre à jour régulièrement les mesures de sécurité pour qu’elles soient à jour et efficaces
- Établir un plan de contingence pour les catastrophes ou autres urgences pouvant affecter l’ePHI
- S’assurer que tous les fournisseurs et sous-traitants tiers respectent les exigences de sécurité HIPAA
- Réaliser régulièrement des audits et des évaluations pour garantir la conformité aux normes de sécurité HIPAA
La règle de notification des violations de la HIPAA
La règle de notification des violations de la HIPAA spécifie ce qui se passe lorsqu’une violation de sécurité se produit. Il est presque impossible de protéger les données avec une efficacité de 100%, et les organisations doivent avoir des plans en place pour informer le public et les victimes d’une violation de la HIPAA de ce qui s’est passé et quelles sont les prochaines étapes à suivre. La règle de notification des violations définit une série d’étapes que toute Entité couverte doit prendre lors d’une violation pour rester en conformité, notamment:
- Notifier les individus touchés par une violation. Les entités concernées doivent donner aux victimes un avis formel et écrit de la violation, soit par courrier de première classe, soit par courrier électronique (si applicable).
- Si l’entité concernée n’a pas les coordonnées de plus de 10 personnes lors d’une violation, elle doit fournir un avis alternatif soit par une publication sur le site Web pendant 90 jours, soit par un avis dans les principaux médias imprimés et diffusés.
- L’entité doit fournir l’avis au plus tard 60 jours après la découverte de la violation.
- Si la violation affecte plus de 500 individus dans un État ou une autre juridiction, l’entité doit fournir un avis public important de la violation par le biais des médias locaux.
- L’entité doit également fournir un avis au secrétaire de la Santé dans les 60 jours si la violation affecte plus de 500 personnes. Si moins, alors l’entité peut mettre à jour le secrétaire d’ici la fin de l’année.
- Ces règles de notification s’appliquent à toutes les violations portées à la connaissance de l’Entité couverte par l’un de ses partenaires commerciaux.
La règle Omnibus de la HIPAA
Une règle plus récente, la règle Omnibus étend la portée des réglementations aux organisations extérieures aux Entités couvertes. En bref, la règle Omnibus stipule que les obligations de conformité couvrent les partenaires commerciaux et les sous-traitants. Par conséquent, cela signifie que les Entités couvertes sont responsables de toute violation potentielle commise par leurs partenaires commerciaux et sous-traitants, et doivent mettre à jour leur analyse des écarts, leur évaluation des risques et leurs procédures de conformité en conséquence.
Qu’est-ce que la règle de mise en application de la HIPAA ?
La règle de mise en application de la HIPAA est un ensemble de réglementations qui fournissent des lignes directrices pour les enquêtes et les sanctions en cas de violation des règles de confidentialité et de sécurité en vertu de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). La règle est conçue pour s’assurer que les entités couvertes et les associés commerciaux se conforment aux réglementations de la HIPAA et protègent la confidentialité et la sécurité des informations de santé protégées (PHI) des patients. La règle de mise en application établit également des procédures pour répondre aux plaintes et mener des enquêtes sur les violations présumées, y compris l’imposition de sanctions pécuniaires et de plans d’action correctifs.
Les mises à jour les plus récentes de la HIPAA
Les mises à jour les plus récentes de la HIPAA ont été mises en œuvre en 2013 et 2016.
En 2013, la règle omnibus de la HIPAA a été introduite, ce qui a apporté des changements significatifs aux réglementations régissant la manière dont les informations de santé protégées (PHI) sont gérées et protégées. Certains des principaux changements comprenaient:
- Des protections étendues pour les droits des patients, y compris le droit d’accéder à leurs PHI et de recevoir des copies, ainsi que le droit de demander des restrictions sur l’utilisation ou la divulgation de leurs PHI
- Un renforcement de l’application des réglementations de la HIPAA, y compris des amendes accrues en cas de non-conformité et l’obligation pour les partenaires commerciaux (prestataires de services tiers) de se conformer aux réglementations de la HIPAA
- Des définitions actualisées de termes clés tels que “partenaire commercial” et “informations de santé protégées”
En 2016, la règle de confidentialité de la HIPAA a été modifiée pour permettre à certains entités couvertes, telles que les prestataires de soins de santé ou les assureurs, de divulguer les noms des individus identifiés comme ayant une condition de santé mentale au National Instant Criminal Background Check System (NICS). Ce changement a été apporté en réponse à la fusillade de 2012 à l’école élémentaire de Sandy Hook, qui a suscité des préoccupations quant à la capacité des personnes souffrant de problèmes de santé mentale à obtenir des armes à feu. Cependant, la divulgation de ces informations est soumise à certaines limitations et protections, notamment l’obligation pour l’entité couverte d’obtenir un consentement écrit spécifique de la part de l’individu avant de divulguer ses informations, et de fournir certaines informations à l’individu sur les conséquences potentielles d’une telle divulgation.
Conformité à la HIPAA en matière de technologies de l’information
La conformité à la HIPAA et la conformité à la HIPAA en matière de technologies de l’information (IT) varient légèrement.
La conformité à la HIPAA est un ensemble de règles et de réglementations établies par le Département américain de la Santé et des Services sociaux (HHS) pour protéger la confidentialité, la sécurité et l’intégrité des informations sensibles sur la santé des patients. Cela inclut des exigences en matière de sauvegardes administratives, physiques et techniques, telles que la mise en œuvre de politiques, de procédures et de mesures de sécurité.
La conformité à la HIPAA en matière de technologies de l’information, en revanche, concerne les aspects techniques de la règle de sécurité de la HIPAA, en particulier en ce qui concerne la mise en œuvre, la maintenance et la surveillance des mesures de sauvegarde techniques pour les informations de santé protégées électroniquement (ePHI). Cela inclut la mise en œuvre de mesures d’authentification solides et de contrôle d’accès, d’évaluations périodiques des risques de sécurité et de chiffrement et de sécurité des données stockées.
Existe-t-il une liste de vérification spécifique pour la conformité HIPAA en matière de technologies de l’information ?
Certaines organisations informatiques doivent se conformer à la HIPAA car elles traitent des données sensibles et/ou confidentielles protégées par la HIPAA. En tant que telles, les organisations informatiques doivent prendre les mesures nécessaires pour s’assurer que leurs systèmes et procédures sont conformes aux réglementations de la HIPAA.
Les organisations informatiques devraient prendre en compte les éléments de cette liste de vérification pour démontrer leur conformité aux réglementations de la HIPAA en matière de technologies de l’information :
- Avoir un responsable de la confidentialité HIPAA dédié chargé de développer et de mettre en œuvre des mesures de sécurité.
- Identifier et classer toutes les données relevant de la compétence de la HIPAA.
- Former tout le personnel sur les lois et réglementations de la HIPAA.
- Établir et documenter les politiques et les processus administratifs, techniques et physiques en relation avec la HIPAA.
- Équipez tous les ordinateurs et/ou postes de travail avec suffisamment de mesures de sécurité pour protéger contre l’accès non autorisé.
- Stockez en toute sécurité tous les documents contenant des informations de santé protégées et limitez l’accès aux seules personnes autorisées.
- Utilisez un logiciel de cryptage lorsque cela est approprié pour protéger les données au repos.
- Pratiquez une navigation sécurisée sur le web et utilisez un logiciel de sécurité des emails.
- Éliminez correctement les documents et les enregistrements contenant des données de patients ; le déchiquetage ou la combustion sont les méthodes préférées et les plus sécurisées.
- Établissez et maintenez des procédures pour gérer les violations de sécurité et les tentatives d’accès non autorisées.
- Revoyez régulièrement et surveillez les journaux d’accès pour détecter toute tentative d’accès non autorisée potentielle.
- Mettez en place des procédures complètes de journalisation et d’audit des utilisateurs.
- Élaborez et mettez en œuvre des procédures de sauvegarde conformes aux directives HIPAA.
- Élaborez et maintenez un plan de continuité des activités et un système de récupération après sinistre.
Ressources de conformité à la HIPAA
Pour en savoir plus sur la HIPAA et les exigences en matière de conformité à la HIPAA, n’hésitez pas à consulter ces ressources :
- Site web de HHS.gov
- Site web du Journal HIPAA
- Office des droits civils de HHS
- Centres for Medicare & Medicaid Services
- Institut national des normes et de la technologie
- Directives de gestion de la sécurité de HHS
- Règle de sécurité de la HIPAA
- Règle de confidentialité de la HIPAA
- Publications spéciales de l’Institut national des normes et de la technologie (NIST)
- Loi sur la sécurité et la notification des violations de la HITECH
Commencer la conformité à la HIPAA
Si vous débutez dans la conformité à la HIPAA, voici quelques étapes que votre organisation peut entreprendre pour commencer à être conforme à la HIPAA :
- Développer un plan de conformité à la sécurité et à la confidentialité de la HIPAA.
- Développer des politiques et des procédures pour la manipulation et la protection des informations de santé protégées (PHI).
- Mettre en place des mesures de sécurité physiques, administratives et techniques pour protéger les PHI.
- Former le personnel aux meilleures pratiques et protocoles de la HIPAA.
- Faire signer aux employés des accords de reconnaissance de la HIPAA et s’assurer qu’ils comprennent leurs responsabilités et obligations.
- S’assurer que les partenaires commerciaux, les fournisseurs et les sous-traitants ont signé des accords de partenariat commercial (BAA) et sont conformes aux réglementations de la HIPAA.
- Mettre en place des procédures pour examiner régulièrement, auditer et mettre à jour la conformité à la HIPAA.
- Enregistrer et documenter toutes les mesures de sécurité et de confidentialité des PHI.
- Avoir un plan d’intervention en cas de violation ou de perte de données.
- Surveiller régulièrement la sécurité des PHI et s’assurer d’une conformité totale aux réglementations de la HIPAA.
Qu’est-ce que HITECH et en quoi est-il lié à la conformité à la HIPAA?
La loi sur la technologie de l’information en matière de santé à des fins économiques et cliniques (HITECH) a été promulguée en 2009 et définit les exigences en matière de conformité pour toutes les années suivantes. Cette loi a notamment révisé les exigences légales des organisations de soins de santé dans plusieurs secteurs, notamment les soins de santé directs et la sécurité sociale. Avant HITECH, seuls 10 % des hôpitaux utilisaient des dossiers de santé électroniques (DSE).
HITECH a été une partie essentielle de la poussée des hôpitaux à passer à la tenue de dossiers électroniques. En partie, HITECH a encouragé l’adoption de la technologie de gestion numérique des ePHI et la conformité ultérieure aux réglementations HIPAA. Cela inclut des incitations à passer à la technologie numérique. En 2017, en grande partie grâce à HITECH, le taux d’adoption des DSE était de 86% en 2017. HITECH a également transféré une partie de la responsabilité pour la protection des données de santé électroniques (ePHI) aux fournisseurs de soins de santé et aux professionnels de la santé, les obligeant à mettre en place des mesures de sécurité appropriées pour protéger les informations de santé des patients.
- Impermissible uses and disclosures of protected health information (PHI)
- Failure to provide individuals with access to their own PHI
- Failure to notify individuals about breaches of their PHI
- Failure to secure PHI
- Failure to maintain and implement policies and procedures to ensure compliance with HIPAA
- Failure to enter into a business associate agreement with a covered entity
- Failure to provide the required safeguards to protect PHI
- Failure to comply with the HIPAA Security Rule
Consequences of HIPAA Violations
When a HIPAA violation occurs, there can be serious consequences. These consequences can include:
- Civil penalties – Organizations can face fines ranging from 00 to $50,000 per violation, with an annual maximum of .5 million for each type of violation.
- Criminal penalties – In cases of willful neglect, organizations can face criminal charges resulting in fines up to 50,000 and imprisonment up to 10 years.
- Reputational damage – Violations can result in public scrutiny and damage to an organization’s reputation.
- Lawsuits – Individuals affected by a violation can file lawsuits seeking damages for the harm caused.
- Loss of business – Violations can lead to loss of trust and business opportunities.
How to Avoid HIPAA Violations
To avoid HIPAA violations, organizations should:
- Implement comprehensive policies and procedures to protect PHI
- Train employees on HIPAA regulations and best practices
- Conduct regular risk assessments to identify vulnerabilities
- Encrypt and secure electronic PHI
- Use strong passwords and regularly update them
- Regularly monitor and audit systems for unauthorized access
- Implement safeguards to prevent and detect breaches
Conclusion
HIPAA compliance is crucial for healthcare organizations and their business associates. Violations can lead to significant penalties, damage to reputation, and legal consequences. By understanding and implementing the necessary regulations and safeguards, organizations can protect patient privacy and ensure compliance with HIPAA.
- L’exposition illégale de ePHI à des parties non autorisées, que ce soit intentionnellement ou accidentellement
- L’absence de mise en œuvre de protocoles de sécurité appropriés tels que définis par la règle de sécurité HIPAA
- L’absence de protocoles administratifs ou de formation appropriés répondant aux exigences
- L’absence de notification adéquate des parties concernées et des responsables publics suite à des violations de données pertinentes
- L’absence de volonté de mettre à jour, d’améliorer ou de résoudre les lacunes existantes en matière de conformité
Avec cela à l’esprit, les violations de la HIPAA sont divisées en deux groupes : les violations civiles et les violations pénales.
- Les violations civiles sont des incidents de non-conformité où la non-conformité était accidentelle ou sans intention malveillante. Cela comprend des événements tels que la négligence ou le manque de conscience. Les sanctions tendent à être moins sévères pour les violations civiles:
- Pour les personnes qui ne sont pas au courant des infractions, l’amende est de 100 $ par incident.
- Pour ceux qui ont une cause raisonnable sans négligence, l’amende est d’au moins 1 000 $.
- La négligence volontaire entraîne une amende minimale de 10 000 $ par incident.
- La négligence volontaire, suivie d’une absence immédiate de rectification de l’infraction, entraîne une amende minimale de 50 000 $ par violation.
- Les infractions criminelles sont celles commises avec une intention malveillante, c’est-à-dire le vol, le profit ou la fraude. Les sanctions incluent:
- L’obtention ou la divulgation délibérée de l’ePHI peut entraîner une amende pouvant aller jusqu’à 50 000 $ et 1 an de prison.
- La fraude commise dans le cadre de l’infraction peut entraîner une amende pouvant aller jusqu’à 100 000 $ et 5 ans de prison.
- Les infractions commises dans le but de tirer profit de l’infraction peuvent entraîner une amende pouvant aller jusqu’à 250 000 $ et jusqu’à 10 ans de prison.
violations répétées peuvent coûter des millions de dollars aux organisations chaque année. Cela étant dit, voici quelques exemples courants de violations :
-
Fraude. La violation la plus directe et évidente est lorsque des individus volent des données de santé électroniques à des fins lucratives. Les pirates informatiques ou les opérations internes sont rares, mais de plus en plus fréquents à mesure que de plus en plus d’hôpitaux et de réseaux de soins de santé se tournent vers la technologie cloud et s’appuient sur des prestataires de services non éprouvés.
-
Perte ou vol de dispositifs. Dans le monde des postes de travail de bureau, le vol de technologie était moins courant. Cependant, à mesure que de plus en plus de cliniques et d’hôpitaux se tournent vers des appareils mobiles tels que des ordinateurs portables, des tablettes et des smartphones, il est de plus en plus probable que ces appareils tombent entre de mauvaises mains.
-
Manque de protection. La règle de sécurité définit les types de mesures de protection qui doivent être en place pour protéger les données de santé électroniques. Si ces mesures ne sont pas mises en œuvre correctement, cela peut constituer une violation.
-
Accès non autorisé. L’accès non autorisé à des données de santé électroniques est une violation grave de la vie privée des patients. Cela peut se produire en raison d’une mauvaise gestion des accès ou d’une mauvaise configuration des systèmes de sécurité.
Pour éviter ces violations et protéger les données de santé électroniques, les organisations doivent mettre en place des politiques et des procédures appropriées, former leur personnel sur les meilleures pratiques de sécurité et utiliser des technologies de sécurité avancées. De plus, elles doivent effectuer régulièrement des audits et des évaluations de sécurité pour identifier et corriger les vulnérabilités.
Le chiffrement HIPAA, les pare-feu et autres mesures de sécurité doivent être en place. De nombreuses organisations peuvent ne pas comprendre cela, ou elles peuvent travailler avec un associé tiers qu’elles croient être conforme mais qui ne l’est pas.
Accès non autorisé entre les organisations. Qu’il s’agisse de partager des données d’une personne autorisée à une personne non autorisée, ou d’utiliser des appareils ou des e-mails non chiffrés, il est extrêmement facile pour les employés non formés d’accéder ou de transmettre incorrectement des ePHI. En fait, la divulgation accidentelle de PHI est la forme de violation la plus courante, c’est pourquoi il existe une catégorie entière de sanctions de moindre importance pour la couvrir.
Liste de vérification pour l’auto-audit de la HIPAA
En utilisant une liste de vérification pour l’auto-audit de la HIPAA, les organisations de santé peuvent identifier les domaines potentiels de non-conformité et prendre des mesures correctives avant qu’un audit par le Département de la Santé et des Services sociaux (HHS) ne se produise. Un auto-audit peut également aider les organisations de santé à éviter les pénalités coûteuses et les amendes pour violation de la HIPAA.
De plus, la réalisation d’un auto-audit peut aider les organisations de santé à établir les meilleures pratiques en matière de conformité à la HIPAA et à améliorer leur posture globale en matière de sécurité des données. Cela peut également contribuer à instaurer la confiance des patients en démontrant un engagement à protéger leurs informations sensibles.
Utiliser une liste de vérification pour l’auto-audit de la HIPAA est une étape importante pour maintenir la conformité aux réglementations de la HIPAA et protéger les données des patients.
Voici une liste de vérification pour l’auto-audit de la conformité à la HIPAA:
- Déterminer le périmètre de l’audit, y compris les entités et les processus qui seront évalués.
- Passer en revue les politiques et les procédures pour assurer la conformité aux réglementations HIPAA.
- Vérifier que tous les membres du personnel ont reçu une formation HIPAA et que la formation est à jour.
- Passer en revue les contrôles d’accès et vérifier que seules les personnes autorisées ont accès aux informations de santé protégées (PHI).
- Évaluer les mesures de sécurité physiques, y compris les contrôles d’accès aux installations et aux postes de travail.
- Passer en revue les mesures de sécurité techniques, y compris les contrôles d’accès aux systèmes, le chiffrement des PHI et les politiques de mots de passe.
- Vérifier que des accords avec les partenaires commerciaux sont en place avec tous les fournisseurs externes qui ont accès aux PHI.
- Évaluer les procédures d’intervention en cas d’incident et vérifier qu’elles sont à jour et efficaces.
- Revoir les procédures de notification des violations et vérifier qu’elles sont à jour et efficaces.
- Vérifier que toute la documentation requise par la HIPAA est à jour et facilement accessible.
- Évaluer la conformité à la règle de confidentialité de la HIPAA, y compris l’obtention et la documentation des autorisations des patients pour la divulgation des informations de santé protégées (PHI).
- Revoir la conformité à la règle de sécurité de la HIPAA, y compris la réalisation d’évaluations régulières des risques et la prise en compte des risques identifiés.
- Vérifier que toutes les divulgations de PHI sont correctement autorisées et documentées, y compris les divulgations pour le traitement, le paiement et les opérations de santé.
- Revoir la conformité à la règle de notification des violations de la HIPAA, y compris la déclaration en temps opportun de toute violation de PHI non sécurisée.
- Évaluer la conformité à la règle omnibus de la HIPAA, y compris la conformité aux nouvelles exigences pour les associés commerciaux et les sous-traitants.
- Vérifiez que toutes les informations de santé protégées (PHI) sont correctement éliminées conformément aux réglementations HIPAA.
- Revoyez la conformité aux lois étatiques et locales qui peuvent avoir un impact sur la conformité HIPAA.
- Effectuez des audits périodiques et remédiez à tout domaine de non-conformité.
- Documentez toutes les constatations des audits et les activités de remédiation.
- Élaborez et mettez en œuvre un programme de conformité HIPAA qui comprend une formation continue, une surveillance et des audits.
- Attribuez un responsable de la conformité HIPAA pour gérer vos efforts de conformité dans toute votre organisation.
- Suivez et protégez les appareils mobiles afin qu’ils ne tombent pas entre de mauvaises mains et que toutes les données qu’ils contiennent soient correctement cryptées. Mettez en place des effacements à distance pour détruire les PHI volées, ou évitez simplement de stocker des PHI sur les appareils mobiles en premier lieu.
Comment le Règlement général sur la protection des données de l’UE affecte-t-il la conformité à la HIPAA?
Le Règlement général sur la protection des données de l’UE (RGPD) et la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) sont deux réglementations distinctes visant à protéger la vie privée des données personnelles. Le RGPD s’applique à toutes les entreprises qui traitent ou gèrent des données personnelles de citoyens de l’UE, quel que soit leur emplacement, tandis que la HIPAA s’applique aux fournisseurs de soins de santé, aux assureurs et à leurs associés commerciaux aux États-Unis. Cependant, étant donné que les entités de santé et les associés commerciaux opèrent de plus en plus à l’échelle mondiale, il est essentiel de comprendre l’impact du RGPD sur la conformité à la HIPAA.
Le RGPD impose des exigences de protection des données plus strictes que la HIPAA, notamment :
Consentement explicite dans le RGPD
Le RGPD exige un consentement explicite avant de traiter les données personnelles d’une personne, tandis que la HIPAA ne demande qu’une autorisation générale.
Droits des personnes concernées dans le RGPD
Le RGPD accorde aux individus un contrôle plus étendu sur leurs données, y compris le droit d’accéder, de rectifier et d’effacer leurs données personnelles, tandis que la HIPAA offre des droits limités d’accès et de demande de rectification.
Officier de protection des données (DPO) stipulé dans le RGPD
Le RGPD impose à certaines organisations de nommer un DPO chargé de superviser la protection des données, tandis que la HIPAA ne requiert pas ce rôle.
Notifications de violation de données requises par le RGPD
Le RGPD exige que les organisations signalent les violations de données dans un délai de 72 heures, tandis que la HIPAA exige un signalement dans un délai de 60 jours.
Sanctions RGPD
Le RGPD impose des sanctions beaucoup plus élevées en cas de non-conformité, avec des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé. En revanche, les sanctions HIPAA vont de 100 $ à 50 000 $ par violation, jusqu’à un maximum de 1,5 million de dollars par an.
Par conséquent, les entités de santé et les partenaires commerciaux qui traitent les données personnelles des citoyens de l’UE doivent veiller à se conformer à la fois au RGPD et à la HIPAA. Ils doivent examiner leurs politiques et procédures de confidentialité des données, mettre en place les modifications nécessaires pour répondre aux exigences du RGPD et former leur personnel aux dispositions des réglementations. Le non-respect de l’une ou l’autre des réglementations peut entraîner des sanctions financières importantes et des dommages à la réputation d’une organisation.
Rester conforme à la HIPAA avec les services de sécurité et de transfert de fichiers de Kiteworks
Kiteworks est un fournisseur de services cloud et sur site qui prend en charge le transfert sécurisé et géré de fichiers. transfert de données sécurisé, and advanced authentification utilisateur mechanisms for secure access to sensitive information.