Qu'est-ce que l'HIPAA et en quoi cela me concerne-t-il ?
Qu’est-ce que l’HIPAA et comment les règles de sécurité, la règle omnibus et la règle de confidentialité de l’HIPAA peuvent-elles s’appliquer à moi et à mon entreprise ? Continuez à lire pour le découvrir.
Que signifie HIPAA ? HIPAA est l’acronyme de Health Insurance Portability and Accountability Act.
Liste de contrôle complète des exigences de conformité HIPAA
Qu’est-ce que l’HIPAA ?
Le Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale adoptée par le Congrès et signée par le président Clinton en 1996 pour créer un ensemble de normes pour la gestion, la protection et le partage des informations des patients. Plus spécifiquement, cette loi régit quand, comment et dans quelles circonstances les prestataires de soins de santé et leurs associés commerciaux peuvent divulguer des informations médicales protégées (PHI). Cette loi vise à soutenir les patients dans le système de soins de santé en fournissant plusieurs types de soutien, y compris les suivants :
- Gestion et transfert des informations et couvertures de santé entre différents prestataires de soins primaires (hôpitaux, médecins et compagnies d’assurance)
- Réduction du vol d’informations et de la fraude d’identité
- Standardisation des normes de tenue de dossiers et de sécurité à travers les États
- Maintien de la confidentialité et de la vie privée pour tous les dossiers des patients et les PHI
L’HIPAA est administré par le Bureau des droits civils du département de la Santé et des Services sociaux des États-Unis (HHS), qui gère la conformité organisationnelle et les réclamations contre les organisations pour violations des réglementations ou violations de systèmes. Le HHS, chargé de développer et de mettre en œuvre les réglementations HIPAA, a institué cinq sections principales ou « règles » qui définissent les droits des patients et les responsabilités des prestataires en vertu de la loi :
- La Règle de Confidentialité
- La Règle de Sécurité
- La Règle des Transactions
- La Règle des Identifiants
- La Règle d’Application
Que couvre l’HIPAA ?
L’HIPAA couvre finalement la confidentialité et la sécurité des informations médicales protégées (PHI). Les PHI sont toutes les informations de santé individuellement identifiables, y compris les dossiers de santé physique et mentale tels que les diagnostics, les historiques de médicaments, les réclamations d’assurance, collectées et maintenues par les prestataires de soins de santé, les plans de santé et d’autres organisations qui gèrent des services liés à la santé.
L’HIPAA couvre également la portabilité de l’assurance, qui permet aux individus de conserver leur couverture d’assurance santé, même s’ils changent d’emploi ou vivent un événement majeur de la vie, tel qu’un licenciement ou un mariage.
De plus, l’HIPAA établit des normes pour les transactions électroniques et les transactions de codage et de facturation pour les services de soins de santé.
Enfin, la Règle de Confidentialité de l’HIPAA protège les PHI des individus en exigeant que les prestataires de soins de santé et les organisations aient des politiques et procédures de confidentialité spécifiques en place pour protéger les informations de santé des individus. La Règle de Sécurité, en revanche, exige des entités couvertes qu’elles prennent des mesures appropriées pour protéger les PHI contre l’utilisation abusive ou l’accès non autorisé.
Qu’est-ce qui est considéré comme des informations médicales protégées selon l’HIPAA ?
Les informations médicales protégées (PHI) selon l’HIPAA sont toutes les informations de santé identifiables individuellement (IIHI) sous n’importe quelle forme ou support. Cela inclut les informations relatives à la santé physique ou mentale passée, présente ou future d’un individu, la prestation de soins de santé à un individu ou le paiement passé, présent ou futur pour la prestation de soins de santé à un individu.
Les PHI sont des informations qui peuvent être utilisées pour identifier une personne en particulier, telles que le nom, l’adresse, le numéro de sécurité sociale, les numéros de dossier médical, les antécédents médicaux, les médicaments, les plans de traitement, les résultats d’examens et les informations d’assurance. Les PHI peuvent également inclure des informations génétiques et des informations démographiques telles que l’âge, la race, l’ethnicité et le pays d’origine. En général, les PHI doivent être sécurisées, et les individus doivent être autorisés à consulter et copier leurs PHI.
La Règle de Confidentialité
La Règle de Confidentialité HIPAA est probablement la plus connue. Elle définit les définitions générales et les attentes des patients, des données protégées et des obligations des prestataires. Dans cette section, les bases de l’HIPAA sont énoncées : les organisations de soins de santé et leurs associés commerciaux doivent protéger les PHI et autres dossiers médicaux contre les divulgations non autorisées.
Les entités soumises à la juridiction de l’HIPAA en vertu de la Règle de Confidentialité sont connues sous le nom d’« entités couvertes » (CEs), et celles-ci incluent un ensemble limité d’organisations comme les médecins, les hôpitaux, les pharmacies, les compagnies d’assurance, les organisations de maintenance de la santé (HMOs) et un groupe sélectionné de prestataires connexes. Puisque la plupart des CEs externalisent les fonctions commerciales et de soins de santé à des fournisseurs tiers et associés, une catégorie secondaire a été créée pour ces entités appelées « associés commerciaux » (BAs) que l’HIPAA régit également.
La Règle de Confidentialité définit légalement les PHI. Selon l’HIPAA, les PHI sont toutes les informations qui se rapportent aux éléments suivants :
- Toute information passée, présente ou future concernant l’état physique ou mental d’un patient
- Toute prestation de soins de santé aux patients, qu’elle soit mentale ou physique
- Toute information financière ou de paiement liée à la prestation de soins de santé à ce patient, qu’elle soit passée, présente ou future
Enfin, la Règle de Confidentialité stipule que tout patient a le droit d’accéder à toutes les PHI détenues par une organisation à des fins d’inspection, de correction ou d’archivage.
La Règle de Sécurité
La Règle de Sécurité complète la Règle de Confidentialité et ajoute des normes, des exigences et des méthodes de sécurisation des PHI. Selon la Règle de Sécurité, les organisations doivent mettre en œuvre des mesures de sécurité pour protéger la confidentialité et la vie privée des informations des patients, en particulier les PHI électroniques (ePHI). Pour ce faire, la Règle de Sécurité fournit des directives pour les niveaux de sécurité attendus dans trois contextes :
- Technique : Les contrôles de sécurité énumérés dans cette catégorie reflètent ce à quoi nous pouvons normalement penser lorsque nous parlons de cybersécurité : protocoles de chiffrement, pare-feu pour les serveurs de données, applications anti-malware, etc. Avec l’essor des programmes de logiciels en tant que service (SaaS) basés sur le cloud, l’HIPAA exige également des mesures de sécurité claires pour protéger les communications entre les CEs et les BAs, les mesures de sécurité des serveurs cloud et les sauvegardes systèmes.
- Physique : Bien que les ePHI soient techniquement un actif numérique, ils existent au sein d’une infrastructure physique. Les mesures de protection physique des ePHI se concentrent sur la protection de l’accès physique aux centres de données par le biais de verrous, de caméras et de panneaux de contrôle et sur la limitation ou l’élimination de l’accès aux postes de travail et aux appareils mobiles.
- Administratif : La conformité à l’HIPAA exige de la diligence et de la compréhension de la part des employés de toute CE ou BA. Les mesures de sécurité administratives, y compris une formation appropriée à l’HIPAA et à la sécurité, la gouvernance des données, les politiques de gestion des risques, une documentation claire et un reporting institutionnel, sont attendues des organisations réglementées.
Avec ces aspects de sécurité à l’esprit, il est donc spécifié dans la Règle de Sécurité que les CEs et les BAs doivent garantir l’intégrité, la confidentialité et la disponibilité des ePHI. Ils doivent également détecter et atténuer les menaces de sécurité, prévenir les divulgations de données non autorisées et certifier la conformité dans toute leur organisation.
La Règle des Transactions
La Règle des Transactions standardise le codage et l’identification des transactions ePHI au sein des systèmes médicaux. Cette règle a éliminé les codes locaux et les normes organisationnelles utilisées à l’échelle municipale, étatique ou privée. Ces normes s’appliquent aux dossiers médicaux, aux dossiers financiers et à tout ce qui est déterminé comme relevant des PHI. Ces codes sont basés sur plusieurs ensembles de codes différents :
- La Classification Internationale des Maladies, 9ème Révision
- La Terminologie Procedurale Courante, publiée par l’American Medical Association, 4ème Édition
- Le Système de Codage des Procédures Communes HCFA (HCPCS)
- Le Code sur les Procédures et la Nomenclature Dentaires, disponible auprès de l’American Dental Association, 2ème Édition
- Les Codes Nationaux des Médicaments, qui sont publiés par la Food and Drug Administration (FDA)
La Règle des Identifiants
Les organisations doivent utiliser des numéros d’identification uniques en vertu de la réglementation de l’Internal Revenue Service (IRS) pour soutenir l’identification uniforme des organisations de soins de santé à des fins de confidentialité, et ces identifiants doivent être présents sur toutes les transactions HIPAA. Cela inclut les identifiants suivants :
- Le Numéro d’Identification National des Fournisseurs (NPI) : Un identifiant unique pour les prestataires de soins de santé utilisé sur toutes les transactions administratives et financières.
- Le Numéro d’Identification de l’Employeur (EIN) : Un numéro unique utilisé par les employeurs comme identification sur les transactions financières.
Des identifiants supplémentaires, y compris le Numéro d’Identification National du Plan de Santé (HPID, un numéro d’identification unique pour identifier les prestataires de plans de santé) et l’Identifiant d’Autre Entité (OEID), ont été utilisés puis abandonnés dans la pratique à travers des décisions du HHS.
La Règle d’Application
Mise en œuvre dans le cadre de la Loi HITECH, cette règle modifie et spécifie les pénalités pour non-conformité à l’HIPAA. Depuis 2020, la Règle d’Application spécifie différents types de violations de l’HIPAA :
- Violations Inconscientes, où une CE ou BA n’avait pas, et n’aurait pas raisonnablement pu être attendu, de connaître la violation. Les pénalités vont de 100 $ à 59 000 $ par violation, avec une pénalité maximale de 25 000 $ par an pour des violations identiques.
- Violations Inconnues, où une CE ou BA ne connaissait pas une violation mais aurait dû. Les pénalités vont de 1 000 $ à 50 000 $ par violation avec un maximum de 100 000 $ par an pour des violations identiques.
- Négligence Volontaire avec Action Corrective, où la CE ou BA savait et n’a pas abordé la violation mais des tentatives ont été par la suite faites pour y remédier. Les pénalités vont de 10 000 $ à 50 000 $ par violation avec un maximum de 250 000 $ par an pour des violations identiques.
- Négligence Volontaire sans Action Corrective, où la CE ou BA a volontairement ignoré ou négligé les infractions et n’a fait aucune tentative pour les corriger. Les pénalités sont un minimum de 50 000 $ par violation avec un maximum de 1,5 million $ par an pour des violations identiques.
De plus, les individus reconnus coupables de violation de la Règle de Confidentialité par négligence sans intention ou avec l’intention spécifique de voler et de profiter du vol des PHI peuvent être soumis à des accusations criminelles. Les peines criminelles peuvent inclure les suivantes :
- Violations avec cause raisonnable ou ignorance de la violation : jusqu’à un an de prison
- Obtention de PHI sous de faux prétextes : jusqu’à cinq ans de prison
- Obtention de PHI avec intention malveillante ou gain personnel : Jusqu’à dix ans de prison
Deux autres règles jouent un rôle majeur dans la conformité à l’HIPAA :
La Règle de Notification des Violations
Cette règle énonce les obligations que les CEs et les BAs ont une fois qu’une violation se produit. Bien que différents contextes appellent à différentes approches, plus généralement, les organisations doivent prendre les mesures suivantes après une violation :
- Les CEs et BAs doivent signaler les violations uniquement si elles affectent des PHI non sécurisées. Si les PHI n’ont pas été chiffrées, protégées ou autrement rendues inutilisables, alors elles sont non sécurisées.
- Les organisations conformes doivent signaler la violation aux patients affectés, par écrit ou par e-mail dans les 60 jours suivant la découverte de la violation. Dans les cas où l’organisation dispose d’informations de contact incomplètes pour 10 patients affectés ou plus, elle doit publier une notification sur son site Web et fournir un numéro de contact gratuit pour que les patients affectés puissent appeler. La notification et le numéro de téléphone doivent rester actifs et visibles pendant au moins 90 jours.
- Les violations compromettant 500 patients ou plus dans un seul État ou juridiction doivent fournir des notifications par le biais de médias importants au sein de cet État ou de cette juridiction. Cette notification médiatique doit avoir lieu dans les 60 jours suivant la découverte de la violation.
- Si la violation affecte plus de 500 personnes, l’organisation doit en informer le Secrétaire à la Santé et aux Services Humains via un formulaire de rapport de violation dans les 60 jours.
La Règle Omnibus
Adoptée en 2013, la Règle Omnibus de l’HIPAA affine certains termes des Règles de Confidentialité et de Sécurité pour mieux compléter les technologies modernes de l’ePHI et la transition vers les dossiers électroniques promue par la loi HITECH de 2009.
Plus important encore, la Règle Omnibus modifie le langage concernant les associés d’affaires et leurs obligations. Selon les nouvelles règles, les associés d’affaires (BAs) sont tout aussi responsables des violations de l’HIPAA et des brèches de système que les entités couvertes (CEs), et à ce titre, ils doivent suivre la lettre de la loi tout comme les CEs. De plus, la définition de BA inclut désormais toutes les organisations qui traitent des PHI dans le cadre de leur travail avec un CE.
Enfin, les CEs sont interdits par la Règle Omnibus de vendre des informations sur les patients sans consentement, et ils ont des limites plus strictes sur la manière dont ils utilisent les informations des patients à des fins de marketing.
Quelles divulgations de PHI sont autorisées sous l’HIPAA ?
Avec toutes ces règles et réglementations, il existe un ensemble de conditions spécifiques sous lesquelles un prestataire peut divulguer des PHI sans permission directe. Celles-ci incluent les suivantes :
- Divulgations au Patient : Les CEs et les BAs peuvent divulguer toute information à l’individu à qui elle appartient (le sujet du rapport).
- En interne pour le Traitement : Les organisations peuvent divulguer des données en interne dans le cadre de leurs propres processus de traitement, opérationnels et de paiement.
- Meilleur Intérêt : De manière informelle ou en cas d’urgence, les CEs et les BAs peuvent (de manière assez limitée) divulguer toute information située dans les annuaires des établissements pour notifier les membres de la famille.
- Divulgation Incidents : Si des PHI sont accidentellement exposées lors d’une divulgation autorisée et que le CE ou le BA a pris des mesures raisonnables pour prévenir une telle divulgation, l’organisation n’encourt pas de pénalité en vertu de la Règle de Confidentialité.
- Intérêt Public : Le CE ou le BA peut divulguer des informations sur les patients sans permission sous 12 objectifs prioritaires nationaux :
- Activités de Santé Publique telles que les pandémies, les tests de médicaments et de drogues, les tests de symptômes, et la gestion de la maladie et des blessures en milieu de travail.
- Abus : Les CEs peuvent divulguer des informations aux autorités gouvernementales qui exposent des abus, de la négligence ou de la violence.
- Surveillance : Les informations peuvent être divulguées dans le cadre d’activités de surveillance à des agences définies dans la Règle de Confidentialité.
- Procédures Judiciaires : Certains ordres de la cour peuvent autoriser la divulgation de PHI.
- Application de la Loi : Dans certaines circonstances, les PHI peuvent être divulguées aux agences d’application de la loi pour des ordres légaux, l’identification de suspects ou de personnes disparues, ou la notification à la police du décès d’une personne.
- Décès : Les PHI peuvent être divulguées aux coroners ou aux médecins légistes pour aider à l’identification ou pour déterminer la cause du décès.
- Don : Les PHI peuvent être divulguées pour faciliter le don d’organes et les transplantations.
- Recherche : Dans certaines circonstances, les PHI peuvent être divulguées pour certains types de recherche autorisée et protégée.
- Sécurité Publique : Les PHI peuvent être divulguées pour prévenir un préjudice à des individus dans certaines circonstances, incluant des menaces au patient lui-même.
- Fonction Gouvernementale : L’exécution de fonctions militaires, de missions de renseignement ou d’autres activités liées à la sécurité nationale ne nécessitent aucune autorisation pour la divulgation de PHI.
- Indemnisation des Travailleurs : Les PHI peuvent être divulguées sous autorisation légale à des fins de litiges sur les réclamations et les avantages de l’indemnisation des travailleurs.
- Requis par la Loi : Ces divulgations de PHI requises par la loi sont incluses par statut, réglementation ou ordonnances judiciaires.
Respecter la conformité HIPAA et protéger la vie privée des patients
En ce qui concerne la conformité HIPAA, il est important que l’infrastructure informatique et de gestion des données d’une organisation soit à la hauteur pour protéger les patients et les membres de votre équipe. Un système unifié, enregistré, suivi et sécurisé vous offre non seulement une conformité gérable que vous pouvez rapporter et surveiller, mais il vous donne également les outils de base pour garantir que la vie privée de vos patients reste protégée.
Enfin, maintenir la conformité HIPAA ne signifie pas vous isoler du monde extérieur. Avec les bons outils, tels que le partage sécurisé de fichiers, des liens d’e-mails sécurisés, des services de données conformes et une infrastructure cloud privée, vous pouvez prioriser la sécurité et la conformité sans sacrifier l’utilisabilité ou la satisfaction du client.
Planifiez une démonstration personnalisée de Kiteworks pour découvrir comment votre organisation peut se conformer à l’HIPAA lors de l’envoi et du partage de PII.