Conformité à la loi HITECH : Un guide étape par étape pour les fournisseurs de soins de santé
La loi HITECH, acronyme de Health Information Technology for Economic and Clinical Health Act, est une législation de santé globale adoptée par le gouvernement américain en 2009. Son objectif principal est de promouvoir l’adoption et l’utilisation significative des dossiers de santé électroniques (DSE) par les prestataires de soins de santé dans le pays et d’améliorer la confidentialité et la sécurité des informations de santé personnelles. C’est une extension de la loi HIPAA ou Health Insurance Portability and Accountability Act, qui a été promulguée en 1996. La loi HITECH a un impact significatif sur l’industrie de la santé, en particulier en ce qui concerne la confidentialité et la sécurité des informations de santé électroniques. Dans cet article, nous discuterons de tout ce que vous devez savoir sur la loi HITECH et ses implications pour les prestataires de soins de santé.
Qu’est-ce que le HITECH et pourquoi a-t-il été promulgué ?
La loi HITECH est une partie de l’American Recovery and Reinvestment Act (ARRA) de 2009, qui a été signée par le président Obama pour stimuler la croissance économique et créer des emplois à la suite de la Grande Récession. Le HITECH a été promulgué pour répondre au besoin d’une meilleure sécurité et confidentialité des dossiers de santé électroniques, ainsi qu’à l’absence de normes pour l’interopérabilité des dossiers de santé électroniques.
La loi HITECH vise à atteindre les objectifs suivants :
- Promouvoir l’adoption et l’utilisation des DSE par les prestataires de soins de santé pour améliorer la qualité et l’efficacité des soins aux patients
- Renforcer la confidentialité et la sécurité des informations de santé électroniques grâce à l’établissement de nouvelles réglementations et normes
- Encourager la recherche et le développement dans le domaine de la technologie de l’information en santé (TIS)
La loi HITECH offre des incitations financières aux prestataires de soins de santé qui démontrent une “utilisation significative” des DSE, ce qui est défini comme l’utilisation des DSE pour atteindre des objectifs spécifiques liés à la qualité, la sécurité et l’efficacité des soins de santé. Elle impose également des pénalités aux prestataires qui ne parviennent pas à adopter et à utiliser les DSE avant une certaine date limite.
Quelles sont les principales dispositions de HITECH ?
HITECH comporte plusieurs dispositions clés qui ont un impact sur les prestataires de soins de santé et les organisations. Ces dispositions comprennent :
Utilisation significative des DSE
Une des caractéristiques clés de la loi HITECH était le programme d’utilisation significative, qui offrait des incitations financières aux prestataires éligibles qui démontraient une utilisation significative de la technologie des DSE certifiée. Le programme avait trois étapes, chacune avec des exigences de plus en plus strictes pour une utilisation significative. Les prestataires qui ne respectent pas les exigences sont confrontés à des pénalités sous forme de réductions des remboursements de Medicare.
Exigences en matière de confidentialité et de sécurité
HITECH est une loi importante qui vise à améliorer la qualité et l’efficacité des soins de santé tout en protégeant la confidentialité des patients et l’information. Ses exigences en matière de sécurité fournissent un cadre important pour les organisations de soins de santé pour protéger les informations médicales protégées (PHI) contre l’accès non autorisé.
HITECH exige que les organisations de soins de santé mettent en place des mesures de protection pour sécuriser les PHI afin de protéger la confidentialité des patients. Cela nécessite que les organisations de soins de santé : mettent en œuvre des mesures de sécurité techniques et non techniques, telles que le chiffrement et le contrôle d’accès ; forment les employés aux protocoles de confidentialité et de sécurité ; et limitent l’accès aux PHI uniquement aux individus qui en ont besoin.
La loi exige également que les organisations de soins de santé s’assurent qu’elles ont des mesures en place pour détecter, répondre et faire rapport sur toute atteinte potentielle à la confidentialité et à la sécurité. Cela signifie que les organisations de soins de santé doivent avoir des politiques et des procédures en place pour répondre et enquêter sur toute atteinte potentielle et pour notifier les personnes concernées.
HITECH exige également que les organisations de soins de santé aient des processus en place pour évaluer régulièrement l’efficacité de leurs mesures de sécurité et pour apporter les mises à jour nécessaires. Cela comprend à la fois des mesures techniques et non techniques, comme la mise à jour régulière des mots de passe, la formation du personnel et l’examen des journaux d’accès.
Enfin, HITECH exige que les organisations de soins de santé aient un processus en place pour éliminer de manière sécurisée les PHI lorsqu’elles ne sont plus nécessaires. Cela nécessite que les organisations aient des mesures en place pour s’assurer que les PHI sont détruites de manière sécurisée, comme le déchiquetage de documents ou l’utilisation de logiciels de suppression sécurisée de données.
Exigences en matière de notification d’atteinte à la protection des données
L’une des dispositions les plus importantes de la loi HITECH est la règle de notification d’atteinte à la protection des données, qui exige que les entités couvertes fournissent une notification aux personnes concernées, au Department of Health and Human Services (HHS), et dans certains cas, aux médias lorsqu’il y a eu une atteinte à la protection des PHI non sécurisées.
La règle de notification d’atteinte à la protection des données s’applique à toute personne ou organisation qui crée, reçoit, conserve ou transmet des PHI. Les entités couvertes doivent fournir une notification à toute personne dont les PHI non sécurisées ont été ou sont raisonnablement soupçonnées d’avoir été consultées ou acquises. La notification doit être fournie sans délai raisonnable, mais au plus tard 60 jours après l’atteinte à la protection des données.
Les organisations doivent également fournir au HHS américain une notification immédiate de toute atteinte impliquant plus de 500 personnes, et fournir une description détaillée de l’atteinte dans les 60 jours suivant l’incident. De plus, les organisations doivent informer les médias lorsqu’il y a une atteinte impliquant plus de 500 personnes situées dans le même État ou juridiction.
Si une atteinte implique 500 personnes ou moins, une notification aux médias peut être requise si le HHS estime que cela est nécessaire et approprié. Le HHS est également responsable de déterminer si une atteinte nécessite une notification à une agence de crédit. La règle de notification d’atteinte à la protection des données précise également certaines exigences pour le contenu des notifications, y compris une brève description de l’incident, les PHI impliquées, les mesures que les individus devraient prendre en réponse à l’atteinte, et les coordonnées de l’organisation.
La loi HITECH prévoit des pénalités importantes pour le non-respect de la règle de notification d’atteinte à la protection des données. Les organisations en violation sont passibles de sanctions pécuniaires civiles pouvant aller jusqu’à 50 000 dollars par violation.
Échange d’informations de santé
La loi HITECH comprend également des dispositions pour l’échange d’informations de santé (HIE), qui permet le partage sécurisé des informations de santé des patients entre les fournisseurs et les organisations de soins de santé. Elle permet aux prestataires de soins de santé d’échanger de manière sécurisée les informations de santé des patients avec d’autres prestataires approuvés.
Cet échange d’informations est chiffré et vise à améliorer la qualité des soins de santé, à réduire les coûts et à améliorer l’expérience du patient lorsqu’il consulte plusieurs prestataires. Le HIE est également utilisé pour fournir un accès en temps réel aux dossiers des patients, afin que les prestataires puissent mieux coordonner les soins et réduire les erreurs.
Le HIE crée également une plateforme pour que les prestataires de soins de santé puissent partager les meilleures pratiques et les directives basées sur des preuves. Les prestataires peuvent également accéder à des données agrégées pour améliorer les initiatives de santé de la population. Le HIE est utilisé pour fournir des portails aux patients, qui leur donnent la possibilité d’accéder à leurs dossiers de santé.
Sanctions pour non-respect de HITECH
Les sanctions pour non-respect de la loi sur la technologie de l’information de santé pour l’économie et la santé clinique (HITECH) peuvent être assez sévères. Le Bureau des droits civils (OCR) du département américain de la santé et des services sociaux (HHS) peut imposer des sanctions financières civiles allant jusqu’à 1,5 million de dollars par violation, ainsi que des sanctions pénales pour des violations impliquant la divulgation illégale d’informations de santé individuellement identifiables (IIHI).
De plus, le non-respect de la HIPAA et de la HITECH peut entraîner la divulgation publique de la violation du prestataire, des réprimandes administratives et la résiliation des privilèges de facturation de Medicare et Medicaid. Les organisations et les individus qui ne respectent pas les règles peuvent également faire l’objet de poursuites civiles et pénales, d’amendes lourdes et d’emprisonnement. Le respect de la HITECH est une nécessité pour toute organisation qui cherche à protéger les informations de santé de ses patients et à se conformer à toutes les réglementations pertinentes.
Quel est l’impact de HITECH sur les prestataires de soins de santé et les organisations ?
La loi HITECH a eu un impact profond sur l’industrie de la santé depuis son adoption. Elle a conduit à une augmentation significative de l’adoption et de l’utilisation des EHR par les prestataires de soins de santé, plus de 80% des hôpitaux et 50% des cabinets de médecins aux États-Unis utilisant maintenant les EHR. Cela entraîne plusieurs avantages, notamment:
- Amélioration de la sécurité des patients et de la qualité des soins grâce à un meilleur accès aux informations des patients et aux outils d’aide à la décision
- Augmentation de l’efficacité et de la productivité des prestataires de soins de santé grâce à l’automatisation des tâches et des flux de travail routiniers
- Économies de coûts grâce à la réduction des dépenses administratives et des erreurs médicales
La loi HITECH a également ouvert la voie au développement de nouveaux produits et services HIT, tels que la télésanté et les applications de santé mobiles, qui permettent aux patients d’accéder aux services de santé à distance et de manière plus pratique.
Quel est l’impact de HITECH sur les patients ?
HITECH a également un impact significatif sur les patients. Les patients ont le droit d’accéder et de contrôler leurs informations de santé électroniques en vertu de HITECH. Les patients peuvent également demander un relevé des divulgations de leurs informations de santé électroniques et déposer une plainte s’ils estiment que leurs droits ont été violés.
Quel est l’impact de HITECH sur les fournisseurs de technologie de santé ?
HITECH a également un impact sur les fournisseurs de technologie de santé. Les fournisseurs de technologie de santé doivent se conformer aux exigences de certification de HITECH pour garantir que leur technologie respecte certaines normes d’interopérabilité et de sécurité.
Défis dans la mise en œuvre de HITECH
Bien qu’il y ait eu de nombreux avantages de cette loi, il y a également eu des défis et des critiques, tels que les coûts élevés et la complexité de la mise en œuvre et de l’utilisation des EHR et les préoccupations concernant le potentiel de violations de données et de la vie privée.
Un autre défi de la loi HITECH a été la fracture numérique, où les prestataires de soins de santé dans les zones mal desservies et rurales ont eu du mal à adopter et à mettre en œuvre les DSE en raison de ressources limitées et de l’accès à la technologie. Pour y remédier, la loi HITECH a mis en place des programmes de subventions pour soutenir l’adoption des DSE par ces prestataires.
Quelles sont les différences entre HIPAA et HITECH?
HIPAA (Health Insurance Portability and Accountability Act) et HITECH sont tous deux des lois fédérales américaines qui régissent la confidentialité et la sécurité des informations de santé des patients. Cependant, il y a quelques différences clés entre les deux :
Portée
HIPAA couvre toutes les informations médicales protégées (PHI), tandis que HITECH étend les dispositions de confidentialité et de sécurité de HIPAA aux dossiers de santé électroniques (DSE).
Application
HIPAA est appliquée par le Bureau des droits civils (OCR) du Département de la santé et des services sociaux (HHS), tandis que HITECH élargit l’autorité de l’OCR pour imposer des pénalités pour les violations de HIPAA.
Pénalités
Les violations de HIPAA peuvent entraîner des pénalités civiles et pénales, mais HITECH a augmenté les pénalités pour les violations de HIPAA. La pénalité maximale pour une seule violation est maintenant de 1,5 million de dollars.
Notifications de violation
HIPAA oblige les entités couvertes à notifier les patients et le HHS en cas de violation de PHI non sécurisée affectant plus de 500 individus. HITECH élargit les exigences de notification pour inclure la notification aux médias si la violation affecte plus de 500 individus.
Associés d’affaires
HIPAA oblige les entités couvertes à conclure des accords d’associé d’affaires (BAAs) avec leurs fournisseurs qui manipulent le PHI. HITECH étend les mêmes exigences de confidentialité et de sécurité de HIPAA aux associés d’affaires eux-mêmes, et impose des pénalités pour les violations. HITECH renforce HIPAA en renforçant les protections de confidentialité et de sécurité pour les dossiers de santé électroniques, en augmentant les pénalités pour les violations, et en élargissant le champ d’application de l’application pour inclure les associés d’affaires.
Avenir de la loi HITECH
La loi HITECH continue d’évoluer et de s’adapter aux besoins changeants de l’industrie de la santé. En 2020, le gouvernement américain a introduit la loi 21st Century Cures Act, qui s’appuie sur la loi HITECH et vise à promouvoir l’innovation en matière de TIS et à améliorer l’accès des patients aux services de santé. La loi 21st Century Cures Act fournit un financement supplémentaire pour la recherche et le développement en matière de TIS et comprend des dispositions pour l’interopérabilité et l’accès des patients aux informations de santé.
En regardant vers l’avenir, la loi HITECH a préparé le terrain pour de nouvelles avancées en matière de TIS, telles que l’utilisation de l’intelligence artificielle (IA), la télémédecine et d’autres technologies innovantes. Ces nouvelles technologies ont le potentiel d’améliorer encore les soins aux patients, d’augmenter l’efficacité et de réduire les coûts.
Cependant, comme pour toute nouvelle technologie, il y a aussi des préoccupations quant aux risques et aux défis potentiels de l’adoption et de l’utilisation de ces outils. Il sera important pour les prestataires de soins de santé, les décideurs politiques et les patients de travailler ensemble pour relever ces défis et s’assurer que les avantages des TIS sont réalisés tout en minimisant les risques potentiels.
Naviguer dans la conformité HITECH en 2023 avec Kiteworks
Pour rester en conformité avec les réglementations HITECH et HIPAA, les entités doivent s’assurer que toutes les informations médicales protégées (PHI) sont stockées et gérées de manière sécurisée. De plus, tout PHI doit être crypté à la fois en transit et au repos, et doit être régulièrement surveillé pour tout accès non autorisé. Les entités doivent également s’assurer que tout PHI n’est accessible qu’au personnel autorisé, que des journaux d’accès sont tenus, et que tous les droits d’accès sont révoqués lors de la cessation d’emploi d’un employé.
De plus, les entités doivent avoir un processus d’évaluation des risques en place qui est régulièrement mis à jour, et doivent également fournir une formation et une éducation continues aux employés sur la conformité HITECH et HIPAA. Enfin, les entités doivent être prêtes à réagir en cas de violation de données et avoir un plan de réponse aux incidents bien pensé en place. En prenant ces mesures, les entités peuvent naviguer efficacement dans la conformité HITECH en 2023.
Les organisations qui s’appuient sur le réseau de contenu privé Kiteworks (PCN) sont en mesure de démontrer la conformité avec les réglementations sur la confidentialité des données comme HITECH. Kiteworks unifie, suit, contrôle et sécurise les communications de contenu sensible – y compris le courrier électronique, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires web et les interfaces de programmation d’applications (API) – dans une seule plateforme qui facilite la génération de rapports avec des pistes d’audit complètes montrant qui a accédé au contenu, l’a modifié, partagé et envoyé, à qui il a été envoyé, où il a été envoyé, et sur quels appareils il a été partagé. De plus, Kiteworks est la seule plateforme de communication de contenu sensible avec un déploiement 100% sur site pour le cloud à locataire unique et est conforme à près de 90% des contrôles de pratique de niveau 2 du modèle de maturité en cybersécurité (CMMC) 2.0.
Programmez une démonstration personnalisée de Kiteworks pour en savoir plus sur comment elle peut vous aider à démontrer la conformité avec HITECH et d’autres réglementations sur la confidentialité des données.