Les cas de violation de l’HIPAA sont très fréquents, malgré les efforts accrus d’application de la loi. Alors que nous parlons souvent de la façon d’éviter de violer l’HIPAA et de la nécessité d’introduire des procédures et des comportements conformes à l’HIPAA parmi les employés, il est important d’être conscient des conséquences qui peuvent suivre les violations de l’HIPAA. En général, les cas de violation de l’HIPAA font l’objet d’enquêtes et de poursuites par l’Office of Civil Rights (OCR) du Department of Health and Human Services. Ces enquêtes peuvent faire suite à des rapports de violation soumis par des employés ou des patients, ou à des violations de données signalées à l’OCR. Dans certains cas, les procureurs généraux des États ou même le ministère de la Justice peuvent mener leurs propres enquêtes.
Pénalités financières
Les dernières années ont vu une augmentation du nombre de cas de violation de l’HIPAA qui ont conduit à des pénalités monétaires. Nombre d’entre elles ont pris la forme de règlements à l’amiable. À la fin du mois de janvier 2018, le ministère de la Santé et des Services sociaux avait reçu plus de 173 000 plaintes pour violation de l’HIPAA. Près de 170 000 de ces cas ont été résolus par l’OCR. Bien que seulement 53 cas aient donné lieu à des amendes ou à des règlements, par opposition à plus de 25 000 qui ont été résolus par des mesures correctives ou une assistance technique, le montant total des sommes versées par les organisations de soins de santé s’élève à plus de 75 millions de dollars, soit une moyenne d’environ 1,5 million de dollars par résolution financière.
Comme l’OCR enquête sur toutes sortes d’organisations, des chaînes nationales aux cliniques privées, une telle pénalité pourrait avoir un impact sérieux, voire fermer complètement une entreprise.
Les problèmes les plus courants
Les violations les plus fréquemment signalées sur lesquelles l’OCR enquête sont :
- Utilisations et divulgations inadmissibles d’informations de santé protégées
- Manque de mesures de protection des informations de santé protégées
- Manque d’accès des patients à leurs informations de santé protégées ;
- Manque de garanties administratives des informations de santé protégées électroniques
- Utilisation ou divulgation de plus que le minimum nécessaire d’informations de santé protégées
Cas de violation récents
Certaines violations récentes mises en évidence sur le site Web de l’OCR comprennent le séquestre d’une société défunte devant payer un règlement, une société de services médicaux payant des millions suite à des violations, et une violation des PHI d’un seul patient conduisant à un règlement de près de 400 000 $.
Filefax, une société qui stockait, conservait et livrait des dossiers médicaux pour des entités couvertes par l’HIPAA, a été fermée en même temps qu’une enquête de l’OCR était en cours. Un administrateur judiciaire a été nommé pour liquider les actifs. L’enquête de l’OCR a conclu que les PHI avaient été manipulés de manière négligente en étant laissés dans un véhicule non verrouillé, en étant transportés par des personnes non autorisées et en étant laissés non sécurisés à l’extérieur d’une installation de Filefax. Ces infractions constituent des divulgations inadmissibles et ont affecté 2 150 personnes.
En raison de ces actions, même si la société n’était plus en activité, le séquestre de la société a accepté de payer un règlement de 100 000 $ et s’est engagé à éliminer les PHI qui existent encore dans l’installation de Filefax d’une manière conforme à la HIPAA.
Fresenius Medical Care North America (FMCNA), qui gère un réseau d’installations de dialyse, de laboratoires cardiaques et vasculaires ambulatoires et de centres de soins urgents, a accepté de payer un règlement de 3,5 millions de dollars suite à des violations dans cinq de ses installations. Au cours de l’enquête de l’OCR, il a été constaté que la FMCNA « n’a pas effectué une analyse des risques précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l’intégrité et la disponibilité de tous ses ePHI » et qu’elle « a divulgué de manière inadmissible les ePHI des patients en fournissant un accès non autorisé dans un but non autorisé par la règle de confidentialité ».
La FMCNA doit mettre en œuvre un plan d’action correctif pour remédier aux nombreux problèmes ainsi que payer le règlement monétaire. Les règlements de FMCNA et de Filefax ont tous deux été annoncés en février 2018 et les montants peuvent être ajoutés aux 75 millions de dollars de sanctions pécuniaires mentionnées ci-dessus.
Le centre hospitalier St. Luke’s-Roosevelt Inc. a reçu un fort rappel de l’importance de transmettre correctement les PHI à la suite d’une violation qui a touché une seule personne. L’OCR a statué qu’une des entités de St. Luke avait « de manière inadmissible faxé les PHI du patient à son employeur plutôt que de les envoyer à la boîte postale personnelle demandée ». Les dossiers envoyés contenaient « des informations sensibles concernant la séropositivité, les soins médicaux, les maladies sexuellement transmissibles, les médicaments, l’orientation sexuelle, le diagnostic de santé mentale et les abus physiques ». L’enquête a également révélé qu’une violation connexe avait déjà eu lieu, mais que le problème n’avait pas été traité de manière adéquate par le programme de conformité visant à empêcher de telles divulgations non autorisées. St. Luke’s a réglé l’affaire pour 387 200 dollars.
L’importance de la conformité
Comme on peut le voir dans ces trois cas récents, les violations de l’HIPAA ont des impacts réels pour les entités couvertes ainsi que pour les individus. De simples erreurs, comme le fait de faxer des RPS au lieu de les envoyer par lettre, peuvent avoir des conséquences désastreuses. À plus grande échelle, le fait de ne pas concevoir et mettre en œuvre les procédures correctes peut avoir un impact sur tout un réseau d’établissements de soins de santé et ses patients. Même l’élimination des RPS doit être effectuée correctement – l’affaire Filefax portait sur des RPS transportés et laissés dans une installation de déchiquetage et de recyclage.
L’évaluation des risques, la formation et la sensibilisation aux règles HIPAA doivent toutes être des priorités élevées et récurrentes pour les entités couvertes par l’HIPAA. Sinon, elles risquent de découvrir à leurs dépens ce que le directeur de l’OCR, Roger Severino, a déclaré à la suite de l’affaire Filefax : L’OCR s’engage à faire respecter l’HIPAA. Suivez ce lien pour un guide HIPAA complet.