Notre article HIPAA Expliqué fournit des informations sur la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), les changements les plus récents apportés à la loi en 2013 et la façon dont les dispositions de la loi affectent actuellement les patients, l’industrie des soins de santé dans son ensemble et les personnes qui y travaillent.
- Histoire simplifiée de l’HIPAA
- L’HIPAA expliqué en termes simples
- L’HIPAA pour les nuls
- Qui est couvert par HIPAA ?
- L’HIPAA expliqué après 2013
- Les sauvegardes requises et adressables de l’HIPAA expliquées
- Les implications de l’HIPAA pour les patients
- Comment expliquer l’HIPAA aux patients
- Les implications de l’HIPAA pour les organisations de santé
- Comment expliquer l’HIPAA aux employés
- Nouvelles technologies et règles de confidentialité et de sécurité HIPAA
Histoire simplifiée de l’HIPAA
Initialement proposée en 1996 afin que les travailleurs puissent reporter leurs droits en matière d’assurance et de soins de santé d’un emploi à l’autre, notre histoire simplifiée de l’HIPAA montre que la loi s’est depuis étendue pour devenir un acte législatif qui régit également la fraude à l’assurance maladie et les dispositions fiscales relatives aux comptes d’épargne médicale, et qui garantit l’acceptation des travailleurs souffrant de maladies préexistantes dans les régimes professionnels d’assurance maladie. Toutefois, l’HIPAA concerne principalement la confidentialité et la sécurité des informations relatives à la santé des patients.
L’HIPAA (via la loi HITECH) a également été utilisée pour encourager le secteur de la santé à informatiser les dossiers papier. Cela a suscité des inquiétudes quant aux divulgations non autorisées d' »informations de santé protégées » (PHI) et a entraîné l’élaboration de nouvelles réglementations en matière de confidentialité et de sécurité en 2013. Les règlements ont pris en compte les avancées technologiques dans le secteur des soins de santé depuis l’adoption de la législation initiale, et ont étendu la responsabilité de l’intégrité des PHI aux associés commerciaux.
Les règlements HIPAA sont appliqués par le Bureau des droits civils du ministère américain de la Santé &Human Services, tandis que les procureurs généraux des États peuvent également prendre des mesures contre les parties découvertes comme n’étant pas en conformité avec HIPAA. Le Bureau des droits civils a le pouvoir d’imposer des amendes aux entités couvertes et aux associés commerciaux pour les violations de PHI, sauf si la partie fautive peut démontrer une faible probabilité que les informations sur la santé des patients ont été compromises.
L’HIPAA expliqué en termes simples
Le texte combiné de tous les règlements de simplification administrative de l’HIPAA a été regroupé en un seul document de 115 pages par le HHS, ce qui en rend la lecture très longue, mais il est possible de résumer l’HIPAA en quelques phrases et de l’expliquer en termes simples.
HIPAA était une tentative du Congrès d’améliorer l’efficacité des soins de santé, d’éliminer le gaspillage, de lutter contre la fraude et de s’assurer que les informations de santé qui peuvent être liées à un individu et qui permettraient de l’identifier sont protégées et gardées privées et confidentielles.
HIPAA a introduit un ensemble de nouvelles normes que les organisations de soins de santé doivent suivre pour s’assurer que tout le monde chante à partir de la même feuille d’hymne. Des codes et des identifiants standard ont été créés pour faciliter l’échange d’informations sur la santé et les prestataires de soins de santé, les assureurs maladie et leurs associés commerciaux ont été tenus d’utiliser les mêmes codes pour les transactions électroniques afin de garantir que les données puissent être échangées efficacement. Cela a permis d’économiser beaucoup de temps, d’efforts et de réaliser des économies substantielles.
L’HIPAA a stipulé les utilisations et les divulgations autorisées des informations de santé, en limitant qui est autorisé à accéder aux informations de santé et dans quelles circonstances. L’HIPAA a donné aux Américains le droit d’obtenir des copies de leurs données de santé pour vérifier que leurs dossiers médicaux ne contiennent pas d’erreurs et de partager leurs dossiers avec qui ils le souhaitent. L’HIPAA a également établi des normes de protection des données de santé pour rendre plus difficile l’accès aux informations de santé par des personnes qui n’avaient pas le droit de les consulter.
L’HIPAA pour les nuls
Bien qu’il puisse être considéré comme peu aimable d’intituler une section de cet article « L’HIPAA pour les nuls », il y a encore des personnes qui ne savent pas quelles informations de santé des patients sont « protégées ». Pour clarifier ce qui est considéré comme des « informations de santé protégées », nous avons énuméré ci-dessous les dix-huit « identifiants personnels » qui, individuellement – ou liés à tout autre identifiant personnel – pourraient révéler l’identité d’une personne, ses antécédents médicaux ou ses antécédents de paiement :
Noms ou partie de noms | Toute autre caractéristique d’identification unique |
Identifiants géographiques | Dates. directement liées à un individu |
Numéros de téléphone | Numéros de télécopie |
Adresses électroniques | Numéros de sécurité sociale |
Numéros de dossiers médicaux | Numéros de bénéficiaires de l’assurance maladie |
Numéros de comptes | Numéros de certificats ou de licences |
Numéros de plaques d’immatriculation de véhicules | Identifiants d’appareils et numéros de série |
Urls Web | Adresses IP |
Imprimés digitaux, empreintes rétiniennes et vocales | Face complète ou toute image photographique comparable |
Qui est couvert par HIPAA ?
Avant de se lancer dans l’explication de l’HIPAA, il est préférable de préciser à qui s’applique la législation. Pratiquement tous les plans de santé, les chambres de compensation des soins de santé, les fournisseurs de soins de santé et les sponsors approuvés de la carte de réduction des médicaments sur ordonnance Medicare sont considérés comme des « entités couvertes par l’HIPAA » en vertu de la loi. Généralement, il s’agit d’entités qui entrent régulièrement en contact avec des informations de santé protégées.
Les « associés commerciaux » sont également couverts par l’HIPAA. Il s’agit d’entités qui ne créent pas, ne reçoivent pas, ne conservent pas ou ne transmettent pas d’informations de santé protégées dans le cadre de leur activité principale, mais qui fournissent des services et des activités de tiers pour les entités couvertes au cours desquelles ils rencontreront des RPS. Avant d’entreprendre un service ou une activité pour le compte d’une entité couverte, un associé d’affaires doit signer un accord d’associé d’affaires garantissant d’assurer l’intégrité de toute PHI à laquelle il a accès.
Une grisaille existe en ce qui concerne les plans de santé de groupe à employeur unique auto-assuré et les employeurs qui agissent comme intermédiaires entre les employés et les fournisseurs de soins de santé. L’HIPAA stipule que les employeurs ne sont pas des entités couvertes, à moins que la nature de leur activité ne réponde aux critères pour être une entité couverte (c’est-à-dire qu’un centre médical employeur serait une entité couverte). Cependant, étant donné que les employeurs auto-assurés et intermédiaires traitent des RPS qui sont protégés par la règle de confidentialité de l’HIPAA, ils sont considérés comme des « entités virtuelles » et soumis à la conformité à l’HIPAA.
L’HIPAA expliqué après 2013
Veuillez noter : pour des informations relatives à l’HIPAA avant 2013, et sa relation avec la loi HITECH de 2009, veuillez vous référer à notre page « Historique de l’HIPAA ». De plus amples détails sur les règles de confidentialité et de sécurité de l’HIPAA sont contenus dans notre « Liste de contrôle de la conformité à l’HIPAA ».
Depuis l’introduction de la règle finale Omnibus, qui a promulgué de nouvelles réglementations au sein de l’HIPAA en 2013, de nouvelles directives ont été publiées sur la façon dont les PHI doivent être accessibles et communiquées dans un environnement lié à la médecine. La loi révisée donne aux patients des droits supplémentaires pour connaître et contrôler la façon dont leurs informations de santé sont utilisées et étend les contrôles sur les entités couvertes par l’HIPAA et les associés commerciaux à la façon dont les informations des patients sont accessibles et communiquées.
Les entités couvertes par l’HIPAA et les associés commerciaux doivent mettre en œuvre des mécanismes pour limiter le flux d’informations à l’intérieur d’un réseau privé, surveiller l’activité sur le réseau et prendre des mesures pour empêcher la divulgation non autorisée de PHI au-delà des limites du réseau. Une plus grande attention doit être accordée à la réalisation d’évaluations des risques, et de nouvelles procédures de déclaration ont été élaborées pour couvrir les violations de données.
Les révisions de la règle de sécurité de l’HIPAA dictent les conditions (« sauvegardes ») qui doivent être en place pour un stockage et une communication des ePHI conformes à l’HIPAA. Ces « garanties » sont décrites dans la règle de sécurité de l’HIPAA comme étant « obligatoires » ou « adressables ». En fait, toutes les garanties sont généralement requises – indépendamment de la façon dont elles sont décrites – comme l’explique la section suivante.
Le Bureau des droits civils effectue des audits sur les entités couvertes par l’HIPAA pour s’assurer qu’elles se conforment à la réglementation. Lorsque des violations évitables des ePHI sont découvertes, le Bureau des droits civils a le pouvoir d’imposer des pénalités financières et d’engager des poursuites pénales contre l’entité négligente.
Les sauvegardes requises et adressables de l’HIPAA expliquées
Un domaine de l’HIPAA qui a entraîné une certaine confusion est la différence entre les sauvegardes « requises » et « adressables ». Effectivement, chaque sauvegarde de l’HIPAA est « requise » à moins qu’il y ait une raison justifiable de ne pas mettre en œuvre la sauvegarde ou qu’une alternative appropriée à la sauvegarde soit mise en œuvre et atteigne le même objectif.
Un scénario dans lequel la mise en œuvre d’une sauvegarde adressable pourrait être inutile est le cryptage des e-mails. Les courriels contenant des RPS – dans le corps ou en pièce jointe – ne doivent être chiffrés que s’ils sont envoyés au-delà d’un serveur interne protégé par un pare-feu. Si un organisme de santé n’utilise le courrier électronique que comme forme de communication interne – ou dispose d’une autorisation d’un patient pour envoyer ses informations en clair – il n’est pas nécessaire de mettre en œuvre cette mesure de protection adressable.
La décision de ne pas mettre en œuvre le cryptage du courrier électronique devra être étayée par une évaluation des risques et documentée par écrit. D’autres facteurs qui pourraient devoir être pris en considération sont la stratégie d’atténuation des risques de l’organisation et les autres mesures de protection mises en place pour protéger l’intégrité des RPS. Comme l’explique une note de bas de page de cette section particulière de l’HIPAA, le cryptage des PHI au repos et en transit est recommandé.
Les implications de l’HIPAA pour les patients
Les implications de l’HIPAA pour les patients sont que leurs informations de santé sont traitées de manière plus sensible et peuvent être consultées plus rapidement par leurs fournisseurs de soins de santé. Les informations de santé stockées électroniquement sont désormais mieux protégées que ne l’ont jamais été les dossiers papier, et les organismes de santé qui ont mis en place des mécanismes pour se conformer à la réglementation HIPAA constatent une meilleure efficacité. Cela se manifeste – en ce qui concerne les patients – par un niveau plus élevé de soins de santé.
Du côté négatif, les organisations de soins de santé ne sont pas uniquement concernées par le niveau de soins de santé qu’elles peuvent fournir aux patients individuels. Les organisations de soins de santé veulent augmenter les services qu’elles peuvent fournir, veulent augmenter la qualité des soins et améliorer la sécurité des patients par la recherche. Cependant, la recherche est limitée par l’HIPAA et l’accès restreint aux PHI a le potentiel de ralentir le rythme auquel les améliorations peuvent être apportées aux soins de santé.
Il y a aussi un prix à payer pour améliorer la sécurité des données, et bien que la promulgation du programme Meaningful Use ait fourni des incitations financières aux fournisseurs de soins de santé pour informatiser les dossiers papier, la mise en œuvre des contrôles nécessaires pour sécuriser les ePHI peut entraîner un coût substantiel. L’augmentation du financement pour la conformité a le potentiel de réduire le niveau des soins aux patients, tandis que la charge administrative que la conformité HIPAA impose aux organisations de soins de santé met encore plus à rude épreuve les ressources limitées disponibles.
Comment expliquer l’HIPAA aux patients
Comme les fournisseurs de soins de santé sont maintenant tenus par la loi de donner aux patients un avis de leur politique de confidentialité, il sera nécessaire d’expliquer l’HIPAA aux patients car ils doivent signer une copie de la politique pour dire qu’ils l’ont reçue. La meilleure façon d’expliquer l’HIPAA aux patients est de placer les informations pertinentes dans la politique de confidentialité, puis de donner aux patients un résumé de ce que contient la politique. Par exemple, expliquez au patient :
- Ils ont le droit de demander leurs dossiers médicaux quand ils le souhaitent.
- Ils ont le droit de vous demander de modifier leurs dossiers médicaux lorsque cela est approprié.
- Ils ont le droit de limiter qui a accès à leurs informations de santé personnelles.
- Ils ont le droit de choisir la façon dont les prestataires de soins de santé communiquent avec eux.
- Ils ont également le droit de se plaindre de la divulgation non autorisée de leurs RPS.
Sauf si le patient a subi un préjudice physique ou financier en raison de la divulgation non autorisée de ses RPS, il ne pourra pas intenter une action civile contre la partie négligente. Cependant, les entités couvertes et les associés commerciaux qui violent l’HIPAA pour des gains personnels, de faux prétextes ou autres, se verront infliger des sanctions pénales par l’Office des droits civils pouvant aller jusqu’à dix ans d’emprisonnement.
Les implications de l’HIPAA pour les organisations de santé
Si la confidentialité et la sécurité des données ne sont pas abordées, l’Office des droits civils peut infliger des amendes pour non-conformité. Les violations de données évitables sont susceptibles de donner lieu à des pénalités financières considérables. Dans le cadre de la structure de pénalités introduite par HITECH, les violations peuvent entraîner des amendes allant jusqu’à 1,5 million de dollars émises par l’OCR, tandis que des poursuites peuvent être engagées à la fois par les procureurs généraux et – comme mentionné ci-dessus – par les victimes de violations de données.
La forte probabilité que les organisations de soins de santé deviennent des cibles pour les cybercriminels et le coût exorbitant de la prise en charge des violations de données – émission de lettres de notification de violation, offre de services de surveillance du crédit et couverture des amendes de l’OCR – dépassent de loin le coût de la mise en conformité totale. Mais, si le coût initial de l’investissement dans les mesures de protection techniques, physiques et administratives nécessaires pour sécuriser les données des patients peut être élevé, les améliorations peuvent entraîner des économies de coûts au fil du temps en raison d’une meilleure efficacité.
Les organisations qui ont déjà mis en œuvre des mécanismes pour se conformer à l’HIPAA ont vu les flux de travail de leurs employés rationalisés, moins de temps est perdu à jouer au « téléphone » et la main-d’œuvre est devenue plus productive – ce qui permet aux organisations de soins de santé de réinvestir leurs économies et de fournir un niveau plus élevé de soins de santé aux patients.
Comment expliquer l’HIPAA aux employés
Expliquer l’HIPAA aux employés des entités couvertes et des associés commerciaux nécessite beaucoup plus d’efforts que d’expliquer l’HIPAA aux patients. Afin de se conformer à l’HIPAA, les entités couvertes et les associés commerciaux doivent compiler des politiques de confidentialité et de sécurité pour leur personnel, ainsi qu’une politique de sanctions pour les employés qui ne respectent pas les exigences. Il est donc nécessaire d’expliquer plus en détail l’HIPAA aux employés.
La meilleure façon d’expliquer l’HIPAA aux employés est d’organiser des sessions spéciales de formation à la conformité. Bien que la réglementation HIPAA stipule que la formation doit être fournie annuellement, nous suggérons qu’il y a tellement de choses à assimiler pour les employés en ce qui concerne la sécurité et la confidentialité des informations de santé personnelles, les sessions de formation à la conformité doivent être courtes et fréquentes. Essayer d’expliquer l’HIPAA aux employés au cours d’une session de formation de quatre heures sera probablement voué à l’échec.
Une grande partie de l’explication tournera autour du maintien de l’intégrité des RPS, mais la façon dont cela sera mis en œuvre aura probablement un impact sur les employés eux-mêmes. Par exemple, les employés ne pourront pas discuter des soins de santé des patients via leur appareil mobile, à moins que les communications ne soient cryptées. En raison du nombre d’établissements de santé mettant en œuvre des politiques BYOD, cela signifiera que les employés devront télécharger des applications de communication sécurisées sur leurs appareils mobiles personnels.
Nouvelles technologies et règles de confidentialité et de sécurité HIPAA
De nouvelles technologies sont constamment développées pour protéger l’intégrité des RPS. La conformité aux règles de confidentialité et de sécurité de l’HIPAA devient chaque jour plus facile grâce à des innovations telles que le filtrage Web, l’archivage sécurisé du courrier électronique et les solutions de messagerie sécurisée.
Le filtrage Web est un excellent mécanisme pour atténuer les risques liés aux logiciels malveillants – en particulier les logiciels malveillants de surveillance qui peuvent enregistrer les frappes au clavier pour obtenir les noms d’utilisateur et les mots de passe. Plusieurs violations de données récentes ont été le résultat de téléchargements de logiciels malveillants – dont plusieurs qui n’auraient pas eu lieu avec la mise en œuvre d’un mécanisme de filtrage Web.
L’archivage sécurisé des e-mails est un autre domaine dans lequel les organisations de soins de santé peuvent améliorer leur posture de sécurité en ligne. Conserver six ans d’emails peut créer un problème de stockage. Cependant, en utilisant un service tiers d’archivage sécurisé des courriels, les organismes de soins de santé libèrent des ressources au sein de leur propre structure informatique tout en se conformant aux règles de confidentialité et de sécurité de l’HIPAA.
Il a été mentionné plus haut dans cet article L’HIPAA expliqué que certaines des modifications les plus récentes de l’HIPAA tiennent compte des risques liés aux politiques de » Bring Your Own Device « . Certains organismes de santé ont éliminé ces risques en mettant en œuvre des solutions de messagerie sécurisée. Ces solutions permettent aux utilisateurs autorisés d’accéder et de communiquer en toute sécurité les ePHI à partir de leurs appareils mobiles personnels via des applications de messagerie sécurisée.
Comme pour tous les fournisseurs de services tiers, il incombe à l’organisme de santé de s’assurer que l’associé commercial est conforme à la HIPAA. Les coûts d’un manquement à la conformité peuvent être substantiels, comme le montre notre infographie HIPAA Expliquée ci-dessous.