La loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) est une loi fédérale américaine visant à protéger les données de santé sensibles des patients. Le principal objectif de conformité de l’HIPAA est de sécuriser les informations de santé des personnes sans nuire à la libre circulation des informations nécessaires pour fournir aux patients des soins de santé de qualité.
Bien que cette loi soit entrée en vigueur en 1996, l’Office for Civil Rights du ministère américain de la santé et des services sociaux continue d’enregistrer des milliers de cas de violation. Cet article présente les aspects essentiels de l’HIPAA et de la règle de confidentialité. Les précautions que vous devez prendre en tant que prestataire de soins, agence de régime de santé ou associé commercial pour éviter les sanctions.
Qu’est-ce que le Health Insurance Portability and Accountability Act (HIPAA) ?
Il y a 24 ans, le 21 août 1996 précisément, le président Bill Clinton signait la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Public Law 104-191). La loi Kennedy-Kassebaum (autre nom de l’HIPAA) se compose de cinq titres. Les titres I, III, IV et V de l’HIPAA traitent des plans de santé, de la couverture d’assurance, de l’épargne médicale et des questions fiscales. Mais le titre II de l’HIPAA se concentre sur le renforcement de la sécurité des données afin de prévenir la fraude et l’abus des informations relatives aux patients. Les règles de simplification administrative, un sous-ensemble du titre II, semblent être la disposition la plus importante. Elle énonce les directives relatives au traitement des informations de santé protégées.
Qu’est-ce que la règle de confidentialité de la conformité à l’HIPAA ?
HIPAA Compliance Privacy Rule, également appelé “Standards for Privacy of Individually Identifiable Health Information”. L’HIPAA traite de l’utilisation et de la divulgation des informations de santé par certaines entités ou organisations. Depuis le début du mois d’avril 2003, les entités sont tenues de démontrer leur conformité à ces règles. Dans le cadre de cet article, le terme “entités couvertes” fera référence aux organisations et aux individus visés par la règle.
Comme le Règlement général sur la protection des données (RGPD), la règle de confidentialité de l’HIPAA contient des exigences concernant le droit des personnes à comprendre comment leurs informations médicales sont utilisées et à contrôler cette utilisation. Les entités couvertes peuvent obtenir et utiliser les informations médicales de manière judicieuse mais ne doivent pas divulguer ou transférer ces données sans autorisation.
Quelles sont les “entités couvertes” en vertu de l’HIPAA ?
La règle de confidentialité englobe une catégorie sélectionnée de personnes et d’organisations. Il s’agit de :
- Les prestataires de soins de santé : Quelle que soit la taille de l’entreprise, les prestataires de soins de santé qui transmettent des informations médicales par voie numérique dans le cadre de transactions spécifiques sont tenus de respecter la règle de confidentialité. Ces transactions comprennent les demandes de remboursement, les enquêtes sur l’éligibilité aux prestations, etc., et d’autres transactions énoncées dans la règle de transaction de l’HIPAA. Les prestataires de soins de santé comprennent les prestataires institutionnels (tels que les hôpitaux) et les prestataires non institutionnels (y compris les médecins, les dentistes, etc.).
- Les fournisseurs de plans de santé : Les plans de santé sont des produits courants dans le monde d’aujourd’hui. Ils sont parfois gérés par des compagnies d’assurance maladie ou parrainés par le gouvernement. Les plans de santé collectifs parrainés par l’employeur font également partie des fournisseurs de plans de santé. Un plan de santé peut être un plan de soins visuels, dentaires ou médicaux généraux. Pour les entités ou les organisations qui prennent en charge le coût des soins de santé, la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) a établi des directives de conformité pour guider leur utilisation des informations de santé des patients qui sont à leur portée. Parallèlement, il existe certaines exceptions aux plans de santé couverts par la règle. Par exemple, les plans de santé de groupe qui ne comptent pas plus de 50 participants n’entrent pas dans cette catégorie. Certains plans parrainés par le gouvernement ne font pas non plus partie de cette catégorie. Il s’agit de : – (a) Les plans de santé qui ne fournissent pas le coût direct des soins de santé, par exemple, les programmes de coupons alimentaires. – (b) Les programmes qui fournissent directement des soins de santé, comme les centres de santé communautaires.
- Les centres d’échange d’informations sur les soins de santé sont des organismes tiers, publics ou privés, qui transforment des transactions ou des données non standard en éléments de données ou en transactions standard. Le plus souvent, les centres d’échange d’informations sur la santé reçoivent des données sur la santé lorsqu’ils fournissent des services aux prestataires de soins de santé ou aux plans de santé en tant qu’associés commerciaux. Les services de facturation, les systèmes d’information sur la gestion de la santé communautaire, les sociétés de refacturation, etc. sont des exemples de centres d’échange de données sur la santé.
Quand la divulgation des données est-elle “obligatoire” ?
À l’instar de la loi sur l’accessibilité des communications et des vidéos (CVAA), la loi sur la portabilité et la responsabilité en matière d’assurance maladie offre une certaine souplesse dans ses règles de confidentialité. Autant il est interdit aux entités de divulguer les données des patients, autant les normes de confidentialité de l’HIPAA prévoient deux exceptions.
Lorsque la divulgation de données relatives à la santé est nécessaire, la première occasion est lorsqu’un individu possédant les données en question demande à être informé. Si le service de santé humaine demande des informations sur les données dans le cadre d’une enquête de conformité ou d’un processus d’application, l’HIPAA exige la divulgation de ces informations.
La règle générale en matière d’informations sur la santé est que les données sur la santé sont “admissibles” de manière responsable et autorisée. Cependant, à toute règle générale, il y a des exceptions. Il s’ensuit donc que la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) permet aux entités d’utiliser et de divulguer des informations sensibles sur la santé sans l’autorisation de la personne concernée dans certaines situations et à des fins spécifiques, dont les suivantes
- Les opérations de soins de santé, y compris le traitement ou l’orientation vers un traitement, le paiement ou le remboursement d’un service de soins de santé, etc.
- Lorsque l’intérêt public est en jeu, en particulier s’il est lié à l’un des 12 objectifs prioritaires nationaux (application de la loi, ordonnance d’un tribunal, procédures administratives ou judiciaires, en cas d’abus, de négligence ou de violence domestique, objectif de recherche, etc.) Par ailleurs, il n’existe aucune restriction à la divulgation ou à l’utilisation de renseignements médicaux dépersonnalisés, c’est-à-dire de renseignements médicaux qui ne fournissent aucun motif raisonnable d’identification. La désidentification peut se faire par la suppression d’identifiants clés spécifiques de l’individu. Un statisticien qualifié peut être nécessaire pour déterminer le processus de désidentification.
Liste de contrôle de la conformité HIPAA pour les sites web
La règle de sécurité HIPAA est une réglementation sœur de la règle de confidentialité. La principale différence entre les deux est que la règle de sécurité traite strictement des informations de santé que les entités couvertes créent, reçoivent, sauvegardent ou transmettent par voie électronique. La règle de sécurité désigne ces données sous le nom “d’informations sanitaires protégées par voie électronique” (e-PHI). ” En règle générale, les entités couvertes doivent préserver la confidentialité de toutes les informations de santé protégées par voie électronique (e-PHI) lorsqu’elles les créent, les reçoivent, les transmettent ou les stockent.
À notre époque, la collecte, le traitement et le rassemblement des données se font sur l’internet, et les données relatives aux soins de santé ne font pas exception. Les systèmes de santé utilisent des dossiers médicaux électroniques (DME) et d’autres applications cliniques qui comportent des risques potentiels pour la sécurité. Si tel est le cas, les établissements de soins de santé (hôpitaux et centres d’échange) et les prestataires de soins de santé doivent protéger les “informations de santé identifiables individuellement.”
L’internet étant le point d’accès de base incontesté aux données, les entités couvertes par l’HIPAA. HIPAA Privacy Rule doivent exploiter des sites Web sûrs et sécurisés. Les points suivants sont des considérations utiles sur la liste de contrôle de conformité des sites Web HIPAA.
Liste de contrôle de la conformité HIPAA
- Obtenez une protection SSL : Le protocole SSL (Secure Sockets Layer) est une valeur sûre pour les sites de commerce électronique qui recueillent les coordonnées des utilisateurs. En s’appuyant sur le cryptage SSL, les entités couvertes peuvent s’assurer que toutes les données enregistrées et transmises sur leur site web restent sécurisées et privées. En outre, un certificat SSL renforce la confiance en vous. En effet, il établit votre identité tout en renforçant la sécurité entre les réseaux ou les appareils. Un certificat SSL (Secure Server Layer) protège un large éventail d’informations. Il s’agit notamment de dossiers médicaux, d’identifiants de connexion, d’informations personnelles identifiables, du nom, de l’adresse du domicile, du numéro de téléphone et d’une carte de crédit ou d’informations bancaires.
- Activez le cryptage complet des données : Le cryptage des données stockées est un bon moyen de s’assurer que des personnes non autorisées n’interfèrent pas avec les informations sensibles des clients.
- Mettez fréquemment à jour les identifiants de connexion : Une bonne pratique de sécurité web consiste à changer les identifiants de connexion aussi souvent que possible pour renforcer fréquemment la sécurité.
- Limitez le contrôle d’accès aux membres de l’équipe et, en cas de besoin, aux contractants. En tant que meilleure pratique, l’accès au compte principal doit être confidentiel pour une personne, quelle qu’elle soit.
- Mettez à jour les logiciels de sécurité et les pare-feu
- Créez un protocole de violation des données pour parer à toute éventualité
- Assurez une sauvegarde complète des données malgré le cryptage des données et la sécurité des pare-feu.
Comment se conformer à la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) ?
Se conformer à la loi HIPAA est une obligation éthique. Elle permet non seulement de préserver la réputation de l’organisation, mais aussi d’éviter des amendes exorbitantes en cas de violation. Depuis sa promulgation, le Bureau américain des droits civils a imposé des sanctions monétaires qui ne sont pas inférieures à 135 millions USD. Il est intéressant de noter que la conformité à l’HIPAA n’est pas impossible, à condition que vous soyez déterminé à le faire.
- Créez une sensibilisation en interne : “Une maison divisée contre elle-même ne tiendra pas” est un adage pertinent pour la mise en conformité avec la règle de sécurité de l’HIPAA. Veillez à ce que l’effort de votre organisation pour mettre en œuvre ces directives se concrétise. Grâce à l’orientation et à la formation continue, votre équipe sera mieux placée pour se conformer à toutes les réglementations nécessaires.
- Désignez un responsable de la protection de la vie privée : Une tâche pour tout le monde peut finir par ne plus être une tâche pour personne. Les informations de santé protégées (PHI) des clients sont des données sensibles que votre agence doit surveiller de près. Le meilleur homme pour ce travail est un responsable de la confidentialité qui investit son temps et ses ressources dans cette responsabilité sacrée. En plus de superviser les données des clients, le responsable de la protection de la vie privée doit également élaborer et mettre en œuvre des politiques et des procédures pour protéger la confidentialité des données.
- Effectuez une évaluation périodique des risques : La règle de sécurité encourage les organisations concernées à effectuer une évaluation des risques afin d’évaluer les menaces de sécurité probables sur l’e-HPI. L’évaluation périodique des risques a ceci de positif qu’elle renforce la sécurité en vous informant d’un danger potentiel et en vous protégeant contre celui-ci. Mieux vaut prévenir que guérir.
Conclusion
La loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) a défini des lignes directrices visant à protéger les données médicales des patients contre les fraudes et les abus sans nuire à la qualité des soins de santé. Les entités concernées doivent donc démontrer qu’elles respectent les diverses règles de l’HIPAA aux niveaux administratif, technique et physique pour obtenir des résultats efficaces. Compte tenu de l’augmentation du taux de cybercriminalité, les prestataires de soins de santé, les établissements de santé et les partenaires commerciaux doivent mettre en œuvre des pratiques de sécurité Internet solides. Cela inclut la protection SSL, le cryptage des données et la mise en place d’un protocole de violation des données. Comprendre les directives et réglementations internationales les plus importantes en 2021, telles que le RGPD, le CVAA et le WCAG.