La Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) est une législation historique qui a changé l'industrie des soins de santé aux États-Unis en modernisant la manière dont les données privées des patients sont collectées, stockées, accessibles et partagées.

Ci-dessous, nous plongeons dans l'histoire de la HIPAA, y compris qui l'a créée, pourquoi, quand elle est devenue une loi et comment elle a évolué au cours des dernières décennies.

Quelle est la loi HIPAA ?

HIPAA est une loi fédérale américaine qui établit des normes de sécurité de l'information auxquelles tous les prestataires de soins de santé, les régimes de santé, les centres de traitement des soins de santé et les partenaires commerciaux des entités couvertes par la HIPAA doivent adhérer.

Se conformer à la loi HIPAA exige des entités couvertes qu'elles mettent en place des mesures de protection pour sécuriser et protéger les données sensibles des patients, connues sous le nom d'informations de santé protégées (PHI).

Quand la HIPAA est-elle devenue une loi ?

La HIPAA a été promulguée le 21 août 1996.

Qui a créé la HIPAA ?

Le Congrès des États-Unis et le président Bill Clinton ont adopté la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) en 1996.

La législation originale a considérablement évolué depuis lors. À partir de 2000, le Département de la Santé et des Services sociaux des États-Unis (HHS) a émis plusieurs règles pour aider les organisations de soins de santé et leurs partenaires commerciaux à mettre en œuvre les exigences de la HIPAA. Celles-ci incluent :

• Règle de confidentialité régule l'utilisation et la divulgation des informations des patients
• Règle de sécurité établit des mesures de sécurité physiques, techniques et administratives
• Règle de notification des violations établit des directives sur la manière et le moment de signaler les violations
• Règle d'application fournit des instructions pour réguler la responsabilité et imposer des sanctions pour les violations
• Règle Omnibus décrit la manière dont les associés commerciaux doivent gérer les informations de santé protégées (PHI)

Où s'applique HIPAA?

HIPAA s'applique à toutes les entités couvertes (fournisseurs de soins de santé, régimes de santé et chambres de compensation de soins de santé) et à leurs associés commerciaux opérant aux États-Unis.

Il existe des situations où elle peut s'appliquer également à l'international. Lorsqu'une entreprise opérant en dehors des États-Unis travaille avec des entreprises qui ont accès aux informations de santé des résidents américains, HIPAA peut s'appliquer.

Pourquoi HIPAA a-t-il été créé?

HIPAA a été créé pour améliorer la portabilité et la responsabilité de la couverture d'assurance maladie.

• Portabilité fait référence à la garantie de la couverture d'assurance maladie pour les employés qui sont entre deux emplois. Sans HIPAA, les individus dans cette situation pourraient se retrouver sans accès à une assurance maladie et peut-être être incapables de payer les soins de santé nécessaires.
• Responsabilité fait référence à la prévention de la fraude et de l'abus dans les soins de santé en gardant les informations de santé protégées (PHI) en sécurité. Les règles et exigences HIPAA obligent les organisations de soins de santé à rendre des comptes pour les données qu'elles stockent, manipulent, accèdent et transfèrent.

Chronologie historique HIPAA

Depuis l'adoption de HIPAA en 1996, la législation a évolué pour suivre les nouvelles technologies, la croissance exponentielle des données de santé et les menaces cybernétiques de plus en plus sophistiquées. Ci-dessous, nous plongeons dans la chronologie de HIPAA depuis sa création.

• Août 1996 : le président Bill Clinton a signé HIPAA en loi.
• Novembre 1999 : le Département de la Santé et des Services sociaux (HHS) a publié une proposition de règle de confidentialité HIPAA pour commentaires publics.
• Décembre 2000 : le HHS a publié une règle définitive de confidentialité.
• Août 2002: HHS a publié des modifications à la règle de confidentialité.
• Février 2003: HHS a publié une règle de sécurité finale.
• Avril 2003: L'application de la règle de confidentialité a commencé pour la plupart des entités couvertes par la HIPAA. Les petits régimes de santé ont reçu une année supplémentaire pour se conformer.
• Avril 2003: HHS a émis la règle d'application comme règle intermédiaire finale pour expliquer comment HHS mènerait des enquêtes sur les plaintes contre les entités couvertes par la HIPAA.
• Avril 2005: L'application de la règle de sécurité a commencé pour la plupart des entités couvertes par la HIPAA. Les petits régimes de santé ont reçu une année supplémentaire pour se conformer.
• Février 2006: HHS a publié une règle d'application finale.
• Février 2009: La loi HITECH a été promulguée sous le titre XIII de la loi américaine sur la relance et le réinvestissement pour renforcer les protections de la confidentialité et de la sécurité des informations de santé établies par la HIPAA.
• Avril 2009: HHS a sollicité des commentaires publics sur les dispositions de notification de violation de la loi HITECH.
• Juillet 2009: Le Bureau des droits civils de HHS est devenu responsable de l'application de la règle de sécurité ainsi que de la règle de confidentialité.
• Août 2009: HHS a publié une règle de notification des violations finale.
• Juillet 2010: HHS a proposé des modifications aux règles de confidentialité, de sécurité et d'application en vertu de la loi HITECH.
• Janvier 2013: HHS a publié des modifications aux règles de confidentialité, de sécurité, de notification des violations et d'application en vertu de la loi HITECH. Ces modifications sont collectivement connues sous le nom de règle Omnibus.
• Septembre 2013: Les entités couvertes et les associés commerciaux doivent se conformer à la règle Omnibus.
• Janvier 2021: HHS a proposé des modifications à la règle de confidentialité pour améliorer les soins coordonnés. La période de consultation a été prolongée jusqu'à mai 2021. Ces modifications sont toujours à l'étude au moment de cette publication.

Normes supplémentaires qui complètent la HIPAA

Au fil des ans, HHS et d'autres organisations ont publié des normes supplémentaires qui développent la HIPAA ou aident les entités couvertes à répondre aux exigences et réglementations de la HIPAA.

HITECH

La loi sur la technologie de l'information en santé pour la santé économique et clinique (loi HITECH) a été promulguée en vertu du titre XIII de la loi américaine de relance et de réinvestissement (ARRA) de 2009. Elle visait à promouvoir l'adoption et la standardisation généralisées de la technologie de l'information en santé. Pour soutenir cet objectif, elle comprenait des amendements visant à renforcer les protections de la confidentialité et de la sécurité des informations de santé établies par la HIPAA ainsi que des incitations pour les entités couvertes à mettre en œuvre des dossiers de santé électroniques.

HITRUST CSF

En 2007, l'Alliance Health Information Trust (HITRUST) a été formée pour fournir clarté et cohérence aux organisations devant se conformer à plusieurs lois sur la confidentialité et la sécurité des données, y compris HIPAA, ISO 27001, NIST et PCI DSS, entre autres. En 2009, ils ont publié un cadre de sécurité commun (HITRUST CSF) pour aider les organisations de santé et leurs fournisseurs à démontrer leur sécurité et leur conformité de manière cohérente et rationalisée.

Bien qu'il ait été développé pour compléter HIPAA, HITRUST CSF a été adopté à l'échelle mondiale par des organisations dans presque toutes les industries.

Comment Secureframe peut vous aider à rester conforme à HIPAA

Comme l’histoire de HIPAA le montre, l'avenir de la conformité continuera d'évoluer avec les nouvelles technologies et les menaces cybernétiques.

Des entreprises comme Secureframe peuvent aider à garantir que votre entreprise est à jour avec les dernières règles et réglementations HIPAA.

Avec des experts HIPAA en interne, vous serez informé de toute mise à jour HIPAA pouvant vous concerner. La collecte automatique de preuves de Secureframe enverra également des alertes en temps réel pour toute non-conformité afin que vous puissiez maintenir la conformité HIPAA avec moins de stress pour votre équipe.