Qu'est-ce que la règle de notification des violations de la HIPAA ?

La règle de notification des violations de la HIPAA est un ensemble de règlements émis par le département américain de la Santé et des Services sociaux (HHS) qui oblige les entités couvertes et leurs partenaires commerciaux à notifier les individus, le HHS et, dans certains cas, les médias lorsqu'il y a une violation des informations de santé protégées non sécurisées (PHI). La règle de notification des violations a été créée dans le cadre de la loi sur la technologie de l'information de santé pour la santé économique et clinique (HITECH), qui a amendé la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) de 1996.

La règle de notification des violations définit une violation comme l'acquisition, l'accès, l'utilisation ou la divulgation non autorisée de PHI qui compromet la sécurité ou la confidentialité de la PHI. Les entités couvertes et leurs partenaires commerciaux sont tenus de mener une évaluation des risques pour déterminer si une violation s'est produite et, le cas échéant, si une notification est requise.

Si une violation des PHI non sécurisées concerne 500 personnes ou plus, les entités couvertes sont tenues de notifier ces personnes, le HHS et les médias (dans certains cas) sans retard déraisonnable, mais au plus tard 60 jours après la découverte de la violation. Si une violation concerne moins de 500 personnes, les entités couvertes sont tenues de notifier ces personnes dans les 60 jours suivant la fin de l'année civile au cours de laquelle la violation s'est produite.

La règle de notification des violations oblige également les entités couvertes et leurs partenaires commerciaux à conserver la documentation des violations et de leurs réponses pendant au moins six ans. Le non-respect de la règle de notification des violations peut entraîner des pénalités et des amendes importantes imposées par le HHS.