« Il y a eu une violation de données. »
Des mots que vous ne voulez jamais entendre, surtout en tant que leader dans le domaine de la santé. Une violation de renseignements personnels de santé protégés non sécurisés (PHI) peut entraîner des pénalités HIPAA, des poursuites judiciaires et un gros mal de tête pour toute l'organisation.
Comprendre la règle de notification de violation HIPAA pourrait faire gagner du temps et de l'argent à votre organisation tout en sauvegardant votre réputation.
Discutons de ce que signifie cette règle et de la manière de s'y conformer.
Qu'est-ce que la règle de notification de violation HIPAA ?
La règle de notification de violation HIPAA exige que les organisations informent les individus concernés et le département américain de la santé et des services sociaux (HHS) lorsqu'un PHI non sécurisé a été compromis.
Le bureau des droits civils (OCR) du HHS enquête sur les violations de la règle mais tend à privilégier les cas de violations impliquant 500 dossiers de patients ou plus.
Quelles sont les exigences de notification de violation HIPAA?
Nous avons couvert votre responsabilité générale envers la règle de notification de violation HIPAA, mais qu'en est-il des détails techniques ? Dans cette section, nous vous aiderons à vous sentir en confiance pour respecter la règle en cas de violation de PHI dans votre organisation.
Chronologie
Tout d'abord, quand une violation doit-elle être signalée ? Pour éviter une amende de l'OCR, les prestataires de soins de santé doivent envoyer des notifications aux individus concernés dans les 60 jours suivant la découverte de la violation.
Cela dit, la règle précise que les organisations ayant subi une violation ne doivent pas avoir de retard déraisonnable dans la notification des parties concernées. Il est recommandé de notifier les personnes concernées dès que possible — idéalement, dès que la découverte de la violation a été confirmée.
Livraison et contenu de la notification
Les notifications d'une violation de PHI non sécurisé doivent être envoyées à chaque individu concerné soit par un avis écrit par courrier de première classe, soit par courriel si l'individu a consenti à être contacté par courriel.
Si les informations de contact de plus de 10 individus concernés sont obsolètes, l'entité couverte doit publier l'avis sur son site web ou diffuser l'avis là où chaque personne réside pendant au moins 90 jours.
La notification doit expliquer :
- Ce qui s'est passé
- Quelles informations ont été compromises
- Comment l'entité répond à la violation
- Comment elle empêchera les violations à l'avenir
Il devrait également fournir des conseils sur la manière dont les personnes concernées peuvent se protéger contre les dommages pouvant résulter de la violation, tels que le vol d'identité.
Notification du HHS et avis aux médias
En plus de notifier les parties concernées d'une violation, les entités couvertes sont tenues de notifier le HHS par le biais d'un rapport de violation. Le délai pour notifier le HHS varie en fonction du nombre de personnes concernées.
Si la violation a affecté moins de 500 personnes, le HHS doit être notifié chaque année — spécifiquement, dans les 60 jours calendaires suivant la fin de l'année au cours de laquelle la violation a été identifiée.
Cependant, si la violation a affecté plus de 500 personnes, le HHS doit être notifié dans les 60 jours suivant la violation. L'entité couverte doit également notifier les médias importants, y compris les médias imprimés et diffusés locaux.
Notification par les associés commerciaux
Dans le cas où un associé commercial est responsable d'une violation de PHI non sécurisée, l'associé joue un rôle actif en aidant l'entité couverte à exécuter la règle de notification de violation. Dans les 60 jours suivant la découverte de la violation, l'associé doit :
- Fournir l'identification de chaque personne concernée à l'entité couverte
- Communiquer autant de détails que possible sur la violation à l'entité couverte.
À partir de là, l'entité couverte est responsable de se conformer à la règle de notification de violation — notifier les individus concernés, notifier le HSS et potentiellement contacter les médias.
Qu'est-ce qui est considéré comme une violation ?
Le HHS définit une violation comme l'utilisation, l'accès ou la divulgation non autorisés de PHI non sécurisée en vertu de la règle de confidentialité qui compromet la sécurité et la confidentialité de ces données.
La règle de confidentialité HIPAA définit la PHI à l'aide de 18 identifiants :
- Noms
- Dates, sauf l'année
- Numéros de téléphone
- Données géographiques
- Numéros de fax
- Numéros de sécurité sociale
- Adresses e-mail
- Numéros de dossiers médicaux
- Numéros de compte
- Numéros de bénéficiaire de plan de santé
- Numéros de certificat/licence
- Identifiants de véhicule, y compris les plaques d'immatriculation
- URLs Web
- Identifiants et numéros de série des dispositifs
- Adresses IP
- Photos de visage complet et images comparables
- Identifiants biométriques (c'est-à-dire, scan rétinien, empreintes digitales)
- Tout numéro ou code d'identification unique
Les vidéos et images contenant des PHI sont également protégées par la règle de confidentialité HIPAA, de même que les PHI stockées électroniquement.
Qu'est-ce qui constitue une PHI non sécurisée ?
La règle ne s'applique que lorsque la PHI non sécurisée est violée. Si vos données sont protégées par des mesures de sécurité strictes mais qu'elles sont quand même compromises, la règle ne s'applique pas à vous. Si elles ne sont pas correctement sécurisées lorsqu'elles sont compromises, elles sont considérées comme non sécurisées.
Par exemple, imaginez qu'un médecin laisse par erreur les dossiers imprimés d'un patient sur une table dans une zone commune — ces PHI ne sont pas sécurisées. Après être retourné pour les récupérer, ils ne sont plus là. Si les dossiers n'ont pas été pris par du personnel autorisé, cela constitue une violation et la règle de notification de violation s'applique.
La meilleure façon d'éviter une violation est de confirmer que vous et vos associés commerciaux sécurisent les PHI par l'utilisation de mesures de protection des données telles que le cryptage et la destruction routinière des PHI. Il est également important de former les employés à la gestion des PHI pour les moments où les documents ne peuvent pas être totalement sécurisés, tels que les transferts de fichiers entre le personnel autorisé.
Le non-respect de la règle de notification de violation après une violation de PHI non sécurisée peut avoir des conséquences assez graves. Prenez l'exemple du réseau de santé de l'Illinois Presence Health. En 2013, des horaires de salle d'opération remplis de données sensibles sur 836 patients ont disparu.
Presence Health n'a pas informé le HHS de la violation avant plus d'un mois après la date limite de 60 jours de la règle de notification des violations de la HIPAA, violant ainsi la règle. Il a fini par régler la violation pour 475 000 $ en 2017.
La condition de "faible probabilité de compromission"
Toute utilisation ou divulgation non autorisée de PHI est considérée comme une violation à moins qu'il ne soit prouvé qu'il y a une "faible probabilité" que le PHI ait été compromis après une évaluation appropriée des risques. Le HHS spécifie quatre facteurs qui doivent être évalués pour déterminer cela :
- La nature et l'étendue du PHI impliqué, y compris les types d'identifiants et la probabilité de réidentification
- La personne non autorisée qui a utilisé le PHI ou à qui la divulgation a été faite
- Si le PHI a effectivement été acquis ou consulté
- La mesure dans laquelle le risque pour le PHI a été atténué
Cette évaluation ne devrait être effectuée que si l'entité couverte par la HIPAA n'est pas sûre que le PHI a été compromis. Si une violation semble évidente, les facteurs ci-dessus ne doivent pas être évalués et toutes les parties concernées doivent être informées.
Quelles sont les exceptions de violation?
Il existe quelques scénarios qui relèvent techniquement de la définition d'une violation, mais le HHS leur accorde une certaine clémence. Les trois exceptions de violation sont :
- Accès ou utilisation involontaire de PHI par un employé, effectué de bonne foi et dans le cadre de son autorité
- Divulgation accidentelle de PHI entre des personnes autorisées
- L'organisation croit avec confiance que la personne qui a obtenu ou accédé au PHI ne conservera pas ou ne compromettra pas les données
Si l'une des trois exceptions est vraie, alors le PHI n'est pas considéré comme "violé" et l'entité couverte n'est pas tenue de notifier les parties affectées ou le HHS en vertu de la règle de notification des violations.
Comment Secureframe peut vous aider à rester conforme à la HIPAA et à éviter les violations de règles
Secureframe vous enlève le stress de la protection du PHI de votre organisation. En formant vos employés aux exigences et meilleures pratiques de la HIPAA, en suivant les fournisseurs et associés qui ont accès au PHI, et en surveillant vos propres mesures de protection du PHI, vous pouvez être sûr que votre risque de violation est à un minimum.
En savoir plus sur l'automatisation de la conformité HIPAA avec Secureframe aujourd'hui.
FAQs
Qu'est-ce que la règle de notification des violations pour la HIPAA?
La règle de notification des violations, dans le cadre de la Health Insurance Portability and Accountability Act (HIPAA), exige que les entités couvertes et leurs partenaires commerciaux notifient les personnes affectées, le secrétaire du Health and Human Services (HHS), et dans certains cas, les médias, après la découverte d'une violation de PHI non sécurisé. Une violation est définie comme l'acquisition, l'accès, l'utilisation ou la divulgation non autorisée de PHI qui compromet la sécurité ou la confidentialité de ces informations, sauf si une personne non autorisée à qui cette information est divulguée n'aurait raisonnablement pas pu conserver cette information.
Quelle est la définition d'une violation selon la HIPAA?
Une violation est une utilisation ou une divulgation non autorisée selon la règle de confidentialité HIPAA qui compromet la sécurité ou la confidentialité des informations de santé protégées (PHI) non sécurisées. Non sécurisé signifie que les PHI n'ont pas été rendues inutilisables, illisibles ou indéchiffrables pour des personnes non autorisées.
Qu'est-ce qui n'est pas considéré comme une violation HIPAA ?
Il existe trois exceptions à la définition de « violation » :
1. Acquisition, accès ou utilisation involontaire des PHI par un membre du personnel ou une personne agissant pour le compte d'une entité couverte ou d'un associé commercial, à condition que ces actions aient été effectuées de bonne foi et dans le cadre de l'autorité
2. Divulgation involontaire par une personne autorisée à accéder aux PHI dans une entité couverte ou un associé commercial, à une autre personne ayant une autorisation similaire au sein de la même entité couverte, associée commerciale ou accord médical organisé
3. Si l'entité couverte ou l'associé commercial pense que le destinataire non autorisé des PHI divulguées n'aurait pas été en mesure de conserver les informations
Quand les entités couvertes doivent-elles notifier une violation aux médias ?
Suite à une violation des informations de santé protégées non sécurisées affectant plus de 500 résidents d'un État ou d'une juridiction, les entités couvertes doivent informer les médias importants desservant cet État ou cette juridiction — en plus de notifier les individus concernés et le secrétaire de HHS.
Quelles sont les exigences réglementaires en matière de notifications pour les violations de données ?
Les exigences réglementaires pour les notifications en cas de violation de données selon la règle de notification de violation HIPAA incluent :
- Notification aux individus : Les entités couvertes doivent notifier rapidement les individus concernés d'une violation, au plus tard 60 jours après la découverte de la violation. Les notifications doivent inclure, dans la mesure du possible, une description de la violation, les types d'informations impliquées, les mesures que les individus doivent prendre pour se protéger, ce que l'entité couverte fait pour enquêter et atténuer la violation, et les coordonnées de l'entité couverte.
- Notification au secrétaire de HHS : Les entités couvertes doivent notifier le secrétaire de HHS de toutes les violations des PHI non sécurisées. Les violations affectant 500 individus ou plus doivent être signalées sans retard injustifié et en aucun cas plus tard que 60 jours après la découverte de la violation. Les violations affectant moins de 500 individus peuvent être signalées annuellement.
- Notification aux médias : Dans les cas où une violation affecte plus de 500 résidents d'un État ou d'une juridiction, les entités couvertes doivent également notifier les médias importants au sein de cet État ou de cette juridiction, au plus tard 60 jours après la découverte de la violation.
- PHI non sécurisées : Les exigences de notification s'appliquent spécifiquement aux PHI non sécurisées, c'est-à-dire des PHI qui n'ont pas été rendues inutilisables, illisibles ou indéchiffrables pour les individus non autorisés grâce à l'utilisation d'une technologie ou méthodologie spécifiée par le secrétaire de HHS.