Se conformer à toutes les exigences de l'HIPAA est un défi majeur - comprendre les cas particuliers et les exemptions ajoute une couche supplémentaire de complexité et de stress. Pour vous aider, nous avons résumé les principales exemptions à la Loi sur la Portabilité et la Responsabilité de l'Assurance Maladie et les exceptions à ses règles.

Exceptions générales HIPAA

La plupart des exceptions HIPAA sont des cas extrêmement spécifiques, tels que lorsque l'HIPAA pourrait contredire la loi de l'État ou d'autres réglementations. Un exemple est celui des universités d'enseignement où un établissement éducatif pourrait fournir des services de santé au public. Une autre exception concerne les médecins militaires qui peuvent être tenus de divulguer des informations de santé protégées (PHI) lors d'un rapport sur l'aptitude d'un patient au service. D'autres exceptions s'appliquent aux séances de psychothérapie lorsque les lois de l'État exigent que les thérapeutes avertissent d'un danger imminent ou signalent des cas d'abus.

En outre, les institutions financières, y compris les banques et les processeurs de paiement, sont actuellement exemptées de l'HIPAA. Les entités couvertes doivent être attentives à la façon dont les paiements directs des patients sont traités pour garantir le respect de la règle du minimum nécessaire.

Dans la plupart des cas, lorsque l'HIPAA contredit la loi de l'État, l'HIPAA prévaut - sauf si la loi de l'État prévoit des dispositions de protection des données ou des droits des patients plus stricts. Si jamais vous n'êtes pas sûr que les règles de l'HIPAA s'appliquent, il est préférable de consulter un avocat spécialisé en soins de santé ou un professionnel de la conformité HIPAA.

Exceptions à la définition des informations de santé protégées (PHI)

La législation HIPAA s'applique aux entités couvertes et aux associés commerciaux. Toute information de santé protégée (PHI) créée, stockée, accédée ou transmise par ces organisations de soins de santé est protégée par l'HIPAA. Mais entre les mains d'une autre entreprise, cette même information peut ne pas être considérée comme des PHI et ne serait pas protégée par l'HIPAA.

Par exemple, une application de fitness qui suit la fréquence cardiaque d'un utilisateur, les habitudes de sommeil, les niveaux d'activité ou la consommation de calories ne constitue pas des PHI.

Voici quelques autres exemples où les données de santé ne sont pas classées comme PHI :

  • Demandes de rendez-vous : Les noms et numéros de téléphone des patients potentiels qui appellent pour prendre rendez-vous ne sont pas considérés comme des PHI, car aucune information de santé n'y est associée. Une fois que cette personne devient officiellement un patient, cependant, ces données deviennent des PHI et sont protégées.
  • Dossiers des employés et des étudiants : Tous les dossiers concernant la santé des employés ou des étudiants, y compris les allergies connues, le groupe sanguin ou les handicaps, ne sont pas considérés comme des PHI.
  • Appareils portables : Les données collectées par les appareils portables, y compris les moniteurs de fréquence cardiaque ou les montres intelligentes, ne sont pas des informations de santé protégées (PHI).
  • Applications de santé et de fitness : Les données collectées par une application mobile de fitness ou de santé ou y étant saisies ne sont pas des PHI.
  • PHI non identifié : Les données de santé dont tous les identifiants personnels ont été supprimés et qui ne peuvent pas être liées à une personne spécifique ne sont plus considérées comme des PHI. Les organisations utilisent parfois les PHI non identifiés à des fins statistiques ou de recherche.

Exceptions à la règle de confidentialité HIPAA

Dans des circonstances très spécifiques, la règle de confidentialité HIPAA permet aux entités couvertes d'utiliser et/ou de divulguer des informations de santé personnelles sans autorisation du patient. En général, ces cas impliquent le traitement, le paiement et les opérations de santé d'un fournisseur de soins de santé (TPO). D'autres exceptions incluent des cas d'intérêt public.

Par exemple :

  • Réglementations sanitaires et licences
  • Santé publique (comme le signalement à un département de santé de l'État ou aux CDC)
  • Recherche médicale
  • Compensation des travailleurs
  • Procédures légales et objectifs de maintien de l'ordre
  • Pour informer les proches parents, identifier un corps, déterminer la cause du décès ou pour un médecin légiste/coroner

Même dans ces situations, les divulgations doivent être documentées dans un journal de comptabilité des divulgations.

Exceptions à la règle de notification de violation HIPAA

Il existe quelques scénarios qui techniquement entrent dans la définition d'une violation, mais pour lesquels le département américain de la Santé et des Services sociaux (HHS) accorde des exceptions. Ceux-ci incluent :

  • Accès ou utilisation non intentionnels des PHI par un employé, fait de bonne foi et dans le cadre de son autorité
  • Divulgation accidentelle de PHI entre des personnes autorisées
  • L'organisation croit fermement que la personne qui a obtenu ou accédé aux PHI ne conservera pas ou ne compromettolles les données

Si l'une des trois exceptions est vérifiée, les PHI ne sont pas considérées comme « violées » et l'entité couverte n'est pas tenue de notifier les parties affectées ou le HHS en vertu de la règle de notification des violations.

Exceptions à la règle du minimum nécessaire HIPAA

Le HHS énumère six exceptions à la règle du minimum nécessaire :

  • Les prestataires de soins de santé faisant des demandes de PHI pour fournir un traitement à un patient
  • Les patients demandant des copies de leurs propres dossiers médicaux
  • Demandes de PHI lorsqu'il existe une autorisation valide
  • Demandes de PHI nécessaires pour se conformer à la règle des transactions HIPAA ou à d'autres règles de simplification administrative HIPAA
  • Demandes de divulgation de PHI au HHS pour enquête sur les plaintes, examen de la conformité ou application
  • Demandes de PHI autrement exigées par la loi

FAQ

Qu'est-ce qui est exempt de HIPAA?

La loi HIPAA ne couvre pas toutes les informations de santé ni toutes les entités qui traitent des informations liées à la santé. Certaines exemptions incluent :

  • Entités non couvertes : Les entités qui ne sont pas des prestataires de soins de santé, des régimes de santé ou des centres de traitement des soins de santé et qui ne répondent pas autrement à la définition d'un partenaire commercial ne sont pas couvertes par la loi HIPAA. Cela inclut les employeurs, les compagnies d'assurance-vie (lorsqu'elles n'agissent pas en tant que régimes de santé), les transporteurs de compensation des travailleurs, de nombreuses écoles et districts scolaires, de nombreuses agences d'État comme les services de protection de l'enfance et de nombreuses agences des forces de l'ordre.
  • Informations de santé anonymisées : Les informations auxquelles toutes les informations personnellement identifiables ont été supprimées, conformément aux normes de la règle de confidentialité de la loi HIPAA pour l'anonymisation, ne sont pas couvertes par la loi HIPAA. Il existe deux méthodes pour atteindre l'anonymisation : la méthode de détermination par un expert et la méthode du port sûr.
  • Dossiers d'emploi : Les dossiers d'emploi détenus par une entité couverte dans son rôle d'employeur sont exemptés de la loi HIPAA. Cela inclut les informations liées à l'emploi que l'entité couverte conserve dans son département des ressources humaines.
  • Dossiers éducatifs : Les dossiers couverts par la loi sur les droits éducatifs et la confidentialité de la famille (FERPA) sont exemptés de la loi HIPAA. Cela inclut les dossiers éducatifs tels que les notes et les relevés de notes qui sont directement liés à un étudiant et conservés par un établissement d'enseignement ou une partie agissant en son nom.

Quelles sont les trois exceptions à la définition de violation ?

En vertu de la règle de notification des violations HIPAA, il existe des situations spécifiques dans lesquelles une utilisation ou une divulgation non autorisée d'informations de santé protégées (PHI) n'est pas considérée comme une violation. Ces exceptions sont :

  • Acquisition, accès ou utilisation non intentionnelle par des membres du personnel : Si un membre du personnel d'une entité couverte ou d'un partenaire commercial acquiert, accède ou utilise involontairement des PHI de bonne foi et dans le cadre de ses attributions, et que l'information n'est pas ultérieurement utilisée ou divulguée d'une manière non autorisée par la règle de confidentialité, cela n'est pas considéré comme une violation.
  • Divulgation accidentelle entre personnes autorisées à accéder aux PHI : Si la divulgation non autorisée de PHI se produit accidentellement entre deux individus qui sont tous deux autorisés à accéder aux PHI auprès de la même entité couverte ou partenaire commercial (ou organisation de soins de santé organisée), et que l'information n'est pas ultérieurement utilisée ou divulguée d'une manière non autorisée par la règle de confidentialité, cela n'est pas considéré comme une violation.
  • Divulgation à une personne non autorisée où les PHI ne sont pas ultérieurement divulguées : Si une entité couverte ou un partenaire commercial divulgue des PHI à une personne non autorisée, mais que l'entité ou le partenaire considère de bonne foi que la personne non autorisée à qui la divulgation a été faite n'a pas raisonnablement été en mesure de conserver l'information, cela n'est pas considéré comme une violation.