La règle HIPAA Omnibus, entrée en vigueur en 2013, est la règle finale du ensemble de prescriptions fixées par la législation HIPAA. Promulguée par le Bureau des droits civils (OCR) en réponse à la loi sur la technologie de l'information sur la santé pour la santé économique et clinique (HITECH) et la loi sur la non-discrimination génétique (GINA), la règle Omnibus comprend des amendements aux règles HIPAA précédentes pour améliorer la confidentialité et la sécurité lors du partage des données entre les prestataires de soins de santé. La règle Omnibus fournit un document qui inclut toutes les exigences de conformité pour HIPAA et HITECH.

L'un des points clés de la législation HIPAA est de donner aux patients un plus grand contrôle sur qui peut accéder à leurs dossiers médicaux et quand. En vertu de la règle Omnibus, les entités couvertes doivent se conformer à la demande d'un patient d'accéder ou de partager leurs dossiers médicaux.

En outre, la règle Omnibus exige que les prestataires de soins de santé maintiennent des accords d'associations commerciales mis à jour pour s'assurer que les associés commerciaux se conforment à la règle de sécurité et à la règle de confidentialité HIPAA.

Comment la règle Omnibus affecte les associés commerciaux

La loi HITECH rend les associés commerciaux et les sous-traitants directement responsables de leur propre conformité à la HIPAA. Auparavant, les associés commerciaux signaient un accord d'association commerciale (BAA) pour définir clairement ce qu'ils peuvent et ne peuvent pas faire avec les PHI, et les entités couvertes étaient tenues responsables de toute non-conformité de la part de leurs associés commerciaux.

La règle Omnibus rend ces exigences de conformité exécutoires pour les associés commerciaux (BAs) — les associés commerciaux sont désormais soumis à leurs propres audits et amendes pour non-conformité par le ministère de la Santé et des Services sociaux des États-Unis (HHS). Les entités couvertes sont toujours responsables d'obtenir des assurances appropriées de leurs associés commerciaux qu'ils se conforment à la HIPAA.

Enfin, la règle Omnibus exige que les entités couvertes et les associés commerciaux maintiennent et distribuent des avis de pratiques de confidentialité mis à jour.

Comment la règle Omnibus affecte les autres règles HIPAA

La règle Omnibus modifie les autres règles HIPAA de plusieurs manières :

La règle de confidentialité HIPAA

La règle Omnibus étend les protections aux informations de santé protégées (PHI) qui sont :

  • Utilisées à des fins de marketing ou de collecte de fonds
  • Vendus sans consentement exprès du patient. Les PHI ne peuvent plus être vendus sans l'autorisation directe du patient.
  • Partagé pendant le traitement ou le paiement des soins
  • Faisant partie d'un dossier de vaccination d'un étudiant
  • Classées comme informations génétiques

La règle Omnibus garantit également le droit d'un patient de restreindre la divulgation des PHI aux plans de santé et de consulter leur propre PHI électronique (ePHI).

La règle de notification de violation HIPAA

En vertu des règles HIPAA originales, les organisations étaient tenues de signaler les violations affectant plus de 500 dossiers. La règle Omnibus modifie cela pour tout accès non autorisé aux PHI en vertu de la règle de confidentialité, quel que soit le nombre de dossiers affectés.

Un moyen facile de rester conforme aux règles HIPAA

La plateforme tout-en-un d'automatisation de la sécurité et de la confidentialité de Secureframe facilite la conformité avec les règles HIPAA. Formez vos employés aux meilleures pratiques HIPAA, suivez les fournisseurs ayant accès aux PHI et surveillez automatiquement vos mesures de protection HIPAA. En savoir plus sur la simplification de la conformité HIPAA avec Secureframe.

FAQ

Que comprend la règle Omnibus?

La règle Omnibus comprend un certain nombre de dispositions de la loi HITECH (Health Information Technology for Economic and Clinical Health), promulguée dans le cadre de l'American Recovery and Reinvestment Act de 2009, pour renforcer les protections de la confidentialité et de la sécurité des informations de santé établies en vertu de la HIPAA.

Quel est le but de la règle Omnibus?

Le but de la règle Omnibus est de modifier les règles de confidentialité, de sécurité et de mise en œuvre de la HIPAA pour améliorer leur fonctionnalité et leur efficacité, d'augmenter la flexibilité et de réduire les contraintes pour les entités réglementées, selon le Département de la Santé et des Services sociaux des États-Unis (« HHS ») Bureau des droits civils (« OCR »).

Quel est l'un des changements les plus importants dans la règle Omnibus finale?

L'un des changements les plus importants dans la règle Omnibus finale est la clarification de la portée de la HIPAA. Par exemple, elle précise que les associés commerciaux et leurs sous-traitants doivent se conformer aux exigences de la HIPAA, ou ils seront tenus directement responsables en cas de non-conformité. Elle englobe également plus d'entités qui doivent respecter la loi, y compris les réseaux d'échange d'informations de santé et les dossiers de santé personnels (PHR) proposés via le dossier de santé électronique d'une entité couverte.

Quand la règle Omnibus a-t-elle été adoptée?

La règle Omnibus a été publiée par le HHS le 17 janvier 2013 et est entrée en vigueur le 26 mars 2013. Elle a combiné et remplacé quatre règles proposées et finales provisoires précédemment émises.