Si vous cherchez à vous conformer à l'HIPAA ou si vous envisagez de travailler avec des organisations de santé, vous avez rencontré ces trois lettres : IIP. Les informations de santé protégées (IIP) sont au cœur de la législation HIPAA, laquelle a été conçue pour mieux sécuriser les données privées des patients.

Comprendre ce que sont les IIP et comment elles doivent être protégées est impératif pour se conformer à l'HIPAA et éviter les violations.

Lisez la suite pour découvrir ce qui est considéré comme des IIP selon l'HIPAA, obtenir des exemples concrets d'IIP et apprendre ce que les entités couvertes doivent faire pour protéger ce type de données.

Définition des IIP selon l'HIPAA : Qu'est-ce que les informations de santé protégées?

IIP signifie Informations de Santé Protégées.

Les IIP selon l'HIPAA couvrent toutes les données de santé créées, transmises ou stockées par une entité couverte par l'HIPAA et ses associés commerciaux. Elles incluent les dossiers électroniques (eIIP), les dossiers écrits, les résultats de laboratoire, les radiographies, les factures — même les conversations verbales qui incluent des informations personnellement identifiables.

Les IIP sont protégées par la règle de confidentialité HIPAA, qui oblige les entités couvertes et leurs associés commerciaux à protéger les informations de santé protégées. La règle de confidentialité donne également aux patients un plus grand contrôle sur qui peut accéder et partager leurs dossiers de santé personnels.

Qu'est-ce qu'une entité couverte?

Selon l'HIPAA, une entité couverte est une organisation qui fournit des traitements médicaux, des paiements ou des opérations. Cela inclut :

  • Hôpitaux
  • Cliniques
  • Pharmacies
  • Médecins
  • Dentistes
  • Psychologues
  • Psychiatres
  • Chiropracteurs
  • Fournisseurs de soins de santé
  • Compagnies d'assurance maladie
  • Organisations d'aide médicale
  • HMOs
  • Maisons de retraite

Les entités couvertes sont légalement tenues de se conformer aux règles HIPAA pour protéger la confidentialité et la sécurité des IIP.

Qu'est-ce qu'un associé commercial?

Les associés commerciaux sont des organisations qui fournissent des services à une entité couverte et ont accès aux IIP, tels que :

  • Sociétés de facturation
  • Fournisseurs de services cloud
  • Entreprises de stockage de données
  • Fournisseurs de dossiers de santé électroniques (EHR)
  • Avocats
  • Cabinets de CPA
  • Processors de réclamations
  • Agences de recouvrement
  • Fabricants de dispositifs médicaux

Les entités couvertes et les associés commerciaux doivent avoir un accord d'associé commercial (BAA) en place pour définir les responsabilités en matière de protection des IIP. Le BAA spécifie le rôle de l'associé commercial et l'oblige à se conformer aux règles HIPAA.

Identifiants IIP : Que comprennent les IIP?

Le Département de la Santé et des Services Sociaux a défini 18 identifiants clés des IIP. Les IIP couvertes par l'HIPAA comprennent :

Les ordonnances, les résultats de tests, les diagnostics, les plans de traitement, les informations de facturation et de paiement — tous ces éléments sont des exemples de PHI selon la HIPAA.

Pour déterminer si quelque chose est considéré comme un PHI, posez trois questions :

  • Votre organisation est-elle une entité couverte ou un associé commercial d'une entité couverte ?
  • Les informations concernent-elles la santé de quelqu'un ?
  • Ces informations de santé peuvent-elles être associées à une personne spécifique ?

Si la réponse est oui aux trois questions, cela relève du PHI et est protégé par la législation HIPAA.

Exceptions : Qu'est-ce qui n'est pas considéré comme PHI selon la HIPAA ?

La HIPAA s'applique spécifiquement aux entités couvertes et à leurs associés commerciaux. Le PHI qui est créé, stocké, consulté ou transmis par ces organisations est protégé par les règlements de la HIPAA. Mais entre les mains d'une autre entreprise, cette même information n'est pas considérée comme PHI et ne relève pas de la HIPAA.

Par exemple, une application de santé qui enregistre la fréquence cardiaque, la pression artérielle ou la glycémie, les niveaux d'activité ou la consommation de calories ne constitue pas un PHI.

Voici quelques autres cas où les données de santé ne sont pas considérées comme PHI :

  • Demandes de rendez-vous : Noms et numéros de téléphone des patients potentiels qui appellent pour prendre un rendez-vous. Comme il n'y a pas d'informations de santé associées à ces données, elles ne sont pas considérées comme PHI. Une fois que cette personne devient formellement un patient, cette information devient un PHI.
  • Dossiers des employés et des étudiants : Tout dossier concernant la santé des employés ou des étudiants, comme les allergies connues, le groupe sanguin ou les handicaps, ne sont pas considérés comme PHI.
  • Appareils portables : Les données collectées par des appareils portables tels que les moniteurs de fréquence cardiaque ou les montres intelligentes ne sont pas des PHI.
  • Applications de santé et de fitness : Les données collectées par ou saisies dans une application mobile de fitness ou de santé ne sont pas des PHI.
  • PHI dé-identifiés : Les données de santé dont tous les identifiants ont été supprimés et qui ne peuvent pas être associées à un individu spécifique ne sont plus considérées comme PHI. Les organisations utilisent parfois des PHI dé-identifiés à des fins de statistiques ou de recherche.

Exigences : Ce que les organisations doivent faire pour sécuriser les PHI

Bien que la conformité HIPAA oblige les organisations à prendre des mesures pour protéger les PHI contre un accès non autorisé, les règles HIPAA ne répertorient pas les actions spécifiques que les entités couvertes doivent entreprendre. Cette flexibilité permet aux organisations de décider des mesures les plus appropriées en fonction de leur taille et de leur fonction. Un système hospitalier régional peut avoir des exigences et des contrôles différents de ceux d'une petite clinique familiale, par exemple.

Les entités couvertes doivent mettre en place des mesures de protection pour protéger les PHI contre les violations. La règle de sécurité HIPAA décrit différentes mesures de protection administratives, physiques et techniques, telles que les politiques de gestion de l'accès, la formation des employés, les plans de réponse aux incidents, le déchiquetage des documents et le cryptage des données.

Violations de la HIPAA : Pénalités pour divulgation non autorisée de PHI

Ne pas protéger les informations de santé protégées (PHI) conformément aux règles de la HIPAA peut entraîner une amende par le Bureau des droits civils du Département de la santé et des services sociaux. Les violations peuvent être coûteuses — et pas seulement en termes d'argent. Une violation ou une brèche peut endommager de façon permanente la réputation de votre organisation et éroder la confiance des patients.

Voici quelques violations courantes des PHI à éviter.

Mauvaise gestion de l'accès aux PHI

Les PHI ne doivent être consultées que pour le traitement, le paiement ou les opérations de soins de santé. Tout accès partagé aux PHI doit être autorisé par le patient. Vous devez également vous assurer que les PHI sont détruites de manière sécurisée et permanente lorsqu'elles ne sont plus nécessaires.

La gestion des accès aux PHI inclut aussi de répondre rapidement à la demande d'un patient pour obtenir ses dossiers médicaux.

Vente de PHI en vertu de la HIPAA

Les entités couvertes et les associés commerciaux ne peuvent pas vendre des PHI sans l'autorisation du patient.

Les organisations qui divulguent ou vendent sciemment des PHI sans autorisation appropriée encourent une amende pour violation de la HIPAA pouvant aller jusqu'à 50 000 $ et une peine de prison d'un an.

Règle du minimum nécessaire

Alors qu'il est courant pour les prestataires de soins de santé de demander l'accès à l'historique médical complet d'un patient, ils peuvent également demander l'accès à des PHI spécifiques. La règle du minimum nécessaire stipule que les entités couvertes ne doivent divulguer que les PHI directement pertinentes pour la demande.

Dans tous les cas, les PHI ne peuvent être divulguées à un tiers qu'avec l'autorisation du patient, sauf si cela est directement lié au traitement, au paiement ou aux opérations de soins de santé.

Règle de notification en cas de brèche

En cas de violation de PHI non sécurisées, une entité couverte doit informer toute personne affectée dans un délai de 60 jours. Le non-respect de cette obligation constitue une violation de la règle de notification de brèche de la HIPAA. Les associés commerciaux qui découvrent une brèche sont également tenus d'informer l'entité couverte dans un délai de 60 jours.

Protégez les PHI et assurez la conformité HIPAA avec Secureframe

La conformité HIPAA garantit que les entités couvertes et les associés commerciaux prennent des mesures concrètes pour protéger les données sensibles des patients. Et cela incite les organisations à maintenir et à améliorer ces mesures de sécurité — ou à faire face à des violations coûteuses.

Secureframe aide les organisations de toutes tailles à protéger les PHI en simplifiant le processus de conformité HIPAA en quelques étapes clés :

  • Créer des politiques de confidentialité et de sécurité HIPAA
  • Former les employés aux meilleures pratiques pour protéger les PHI
  • Gérer les fournisseurs et les partenaires commerciaux ayant accès aux PHI
  • Surveiller vos mesures de protection des PHI et être averti de toute non-conformité

En savoir plus sur la façon dont vous pouvez automatiser votre conformité HIPAA dès aujourd'hui.

FAQ

Qu'est-ce qui est considéré comme PHI en vertu de la HIPAA ?

En vertu de la HIPAA, les PHI sont considérées comme toutes les données de santé créées, transmises ou stockées par une entité couverte par la HIPAA, ses associés commerciaux et sous-traitants.

Quels sont les 18 identifiants des PHI ?

Les 18 identifiants des PHI sont :

  • Noms
  • Dates liées à une personne, sauf l'année (y compris la date de naissance, la date d'admission, la date de sortie, la date de décès et l'âge exact si supérieur à 89 ans)
  • Numéros de téléphone
  • Données géographiques (toutes les subdivisions géographiques plus petites qu'un état, y compris l'adresse, la ville, le comté et le code postal)
  • Numéros de fax
  • Numéros de sécurité sociale
  • Adresses e-mail
  • Numéros de dossier médical
  • Numéros de compte
  • Numéros de bénéficiaires de plans de santé
  • Numéros de certificat/licence
  • Identifiants de véhicules, y compris les plaques d'immatriculation
  • Adresses Web
  • Identifiants et numéros de série des appareils
  • Adresses IP
  • Photos de visage en entier et images comparables
  • Identifiants biométriques (c'est-à-dire, scanner rétinien, empreintes digitales)
  • Tout numéro ou code d'identification unique

Quel est un exemple de PHI dans le domaine de la santé ?

Un exemple de PHI dans le domaine de la santé est une facture d'hôpital car elle contiendrait le nom d'un patient et/ou d'autres informations d'identification associées aux données de santé.

Qu'est-ce qui n'est pas considéré comme PHI ?

Les informations d'identification, telles que les noms personnels, les adresses résidentielles ou les numéros de téléphone, ne sont pas considérées comme des PHI à moins qu'elles ne soient liées à des données de santé. Par exemple, les noms, adresses et numéros de téléphone répertoriés dans un annuaire téléphonique ne sont pas considérés comme des PHI car ils ne sont pas liés aux données de santé. Cependant, si ces informations étaient répertoriées avec des données de santé, telles qu'une indication que la personne a été traitée dans une certaine clinique, alors ces informations seraient des PHI.