Au cœur de la conformité HIPAA réside un objectif primordial : sécuriser les informations de santé protégées (PHI).
Mais comment chaque employé peut-il s'assurer qu'il traite les PHI en toute sécurité au quotidien?
Nous introduisons : les politiques et procédures HIPAA.
Les entreprises doivent créer et mettre en œuvre un ensemble de politiques et de procédures qui décomposent les règles complexes de HIPAA en instructions simples à comprendre et à suivre.
Ci-dessous, nous abordons à quoi ressemblent les politiques et procédures HIPAA, des exemples de politiques nécessaires et comment créer les vôtres.
Quelles sont les politiques et procédures HIPAA?
La loi HIPAA a été adoptée en 1996 et a été créée pour protéger les PHI, qui incluent tout, de votre nom et adresse aux ordonnances et résultats de tests.
Pour s'assurer que les entreprises protègent correctement les PHI, les employés doivent suivre des instructions spécifiques. C'est là que les politiques et procédures HIPAA interviennent.
- Politique: Une politique est une déclaration de l'intention de la direction. Elle répond aux questions sur ce que les employés doivent faire et pourquoi ils doivent le faire.
- Procédure: Une procédure comprend des instructions spécifiques sur la manière d'atteindre l'intention de la direction.
Les politiques et procédures sont essentielles pour la conformité HIPAA — et sont exigées par la loi HIPAA. Le non-développement et la non-mise en œuvre des politiques et procédures constituent une violation de la HIPAA, ce qui peut entraîner des sanctions financières et pénales.
Pourquoi les politiques et procédures sont-elles nécessaires?
En plus d'être exigées par la loi pour la conformité HIPAA, les politiques et procédures offrent des avantages supplémentaires pour les organisations, notamment :
- Clarté: Les politiques et procédures aident à simplifier le jargon réglementaire complexe de la HIPAA en documents plus faciles à comprendre pour les employés.
- Uniformité: Les politiques et procédures augmentent la probabilité que les employés poursuivent les mêmes objectifs, avec les mêmes valeurs, de la même manière à travers l'organisation.
- Simplicité: Les employés n'ont probablement pas le temps de lire chacune des règles HIPAA. Les politiques et procédures énoncent les informations les plus importantes sur les exigences réglementaires dont les employés ont besoin pour faire leur travail.
Règles HIPAA
HIPAA décrit une série de règles auxquelles les organisations doivent se conformer pour être en conformité avec HIPAA. Quelques-unes des principales sont la règle de confidentialité, la règle de sécurité et la règle de notification des violations.
Ci-dessous, nous approfondissons les politiques spécifiques qui s'appliquent à chacune.
Règle de confidentialité
La règle de confidentialité régit l'utilisation et la divulgation des PHI. La règle exige que les entreprises protègent correctement les PHI et donne aux patients un plus grand contrôle sur qui peut accéder à leurs informations médicales.
Cette règle HIPAA s'applique à toute entreprise ayant accès aux informations des patients qui, si elles étaient compromises, pourraient nuire aux finances ou à la réputation d'un patient ou entraîner une fraude.
La règle de confidentialité est appliquée par le bureau des droits civils (OCR) du département de la santé et des services sociaux, les procureurs généraux de l'État et les centres pour Medicare et Medicaid Services (CMS).
Exemples de politiques et procédures en vertu de cette règle :
- Politique de jeu de dossiers définis
- Avis de pratiques de confidentialité
- Autorisation de politique de divulgation
- Exigence minimis nécessaire politique
- Politique de conservation des dossiers
- Politique de compensation des travailleurs
- Politique de communications confidentielles
Règle de sécurité
La règle de sécurité HIPAA explique comment les entreprises doivent protéger les PHI.
En vertu de la règle de sécurité, il existe trois types de sauvegardes pour protéger les informations des patients contre les violations.
- Les sauvegardes administratives expliquent ce que l'organisation fait pour protéger les PHI.
- Les sauvegardes physiques visent à protéger les actifs physiques contre l'accès non autorisé.
- Les sauvegardes techniques définissent comment l'organisation gérera les informations de santé protégées électroniquement (ePHI).
De plus, les entreprises doivent pratiquer la gestion des risques et réaliser des évaluations des risques pour garantir la sécurité des PHI.
Exemples de politiques et procédures en vertu de cette règle :
- Politique de gestion des accès
- Politique de déconnexion automatique
- Politique de sauvegarde et de conservation des données
- Politique de contrôle des dispositifs et des médias
- Politique de reprise après sinistre
- Politique de contrôle d'accès aux installations
- Politique de gestion des systèmes informatiques
- Politique d'utilisation d'Internet et d'ordinateur
- Politique de détection d'intrusion
- Politique de création et d'utilisation de mots de passe
- Politique de gestion des risques
Règle de notification des violations
La règle de notification des violations oblige les organisations à notifier les individus concernés et le département de la santé et des services sociaux (HHS) lorsque la sécurité des PHI a été compromise.
Pour éviter une amende de l'OCR, les organisations doivent envoyer des notifications aux personnes concernées dans les 60 jours suivant l'identification de la violation.
Les notifications doivent expliquer ce qui s'est passé, quelles informations ont été compromises, comment l'entreprise réagit à la violation et comment elle empêchera les futures violations.
Exemples de politiques et procédures en vertu de cette règle :
- Politique de réponse aux incidents
- Politique d'atténuation
- Politique de notification interne
Politiques et procédures pour les associés commerciaux
Les associés commerciaux sont des tiers avec lesquels une entité couverte partage des PHI. Il existe certaines politiques et procédures requises par HIPAA pour s'assurer que ces tiers font également leur part pour protéger les PHI.
Cela comprend un contrat stipulant les usages acceptables et inacceptables des PHI par le tiers connu sous le nom de Business Associate Agreement (BAA). Les entreprises doivent également créer des politiques et des procédures pour surveiller ces relations au fil du temps, prendre des mesures correctives en cas de violation et de résiliation.
Comment gérer vos politiques et procédures HIPAA
Nous expliquons ci-dessous le processus de création et de gestion de vos politiques et procédures HIPAA.
Rédigez vos politiques et procédures
Les politiques et procédures comprennent trois éléments clés : l'objet, le champ d'application et les procédures.
- Objet : Les politiques et procédures sont rédigées pour une raison ou un objectif particulier. Cet objectif doit être expliqué au début afin que le lecteur sache pourquoi la politique a été créée.
- Champ d'application : Une politique doit également inclure le champ d'application, ou à qui la politique s'applique. Si la politique est destinée à chaque employé, cela doit être précisé dans le document. Si la politique s'applique à certaines situations, cela doit également être indiqué.
- Procédures : Les politiques incluent des procédures, ou les détails de la manière dont une entreprise atteindra l'objectif de la politique. Il s'agit des actions étape par étape que les employés doivent suivre pour respecter l'exigence HIPAA autour de laquelle la politique est conçue.
Pour concevoir des procédures efficaces, simplifiez le langage et éliminez tout jargon HIPAA complexe afin de faciliter la compréhension pour les employés.
Partagez les politiques et procédures avec votre équipe
Une fois les politiques et procédures rédigées, votre équipe doit pouvoir les comprendre et les partager. Conservez ces politiques dans un endroit où les employés peuvent facilement y accéder, comme une base de connaissances de l'entreprise.
Formez votre personnel à la conformité HIPAA
Il ne suffit pas de partager ces documents avec votre personnel. Vous devez également fournir une formation HIPAA afin de les aider à mieux comprendre les politiques et procédures de l'organisation et comment elles se rapportent à leur rôle et à leurs responsabilités.
Développez un processus de révision et d'approbation
Pour s’assurer que vos politiques et procédures restent à jour, votre entreprise doit nommer une équipe chargée de réviser, d’approuver et de finaliser régulièrement les changements ou mises à jour des politiques et/ou procédures. Lorsque des changements sont apportés, ils doivent être notés dans l'historique des versions de la politique.
Lorsque des changements surviennent, une entreprise peut avoir besoin de réaliser des formations de remise à niveau avec son personnel ou de mettre à jour ses BAAs. Tous les changements de politique HIPAA doivent être documentés et conservés pendant au moins six ans.
Comment Secureframe peut vous aider à simplifier la création de politiques et procédures HIPAA
Créer des politiques et procédures à partir de zéro peut sembler accablant — surtout avec le nombre de politiques nécessaires pour la conformité HIPAA.
Secureframe peut vous aider à simplifier l'ensemble du processus en vous fournissant des modèles de politiques qui peuvent être adaptés aux besoins spécifiques de votre organisation.
Pour en savoir plus, demandez une démonstration avec notre équipe dès aujourd'hui.
FAQs
Quelles politiques sont nécessaires pour HIPAA ?
Voici une liste des principales politiques généralement nécessaires pour la conformité HIPAA :
- Politiques de Confidentialité :
- Notification des Pratiques de Confidentialité : Politiques concernant la manière dont les PHI sont utilisés et divulgés, et informant les patients de leurs droits concernant leurs informations de santé.
- Droits des Patients : Politiques décrivant le processus permettant aux patients d'accéder à leurs PHI, de demander des modifications et de comptabiliser les divulgations, entre autres droits.
- Utilisation et divulgation minimales nécessaires : Politiques garantissant que les PHI ne sont accessibles et divulguées que dans la mesure minimale nécessaire pour atteindre le but prévu.
- Politiques de sécurité :
- Analyse et gestion des risques : Politiques pour effectuer des évaluations régulières des risques et mettre en œuvre des mesures pour atténuer les risques identifiés pour la sécurité des PHI.
- Chiffrement des données : Politiques détaillant quand et comment les PHI doivent être chiffrés, tant au repos qu'en transit.
- Contrôle d'accès : Politiques définissant qui peut accéder aux PHI, comment les droits d'accès sont accordés, examinés et résiliés, et comment l'accès est contrôlé et surveillé.
- Sécurité physique : Politiques et procédures pour sécuriser l'accès aux installations et protéger les équipements contenant des PHI contre l'accès non autorisé, le sabotage et le vol.
- Sécurité des postes de travail et des appareils : Politiques régissant l'utilisation et la sécurité des postes de travail et des appareils électroniques accédant aux PHI.
- Réponse et signalement des incidents de sécurité : Politiques pour identifier, répondre et documenter les incidents et violations de sécurité.
- Politiques de notification des violations :
- Identification et réponse aux violations : Politiques décrivant le processus d'identification, de réponse et d'atténuation des effets d'une violation des PHI.
- Procédures de notification : Politiques détaillant comment et quand notifier les individus concernés, le HHS et potentiellement les médias en cas de violation impliquant des PHI.
- Formation et gestion des employés :
- Formation : Politiques exigeant une formation régulière de tous les employés sur les réglementations HIPAA et les pratiques de confidentialité et de sécurité de l'organisation.
- Sanctions : Politiques détaillant les actions disciplinaires à l'encontre des employés qui ne se conforment pas aux réglementations HIPAA et aux politiques de l'organisation.
- Gestion des partenaires commerciaux :
- Accords avec des partenaires commerciaux : Politiques pour conclure des accords avec des partenaires commerciaux garantissant qu'ils protègent adéquatement les PHI conformément aux exigences HIPAA.
- Réclamations et conformité :
- Processus de réclamation : Politiques établissant un processus de réception et de traitement des plaintes concernant les pratiques de confidentialité de l'organisation.
- Audit et suivi de la conformité : Politiques pour des audits internes réguliers et le suivi afin de garantir une conformité continue avec les réglementations HIPAA et l'efficacité des politiques mises en œuvre.