Au cœur de la conformité HIPAA réside un objectif primordial : sécuriser les informations de santé protégées (PHI).

Mais comment chaque employé peut-il s'assurer qu'il traite les PHI en toute sécurité au quotidien?

Nous introduisons : les politiques et procédures HIPAA.

Les entreprises doivent créer et mettre en œuvre un ensemble de politiques et de procédures qui décomposent les règles complexes de HIPAA en instructions simples à comprendre et à suivre.

Ci-dessous, nous abordons à quoi ressemblent les politiques et procédures HIPAA, des exemples de politiques nécessaires et comment créer les vôtres.

Quelles sont les politiques et procédures HIPAA?

La loi HIPAA a été adoptée en 1996 et a été créée pour protéger les PHI, qui incluent tout, de votre nom et adresse aux ordonnances et résultats de tests.

Pour s'assurer que les entreprises protègent correctement les PHI, les employés doivent suivre des instructions spécifiques. C'est là que les politiques et procédures HIPAA interviennent.

• Politique: Une politique est une déclaration de l'intention de la direction. Elle répond aux questions sur ce que les employés doivent faire et pourquoi ils doivent le faire.
• Procédure: Une procédure comprend des instructions spécifiques sur la manière d'atteindre l'intention de la direction.

Les politiques et procédures sont essentielles pour la conformité HIPAA — et sont exigées par la loi HIPAA. Le non-développement et la non-mise en œuvre des politiques et procédures constituent une violation de la HIPAA, ce qui peut entraîner des sanctions financières et pénales.

Pourquoi les politiques et procédures sont-elles nécessaires?

En plus d'être exigées par la loi pour la conformité HIPAA, les politiques et procédures offrent des avantages supplémentaires pour les organisations, notamment :

• Clarté: Les politiques et procédures aident à simplifier le jargon réglementaire complexe de la HIPAA en documents plus faciles à comprendre pour les employés.
• Uniformité: Les politiques et procédures augmentent la probabilité que les employés poursuivent les mêmes objectifs, avec les mêmes valeurs, de la même manière à travers l'organisation.
• Simplicité: Les employés n'ont probablement pas le temps de lire chacune des règles HIPAA. Les politiques et procédures énoncent les informations les plus importantes sur les exigences réglementaires dont les employés ont besoin pour faire leur travail.

Règles HIPAA

HIPAA décrit une série de règles auxquelles les organisations doivent se conformer pour être en conformité avec HIPAA. Quelques-unes des principales sont la règle de confidentialité, la règle de sécurité et la règle de notification des violations.

Ci-dessous, nous approfondissons les politiques spécifiques qui s'appliquent à chacune.

Règle de confidentialité

La règle de confidentialité régit l'utilisation et la divulgation des PHI. La règle exige que les entreprises protègent correctement les PHI et donne aux patients un plus grand contrôle sur qui peut accéder à leurs informations médicales.

Cette règle HIPAA s'applique à toute entreprise ayant accès aux informations des patients qui, si elles étaient compromises, pourraient nuire aux finances ou à la réputation d'un patient ou entraîner une fraude.

La règle de confidentialité est appliquée par le bureau des droits civils (OCR) du département de la santé et des services sociaux, les procureurs généraux de l'État et les centres pour Medicare et Medicaid Services (CMS).

Exemples de politiques et procédures en vertu de cette règle :

• Politique de jeu de dossiers définis
• Avis de pratiques de confidentialité
• Autorisation de politique de divulgation
• Exigence minimis nécessaire politique
• Politique de conservation des dossiers
• Politique de compensation des travailleurs
• Politique de communications confidentielles

Règle de sécurité

La règle de sécurité HIPAA explique comment les entreprises doivent protéger les PHI.

En vertu de la règle de sécurité, il existe trois types de sauvegardes pour protéger les informations des patients contre les violations.

• Les sauvegardes administratives expliquent ce que l'organisation fait pour protéger les PHI.
• Les sauvegardes physiques visent à protéger les actifs physiques contre l'accès non autorisé.
• Les sauvegardes techniques définissent comment l'organisation gérera les informations de santé protégées électroniquement (ePHI).

De plus, les entreprises doivent pratiquer la gestion des risques et réaliser des évaluations des risques pour garantir la sécurité des PHI.

Exemples de politiques et procédures en vertu de cette règle :

• Politique de gestion des accès
• Politique de déconnexion automatique
• Politique de sauvegarde et de conservation des données
• Politique de contrôle des dispositifs et des médias
• Politique de reprise après sinistre
• Politique de contrôle d'accès aux installations
• Politique de gestion des systèmes informatiques
• Politique d'utilisation d'Internet et d'ordinateur
• Politique de détection d'intrusion
• Politique de création et d'utilisation de mots de passe
• Politique de gestion des risques

Règle de notification des violations

La règle de notification des violations oblige les organisations à notifier les individus concernés et le département de la santé et des services sociaux (HHS) lorsque la sécurité des PHI a été compromise.

Pour éviter une amende de l'OCR, les organisations doivent envoyer des notifications aux personnes concernées dans les 60 jours suivant l'identification de la violation.

Les notifications doivent expliquer ce qui s'est passé, quelles informations ont été compromises, comment l'entreprise réagit à la violation et comment elle empêchera les futures violations.

Exemples de politiques et procédures en vertu de cette règle :

• Politique de réponse aux incidents
• Politique d'atténuation
• Politique de notification interne

Politiques et procédures pour les associés commerciaux

Les associés commerciaux sont des tiers avec lesquels une entité couverte partage des PHI. Il existe certaines politiques et procédures requises par HIPAA pour s'assurer que ces tiers font également leur part pour protéger les PHI.

Cela comprend un contrat stipulant les usages acceptables et inacceptables des PHI par le tiers connu sous le nom de Business Associate Agreement (BAA). Les entreprises doivent également créer des politiques et des procédures pour surveiller ces relations au fil du temps, prendre des mesures correctives en cas de violation et de résiliation.

Comment gérer vos politiques et procédures HIPAA

Nous expliquons ci-dessous le processus de création et de gestion de vos politiques et procédures HIPAA.

Rédigez vos politiques et procédures

Les politiques et procédures comprennent trois éléments clés : l'objet, le champ d'application et les procédures.

• Objet : Les politiques et procédures sont rédigées pour une raison ou un objectif particulier. Cet objectif doit être expliqué au début afin que le lecteur sache pourquoi la politique a été créée.
• Champ d'application : Une politique doit également inclure le champ d'application, ou à qui la politique s'applique. Si la politique est destinée à chaque employé, cela doit être précisé dans le document. Si la politique s'applique à certaines situations, cela doit également être indiqué.
• Procédures : Les politiques incluent des procédures, ou les détails de la manière dont une entreprise atteindra l'objectif de la politique. Il s'agit des actions étape par étape que les employés doivent suivre pour respecter l'exigence HIPAA autour de laquelle la politique est conçue.

Pour concevoir des procédures efficaces, simplifiez le langage et éliminez tout jargon HIPAA complexe afin de faciliter la compréhension pour les employés.

Partagez les politiques et procédures avec votre équipe

Une fois les politiques et procédures rédigées, votre équipe doit pouvoir les comprendre et les partager. Conservez ces politiques dans un endroit où les employés peuvent facilement y accéder, comme une base de connaissances de l'entreprise.

Formez votre personnel à la conformité HIPAA

Il ne suffit pas de partager ces documents avec votre personnel. Vous devez également fournir une formation HIPAA afin de les aider à mieux comprendre les politiques et procédures de l'organisation et comment elles se rapportent à leur rôle et à leurs responsabilités.

Développez un processus de révision et d'approbation

Pour s’assurer que vos politiques et procédures restent à jour, votre entreprise doit nommer une équipe chargée de réviser, d’approuver et de finaliser régulièrement les changements ou mises à jour des politiques et/ou procédures. Lorsque des changements sont apportés, ils doivent être notés dans l'historique des versions de la politique.

Lorsque des changements surviennent, une entreprise peut avoir besoin de réaliser des formations de remise à niveau avec son personnel ou de mettre à jour ses BAAs. Tous les changements de politique HIPAA doivent être documentés et conservés pendant au moins six ans.

Comment Secureframe peut vous aider à simplifier la création de politiques et procédures HIPAA

Créer des politiques et procédures à partir de zéro peut sembler accablant — surtout avec le nombre de politiques nécessaires pour la conformité HIPAA.

Secureframe peut vous aider à simplifier l'ensemble du processus en vous fournissant des modèles de politiques qui peuvent être adaptés aux besoins spécifiques de votre organisation.

Pour en savoir plus, demandez une démonstration avec notre équipe dès aujourd'hui.