Si vous cherchez à vous conformer à la HIPAA pour la première fois, vous avez probablement rencontré ses règles de confidentialité, de sécurité, de notification de violation, d'application et d'omnibus. Ces règles détaillent comment les entités couvertes doivent utiliser et divulguer correctement les informations de santé protégées (PHI).
Parmi celles-ci, les plus couramment discutées sont les règles de confidentialité et de sécurité. Après tout, l'objectif central de la HIPAA est de protéger la confidentialité et la sécurité des informations personnelles de santé d'un patient.
Naviguer dans ces règles peut être difficile, surtout lorsqu'il s'agit de comprendre ce qu'elles couvrent et ce qui est considéré comme une violation. Cet article explique tout ce que vous devez savoir sur la règle de confidentialité HIPAA.
Pour commencer, voici un résumé succinct de la règle de confidentialité HIPAA :
- Définition de la règle de confidentialité HIPAA: La règle de confidentialité régit l'utilisation et la divulgation des informations de santé protégées (PHI).
- Que fait la règle de confidentialité HIPAA ?: Elle exige que les entités couvertes établissent des pratiques de confidentialité qui protègent les PHI. Elle donne également aux patients un plus grand contrôle sur qui peut accéder à leurs dossiers de santé et les partager.
- Date d'entrée en vigueur de la règle de confidentialité HIPAA: 14 avril 2003
- Les règles de confidentialité HIPAA sont appliquées par: Le Bureau des droits civils du département américain de la Santé et des Services sociaux ; les procureurs généraux des États, les Centres pour Medicare et Medicaid Services (CMS)
Quelle est la règle de confidentialité HIPAA ?
La législation HIPAA a été adoptée en 1996 pour aborder les questions clés du système de santé américain. Également connue sous le nom de Health Insurance Portability and Accountability Act de 1996, elle a été conçue pour rendre les soins de santé plus accessibles, efficaces et sûrs.
La HIPAA comprend un ensemble de normes nationales pour aider les organisations de santé et leurs partenaires commerciaux à protéger la confidentialité et la sécurité des données des patients. L'une de ces règles est la règle de confidentialité.
Quel est le but de la règle de confidentialité HIPAA ? Protéger (vous l'avez deviné) la confidentialité des patients.
La règle de confidentialité HIPAA est une loi fédérale qui donne aux patients des droits individuels sur leurs informations de santé protégées et limite qui peut accéder aux PHI et les divulguer. Elle est conçue pour garantir que les organisations prennent les mesures appropriées pour sécuriser les informations de santé tout en permettant à ces informations d'être partagées de manière à promouvoir des soins de santé de haute qualité.
Qui doit se conformer à la règle de confidentialité HIPAA ?
Quiz ! La règle de confidentialité HIPAA s'applique à laquelle des entités suivantes :
- Fournisseurs de soins de santé
- Compagnies d'assurance santé et plans de santé sponsorisés par l'employeur
- Centres de traitement des informations de santé
- Fournisseurs de services médicaux tiers (partenaires commerciaux)
- Toutes les réponses ci-dessus
Si vous avez choisi « Toutes les réponses ci-dessus », vous obtenez un A+.
La règle de confidentialité HIPAA s'applique à toute entité qui a accès aux informations des patients qui, si elles étaient compromises, pourraient nuire aux finances ou à la réputation d'un patient ou entraîner une fraude.
Quelles sont les exceptions à la règle de confidentialité HIPAA?
Dans des circonstances très spécifiques, la règle de confidentialité HIPAA permet aux entités couvertes d'utiliser et/ou de divulguer des informations de santé sans l'autorisation du patient. En général, ces situations concernent soit les traitements, paiements et opérations de soins de santé (TPO) d'un fournisseur de soins de santé, soit l'intérêt public.
Par exemple :
- Réglementations et licences de soins de santé
- Santé publique (comme les rapports à un département de santé d'État ou aux CDC)
- Recherche médicale
- Compensation des travailleurs
- Procédures légales et application de la loi
- Informer les proches, identifier un corps ou déterminer la cause du décès, ou pour un médecin légiste/coroner
Même dans ces situations, les divulgations doivent être documentées dans un journal des divulgations.
Qui applique la règle de confidentialité HIPAA?
Le Bureau des droits civils (OCR) du Département de la santé et des services sociaux (HHS) des États-Unis est le principal responsable de l'application de la règle de sécurité et de confidentialité HIPAA. Les procureurs généraux des États et les Centers for Medicare and Medicaid Services (CMS) ont également une certaine autorité pour appliquer les règles HIPAA, bien que cela soit moins courant.
L'OCR enquête sur les plaintes, effectue des examens de conformité et éduque les entités couvertes sur les exigences de conformité. Il enquête également sur les violations de données affectant plus de 500 personnes ainsi que sur les organisations ayant eu plusieurs violations plus petites.
Si les organisations ne résolvent pas volontairement les violations HIPAA, l'OCR peut engager des poursuites judiciaires et/ou imposer une amende. Les violations varient en gravité en fonction du niveau de non-conformité et de négligence volontaire montré par l'organisation.
L'organisation était-elle consciente du problème ? Aurait-elle pu l'éviter ? A-t-elle pris des mesures pour le corriger ?
Les amendes varient de 100 $ à plus de 50 000 $ par violation, avec un plafond de 1,5 million de $ par violation, par an.
Lectures recommandées
Qui applique HIPAA + Comment s'assurer que votre entreprise est conforme
Read MoreTéléchargement : Fiche d'information sur la règle de confidentialité HIPAA
Gardez une trace des détails essentiels de la règle de confidentialité HIPAA avec cette fiche d'information téléchargeable. C'est un moyen facile de référencer ce que la règle couvre, à qui elle s'applique, ses exceptions et les peines criminelles pour les violations.
Obtenez votre copie du PDF de la règle de confidentialité HIPAA ici.
Comment se conformer à la règle de confidentialité HIPAA
La règle de confidentialité établit un ensemble d'exigences pour les entités couvertes par HIPAA afin de protéger les informations de santé des patients (PHI). La première étape consiste à définir quel type d'informations de santé des patients doit être protégé.
Définir les PHI
Les PHI s'étendent au-delà des informations de santé individuellement identifiables telles que les diagnostics et procédures médicaux pour inclure les informations personnellement identifiables comme les adresses, les numéros de sécurité sociale, les informations sur les cartes de crédit et même les signatures électroniques. La règle de confidentialité détaille 18 identifiants indiquant les informations protégées :
- Noms
- Dates, sauf l'année
- Numéros de téléphone
- Données géographiques
- Numéros de fax
- Numéros de sécurité sociale
- Adresses e-mail
- Numéros de dossiers médicaux
- Numéros de compte
- Numéros de bénéficiaire de plan de santé
- Numéros de certificat/licence
- Identifiants de véhicules, y compris les plaques d'immatriculation
- URLs web
- Identifiants et numéros de série des dispositifs
- Adresses IP
- Photos en gros plan et images comparables
- Identifiants biométriques (c.-à-d. scan rétinien, empreintes digitales)
- Tout numéro ou code d'identification unique
Les vidéos et images contenant des PHI sont également protégées par la règle de confidentialité, tout comme les PHI stockées électroniquement.
Par exemple, supposons qu'un fournisseur de soins de santé ait une photographie numérique de la plaie d'un patient, et que son identité puisse être déterminée par un tatouage visible sur la photographie. Cette image est protégée par la règle de confidentialité.
La règle du minimum nécessaire
Bien qu'il soit courant qu'un fournisseur de soins de santé demande l'accès à l'historique médical complet d'un patient pour fournir des soins de qualité, il arrive que des demandes de divulgation non routinières soient soumises.
La règle du minimum nécessaire stipule que les entités couvertes ne doivent divulguer que les PHI directement pertinentes à la demande.
Dans tous les cas, les PHI ne peuvent être divulguées à un tiers qu'avec l'autorisation du patient, sauf si elles sont directement liées au traitement, au paiement ou aux opérations de soins de santé.
Vérifiez et maintenez la conformité HIPAA avec Secureframe
Pour garantir la conformité de votre organisation à HIPAA, pensez à utiliser un logiciel de sécurité et de conformité. La plateforme de Secureframe et son équipe d'experts en conformité HIPAA peuvent vous aider à simplifier vos audits HIPAA annuels, à rester conforme et à vous protéger contre les amendes potentielles pour violation de HIPAA.
En savoir plus en planifiant une démo avec l'un de nos experts produits.
FAQs
Qu'est-ce que la règle de confidentialité HIPAA ?
Les normes pour la confidentialité des informations de santé individuellement identifiables, également connues sous le nom de règle de confidentialité HIPAA ou règle de confidentialité, traitent de l'utilisation et de la divulgation des informations de santé des individus par les entités couvertes, ainsi que des normes pour les droits des individus à la confidentialité afin de comprendre et de contrôler la manière dont leurs informations de santé sont utilisées.
Pourquoi la règle de confidentialité HIPAA existe-t-elle ?
La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) n'incluait pas d'exigences détaillées en matière de confidentialité. Au lieu de cela, elle obligeait le secrétaire du Département américain de la santé et des services sociaux (HHS) à publier des règlements de confidentialité régissant les informations de santé identifiables individuellement, si le Congrès n'adoptait pas de législation sur la confidentialité dans les trois ans suivant l'adoption de la loi HIPAA. Comme le Congrès n'a pas adopté de législation sur la confidentialité, le HHS a élaboré une règle proposée, l'a soumise aux commentaires du public et a publié le règlement final en 2000. Une modification proposée a rouvert le processus de réglementation et la version finale de la règle de confidentialité, qui est actuelle aujourd'hui, a été publiée en 2002. Cette règle a établi, pour la première fois, un ensemble de normes nationales pour la protection de certaines informations de santé connues sous le nom de renseignements de santé protégés (PHI).
Quel est le but de la règle de confidentialité HIPAA ?
Un des principaux objectifs de la règle de confidentialité est de s'assurer que les entités couvertes prennent les mesures nécessaires pour protéger les informations de santé des individus tout en permettant également que ces informations soient partagées lorsque cela est nécessaire pour fournir et promouvoir des soins de santé de haute qualité et pour protéger la santé et le bien-être publics.
Qui applique la règle de confidentialité ?
Au sein du HHS, le Bureau des droits civils (OCR) est responsable de la mise en œuvre et de l'application de la règle de confidentialité en ce qui concerne les activités de conformité volontaire et les sanctions civiles pécuniaires.
Qu'est-ce qui est considéré comme une violation de la confidentialité en vertu de la loi HIPAA ?
Une entité couverte doit obtenir l'autorisation écrite de l'individu pour toute utilisation ou divulgation de ses renseignements de santé protégés qui ne concerne pas le traitement, le paiement ou les opérations de soins de santé ou autrement autorisées ou requises par la règle de confidentialité. Ainsi, les divulgations à un assureur-vie à des fins de couverture, les divulgations à un employeur des résultats d'un examen physique ou d'un test de laboratoire avant l'embauche, ou les divulgations à une société pharmaceutique à des fins de marketing sans l'autorisation écrite de l'individu seraient toutes considérées comme des violations de la confidentialité de cet individu en vertu de la loi HIPAA.
Que faire en cas de violation présumée de la règle de confidentialité HIPAA ?
Si vous pensez qu'une entité couverte par la loi HIPAA ou ses associés commerciaux ont commis une violation de la règle de confidentialité, vous pouvez déposer une plainte auprès du Bureau des droits civils (OCR). L'OCR peut enquêter sur les plaintes contre les entités couvertes et leurs associés commerciaux. À la fin de l'enquête, l'OCR émet une lettre décrivant la résolution de l'enquête. Si l'OCR détermine qu'une entité couverte ou un associé commercial n'a peut-être pas respecté la règle de confidentialité HIPAA, cette entité ou cet associé commercial doit se conformer volontairement à la règle de confidentialité HIPAA, prendre des mesures correctives et accepter un règlement.