En tant que leader dans le domaine de la santé, la responsabilité de maintenir votre organisation conforme repose sur vos épaules — et c'est une responsabilité à prendre au sérieux.
Après tout, la perspective de devoir 16 millions de dollars pour des violations de la HIPAA, comme Anthem en 2018, semble probablement impensable. Pour vous assurer d'éviter les sanctions et de protéger les informations de vos patients, apprendre qui fait respecter la HIPAA est un excellent point de départ.
Dans ce guide, nous expliquons qui est responsable de l'application des règles de la HIPAA, les niveaux de sanctions pour les violations de la HIPAA et comment s'assurer que votre organisation est protégée contre ces sanctions.
Qui fait respecter la HIPAA ?
Voici la réponse simple : le bureau des droits civils (OCR) du département américain de la santé et des services sociaux (HHS) est le principal responsable de l'application des règles de confidentialité et de sécurité de la HIPAA.
Cela dit, il existe d'autres organisations qui ont également le pouvoir d'appliquer la HIPAA, bien qu'elles utilisent ce pouvoir moins fréquemment. Elles incluent les procureurs généraux des États et les centres de services Medicare et Medicaid (CMS).
L'OCR a la plus grande responsabilité d'appliquer la loi, alors commençons par examiner à quoi ressemble cette application.
Bureau des droits civils du HHS
L'OCR joue plusieurs rôles dans l'application des règles de confidentialité et de sécurité de la HIPAA. Il enquête sur les plaintes, effectue des examens de conformité et éduque les entités concernées sur les exigences de conformité. Si nécessaire, il peut imposer des sanctions aux entités non conformes et même les renvoyer au ministère de la Justice.
Bien que l'OCR priorise l'enquête sur les violations de données qui impactent plus de 500 personnes, il enquête également sur les organisations qui ont eu plusieurs petites violations. Les violations de données ne signifient pas toujours qu'une organisation n'est pas conforme à la HIPAA, mais l'OCR considère les violations comme une raison suffisante pour enquêter sur une entité couverte par la HIPAA.
L'OCR préfère évidemment résoudre les violations de la HIPAA par une conformité volontaire. C'est lorsque l'organisation en faute corrige volontairement ses problèmes de conformité. Si cela ne se produit pas, l'OCR poursuivra probablement une action en justice.
L'OCR classe les violations de la HIPAA en quatre catégories, par ordre de gravité :
- Catégorie 1: Une violation que l'entité couverte ne connaissait pas et n'aurait probablement pas pu éviter. L'entité a clairement essayé de se conformer à la HIPAA.
- Catégorie 2 : Une violation que l'entité couverte était censée connaître mais qu'elle n'a toujours pas pu éviter. Cette catégorie ne constitue pas encore une négligence délibérée.
- Catégorie 3 : Une violation due à une négligence délibérée des règles HIPAA. Pour entrer dans cette catégorie, l'entité doit avoir essayé de corriger ses erreurs.
- Catégorie 4 : Une violation due à une négligence délibérée des règles HIPAA dans laquelle l'entité était consciente de ses erreurs et n'a pas essayé de les corriger.
Les pénalités pour violation de HIPAA par l'OCR : Une répartition
L'OCR a une pénalité différente pour chacune de ses catégories de violation HIPAA. Elles sont les suivantes :
- Catégorie 1 : Une amende de 100 $ à 50 000 $ par violation
- Catégorie 2 : Une amende de 1 000 $ à 50 000 $ par violation
- Catégorie 3 : Une amende de 10 000 $ à 50 000 $ par violation
- Catégorie 4 : Une amende d'au moins 50 000 $ par violation
Les amendes pour violation sont plafonnées à 1 500 000 $ par violation, par an. Pour déterminer une amende spécifique dans chacune de ces catégories, l'OCR prend en compte les facteurs suivants :
- La taille de l'entité couverte
- Le type de données exposées
- La durée de la violation
- Le nombre de personnes affectées
- La gravité des dommages causés
- La coopération de l'entité avec l'enquête
Autres autorités de réglementation de HIPAA
Comme nous l'avons mentionné précédemment, l'OCR n'est pas la seule entité autorisée à appliquer les règles HIPAA. Bien qu'ils n'interviennent pas aussi souvent, les procureurs généraux des États et les CMS ont également autorité en la matière. Ensuite, nous expliquerons quels pouvoirs leur sont accordés et comment ils appliquent HIPAA.
Procureurs généraux des États
En 2008, la loi sur la technologie de l'information de santé pour la santé économique et clinique (HITECH) a donné aux procureurs généraux des États le pouvoir d'appliquer HIPAA dans leurs États.
Au début, les États hésitaient à utiliser ce pouvoir et beaucoup ont choisi de ne pas le faire. Mais récemment, les procureurs généraux des États ont appliqué HIPAA de manière plus active. En 2021, par exemple, le New Jersey a aidé à enquêter sur la violation de données de 2019 à l'American Medical Collection Agency (AMCA).
Si l'implication croissante des États est en partie due au fait que cette pratique est devenue plus acceptée au fil du temps, il est également probable que cela soit dû au fait que les procureurs généraux sont désormais autorisés à garder une partie des amendes pour violation.
Il est important de noter que les pénalités émises par les procureurs généraux des États sont beaucoup moins sévères que celles émises par l'OCR, allant de 100 $ à 25 000 $.
Les centres de services Medicare et Medicaid (CMS)
En plus de ses stipulations bien connues sur la sécurité des patients, HIPAA inclut des dispositions conçues pour améliorer l'efficacité dans le secteur de la santé. Celles-ci sont connues sous le nom de règlements de simplification administrative de HIPAA.
Il est de la responsabilité du CMS de faire appliquer ces réglementations. Le CMS enquête sur les entités couvertes qui n'ont pas respecté cette partie de la HIPAA. Cependant, il n'émet pas de sanctions contre les entités non conformes, sauf si elles refusent de se conformer.
4 conseils pour maintenir la conformité HIPAA
Inutile de dire que se conformer à la HIPAA vous évitera bien des tracas — dites adieu au stress d'une enquête imminente. En plus de suivre les règles de sécurité et de confidentialité de la HIPAA, nous avons compilé des meilleures pratiques pour aider votre organisation à rester conforme.
- Formez les employés aux politiques de confidentialité et de sécurité : Idéalement, suivre les règles de confidentialité et de sécurité de la HIPAA suffirait pour qu'une organisation soit conforme à la HIPAA. Mais ce n'est pas toujours le cas. Créez et mettez régulièrement à jour les politiques de confidentialité et de sécurité, puis formez vos employés à suivre ces politiques lors de leur processus d'intégration et de manière régulière.
- Effectuez des auto-audits réguliers : Les menaces évoluent et les mesures de sécurité échouent avec le temps. Pour rester conforme, effectuez régulièrement des audits de vos protections physiques, techniques et administratives. Selon le HSS, ceux-ci doivent être effectués au moins chaque année.
- Documentez tout : Si votre organisation fait l'objet d'une enquête, ce sera un processus beaucoup plus simple si vous avez documenté tous vos efforts de conformité à la HIPAA. L'OCR et d'autres autorités de contrôle voudront probablement voir les rapports d'auto-audit, les politiques de confidentialité et de sécurité, et les sessions de formation de l'ensemble de l'organisation.
- Automatisez la conformité : Automatiser le processus de conformité rend beaucoup plus facile d'être conforme en continue. Cela rend les audits et les enquêtes beaucoup moins stressants.
Couvrez vos bases HIPAA avec Secureframe
Secureframe enlève les approximations de la conformité HIPAA. Nous décomposons le processus en étapes simples, de la création de politiques de confidentialité et de sécurité à la facilitation de la formation HIPAA des employés.
Notre logiciel facilite la vérification de la conformité HIPAA de vos fournisseurs. Nous éliminons le risque fournisseur dès le départ, en vous aidant à créer des accords d'association commerciale avec les partenaires ayant accès aux informations de santé des patients.
Pour une confiance totale dans votre stratégie de conformité HIPAA, demandez une démonstration de notre plateforme dès aujourd'hui.