En tant que leader dans le domaine de la santé, la responsabilité de maintenir votre organisation conforme repose sur vos épaules — et c'est une responsabilité à prendre au sérieux.
Après tout, la perspective de devoir 16 millions de dollars pour des violations de la HIPAA, comme Anthem en 2018, semble probablement impensable. Pour vous assurer d'éviter les sanctions et de protéger les informations de vos patients, apprendre qui fait respecter la HIPAA est un excellent point de départ.
Dans ce guide, nous expliquons qui est responsable de l'application des règles de la HIPAA, les niveaux de sanctions pour les violations de la HIPAA et comment s'assurer que votre organisation est protégée contre ces sanctions.
Qui fait respecter la HIPAA ?
Voici la réponse simple : le bureau des droits civils (OCR) du département américain de la santé et des services sociaux (HHS) est le principal responsable de l'application des règles de confidentialité et de sécurité de la HIPAA.
Cela dit, il existe d'autres organisations qui ont également le pouvoir d'appliquer la HIPAA, bien qu'elles utilisent ce pouvoir moins fréquemment. Elles incluent les procureurs généraux des États et les centres de services Medicare et Medicaid (CMS).
L'OCR a la plus grande responsabilité d'appliquer la loi, alors commençons par examiner à quoi ressemble cette application.
Bureau des droits civils du HHS
L'OCR joue plusieurs rôles dans l'application des règles de confidentialité et de sécurité de la HIPAA. Il enquête sur les plaintes, effectue des examens de conformité et éduque les entités concernées sur les exigences de conformité. Si nécessaire, il peut imposer des sanctions aux entités non conformes et même les renvoyer au ministère de la Justice.
Bien que l'OCR priorise l'enquête sur les violations de données qui impactent plus de 500 personnes, il enquête également sur les organisations qui ont eu plusieurs petites violations. Les violations de données ne signifient pas toujours qu'une organisation n'est pas conforme à la HIPAA, mais l'OCR considère les violations comme une raison suffisante pour enquêter sur une entité couverte par la HIPAA.
L'OCR préfère évidemment résoudre les violations de la HIPAA par une conformité volontaire. C'est lorsque l'organisation en faute corrige volontairement ses problèmes de conformité. Si cela ne se produit pas, l'OCR poursuivra probablement une action en justice.
L'OCR classe les violations de la HIPAA en quatre catégories, par ordre de gravité :
- Catégorie 1: Une violation que l'entité couverte ne connaissait pas et n'aurait probablement pas pu éviter. L'entité a clairement essayé de se conformer à la HIPAA.
- Catégorie 2 : Une violation que l'entité couverte était censée connaître mais qu'elle n'a toujours pas pu éviter. Cette catégorie ne constitue pas encore une négligence délibérée.
- Catégorie 3 : Une violation due à une négligence délibérée des règles HIPAA. Pour entrer dans cette catégorie, l'entité doit avoir essayé de corriger ses erreurs.
- Catégorie 4 : Une violation due à une négligence délibérée des règles HIPAA dans laquelle l'entité était consciente de ses erreurs et n'a pas essayé de les corriger.
Les pénalités pour violation de HIPAA par l'OCR : Une répartition
L'OCR a une pénalité différente pour chacune de ses catégories de violation HIPAA. Elles sont les suivantes :
- Catégorie 1 : Une amende de 100 $ à 50 000 $ par violation
- Catégorie 2 : Une amende de 1 000 $ à 50 000 $ par violation
- Catégorie 3 : Une amende de 10 000 $ à 50 000 $ par violation
- Catégorie 4 : Une amende d'au moins 50 000 $ par violation
Les amendes pour violation sont plafonnées à 1 500 000 $ par violation, par an. Pour déterminer une amende spécifique dans chacune de ces catégories, l'OCR prend en compte les facteurs suivants :
- La taille de l'entité couverte
- Le type de données exposées
- La durée de la violation
- Le nombre de personnes affectées
- La gravité des dommages causés
- La coopération de l'entité avec l'enquête
Autres autorités de réglementation de HIPAA
Comme nous l'avons mentionné précédemment, l'OCR n'est pas la seule entité autorisée à appliquer les règles HIPAA. Bien qu'ils n'interviennent pas aussi souvent, les procureurs généraux des États et les CMS ont également autorité en la matière. Ensuite, nous expliquerons quels pouvoirs leur sont accordés et comment ils appliquent HIPAA.
Procureurs généraux des États
En 2008, la loi sur la technologie de l'information de santé pour la santé économique et clinique (HITECH) a donné aux procureurs généraux des États le pouvoir d'appliquer HIPAA dans leurs États.
Au début, les États hésitaient à utiliser ce pouvoir et beaucoup ont choisi de ne pas le faire. Mais récemment, les procureurs généraux des États ont appliqué HIPAA de manière plus active. En 2021, par exemple, le New Jersey a aidé à enquêter sur la violation de données de 2019 à l'American Medical Collection Agency (AMCA).
Si l'implication croissante des États est en partie due au fait que cette pratique est devenue plus acceptée au fil du temps, il est également probable que cela soit dû au fait que les procureurs généraux sont désormais autorisés à garder une partie des amendes pour violation.
Il est important de noter que les pénalités émises par les procureurs généraux des États sont beaucoup moins sévères que celles émises par l'OCR, allant de 100 $ à 25 000 $.
Les centres de services Medicare et Medicaid (CMS)
En plus de ses stipulations bien connues sur la sécurité des patients, HIPAA inclut des dispositions conçues pour améliorer l'efficacité dans le secteur de la santé. Celles-ci sont connues sous le nom de règlements de simplification administrative de HIPAA.
Il est de la responsabilité du CMS de faire appliquer ces réglementations. Le CMS enquête sur les entités couvertes qui n'ont pas respecté cette partie de la HIPAA. Cependant, il n'émet pas de sanctions contre les entités non conformes, sauf si elles refusent de se conformer.
4 conseils pour maintenir la conformité HIPAA
Inutile de dire que se conformer à la HIPAA vous évitera bien des tracas — dites adieu au stress d'une enquête imminente. En plus de suivre les règles de sécurité et de confidentialité de la HIPAA, nous avons compilé des meilleures pratiques pour aider votre organisation à rester conforme.
- Formez les employés aux politiques de confidentialité et de sécurité : Idéalement, suivre les règles de confidentialité et de sécurité de la HIPAA suffirait pour qu'une organisation soit conforme à la HIPAA. Mais ce n'est pas toujours le cas. Créez et mettez régulièrement à jour les politiques de confidentialité et de sécurité, puis formez vos employés à suivre ces politiques lors de leur processus d'intégration et de manière régulière.
- Effectuez des auto-audits réguliers : Les menaces évoluent et les mesures de sécurité échouent avec le temps. Pour rester conforme, effectuez régulièrement des audits de vos protections physiques, techniques et administratives. Selon le HSS, ceux-ci doivent être effectués au moins chaque année.
- Documentez tout : Si votre organisation fait l'objet d'une enquête, ce sera un processus beaucoup plus simple si vous avez documenté tous vos efforts de conformité à la HIPAA. L'OCR et d'autres autorités de contrôle voudront probablement voir les rapports d'auto-audit, les politiques de confidentialité et de sécurité, et les sessions de formation de l'ensemble de l'organisation.
- Automatisez la conformité : Automatiser le processus de conformité rend beaucoup plus facile d'être conforme en continue. Cela rend les audits et les enquêtes beaucoup moins stressants.
Couvrez vos bases HIPAA avec Secureframe
Secureframe enlève les approximations de la conformité HIPAA. Nous décomposons le processus en étapes simples, de la création de politiques de confidentialité et de sécurité à la facilitation de la formation HIPAA des employés.
Notre logiciel facilite la vérification de la conformité HIPAA de vos fournisseurs. Nous éliminons le risque fournisseur dès le départ, en vous aidant à créer des accords d'association commerciale avec les partenaires ayant accès aux informations de santé des patients.
Pour une confiance totale dans votre stratégie de conformité HIPAA, demandez une démonstration de notre plateforme dès aujourd'hui.
FAQs
Qui est responsable de l'application de la HIPAA?
Le Bureau des droits civils (OCR) au sein du Département de la santé et des services sociaux des États-Unis (HHS) est principalement responsable de l'application des règles de confidentialité, de sécurité et de notification de violation de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). L'OCR enquête sur les plaintes, effectue des examens de conformité et fournit de l'éducation et de la sensibilisation pour favoriser la conformité aux règles HIPAA. En plus de l'OCR, certains États peuvent avoir leurs propres agences ou procureurs généraux qui peuvent appliquer les réglementations HIPAA, notamment après l'adoption de la loi sur la technologie de l'information de santé pour la santé économique et clinique (HITECH), qui a donné aux procureurs généraux des États l'autorité d'intenter des actions civiles pour violations de la HIPAA.
Qui impose les sanctions HIPAA?
Les sanctions HIPAA sont principalement imposées par le bureau des droits civiques (OCR) du département américain de la santé et des services sociaux (HHS), mais elles peuvent également être imposées par les procureurs généraux des états et les Centers for Medicare and Medicaid Services (CMS). Il est important de noter que les sanctions émises par les procureurs généraux des états sont beaucoup moins sévères que celles émises par l'OCR, allant de 100 $ à 25 000 $. De plus, le CMS enquête uniquement sur les entités couvertes qui n'ont pas respecté les règlements de simplification administrative HIPAA et impose des sanctions contre les entités qui refusent de se conformer.
Qui supervise les plaintes HIPAA?
Le bureau des droits civiques (OCR) du département américain de la santé et des services sociaux (HHS) supervise et enquête sur les plaintes HIPAA déposées par des individus estimant qu'une entité couverte ou un partenaire commercial a violé leurs droits à la confidentialité des informations de santé (ou ceux de quelqu'un d'autre) ou commis une autre violation des règles de confidentialité, de sécurité ou de notification des violations.
Comment déposer une plainte concernant une violation HIPAA auprès du bureau des droits civiques?
Pour déposer une plainte concernant une violation HIPAA auprès du bureau des droits civiques, les individus peuvent remplir le formulaire de plainte de confidentialité et de sécurité des patients - PDF et le dossier de formulaire de consentement - PDF au format PDF ou soumettre une plainte écrite dans leur propre format, puis l'envoyer par la poste ou la télécopier au bureau régional OCR approprié ou l'envoyer par e-mail à OCRComplaint@hhs.gov. Toutes les exigences de plainte peuvent être trouvées ici.
Comment les réglementations HIPAA sont-elles appliquées?
Les réglementations HIPAA sont appliquées par divers mécanismes :
- Plaintes : Les individus peuvent déposer des plaintes auprès de l'OCR s'ils estiment que leurs droits en vertu de HIPAA ont été violés. L'OCR enquête sur ces plaintes et détermine s'il y a eu une violation.
- Examens de conformité : L'OCR peut initier un examen de conformité d'une entité couverte ou d'un partenaire commercial pour vérifier la conformité aux règles HIPAA.
- Audits : Le HHS OCR a établi un programme d'audit pour évaluer la conformité des entités couvertes et des partenaires commerciaux aux règles de confidentialité, de sécurité et de notification des violations HIPAA.
- Plans d'action corrective : Si une violation est identifiée, l'OCR peut exiger de l'entité qu'elle mette en œuvre un plan d'action corrective pour traiter et remédier à la violation.
- Sanctions pécuniaires civiles : En cas de non-conformité, l'OCR peut imposer des sanctions pécuniaires civiles à l'entité en violation. Le montant de la sanction est basé sur la nature et l'étendue de la violation et le préjudice résultant de la violation.
- Accords de résolution : L'OCR peut conclure un accord de résolution avec l'entité couverte ou le partenaire commercial, qui comprend généralement un règlement monétaire et un plan d'action corrective pour résoudre les problèmes de conformité.
Que se passe-t-il en cas de violation de HIPAA?
Les conséquences d'une violation de la HIPAA peuvent varier en fonction de la nature et de l'étendue de la violation ainsi que des dommages causés :
- Enquête et mesures correctives : Initialement, l'OCR peut demander une conformité volontaire et des mesures correctives de l'entité pour remédier à la violation.
- Pénalités civiles : Si la violation est grave ou si l'entité ne coopère pas, l'OCR peut imposer des pénalités civiles. Les pénalités pour violations de la HIPAA peuvent aller de 100 $ à 50 000 $ par violation ou par dossier, avec une pénalité maximale de 1,5 million de dollars par an pour les violations d'une même disposition.
- Pénalités pénales : En cas de négligence volontaire ou d'infractions pénales, telles que la divulgation illicite d'informations de santé personnellement identifiables, des sanctions pénales peuvent être imposées. Ces sanctions peuvent aller de peines d'amende pouvant atteindre 250 000 $ et d'emprisonnement jusqu'à dix ans, selon la gravité de la violation.
- Accords de résolution : L'entité peut également conclure un accord de résolution avec l'OCR, qui peut inclure un règlement monétaire et un plan d'action correctif spécifiant les actions que l'entité doit entreprendre pour se conformer aux règles de la HIPAA.
Les violations peuvent également entraîner des dommages à la réputation, une perte de confiance des patients et de potentielles poursuites judiciaires de la part des personnes affectées.
