HIPAA est une loi qui établit les règles pour la protection des informations des patients. Elle permet aux patients des soins de santé de contrôler leurs informations sensibles et de compter sur des organisations qui doivent mettre en œuvre des structures standardisées de confidentialité et de sécurité des patients. Cependant, même si elle existe depuis un certain temps, ses règles, exigences et normes de sécurité ne sont pas quelque chose que beaucoup de gens connaissent. Continuez à lire cette page et obtenez toutes les informations sur les règles de conformité à la HIPAA, les sanctions en cas de violation et d'autres détails importants dans la liste de contrôle HIPAA.
Les règles de confidentialité et de sécurité de la HIPAA
La Loi sur la portabilité et la responsabilité de l'assurance maladie a été rédigée avant tout pour moderniser la manière dont les informations de santé personnellement identifiables doivent être transmises, conservées et sécurisées électroniquement. Elle a été adoptée en 1996 et est depuis lors une norme essentielle de chaque liste de contrôle d'audit de conformité aux soins de santé. En tant que loi neutre en matière de technologie, la HIPAA a bien vieilli au cours de son existence et est restée inchangée malgré les avancées rapides apportées par Internet au cours des deux dernières décennies. Dans son essence, la HIPAA est une loi composée de règles, qui établissent les principales exigences en matière de conformité. Les deux règles les plus importantes incluses dans cette loi sont la règle de sécurité de la HIPAA et la règle de confidentialité.
Qu'est-ce que la règle de sécurité de la HIPAA?
La règle de sécurité de la HIPAA a été introduite pour la première fois en 1998 et a fait l'objet de plusieurs amendements depuis son approbation initiale. Lorsqu'elle a été rédigée pour la première fois, les smartphones modernes n'étaient pas encore sur le marché, et les premières plates-formes de médias sociaux faisaient tout juste leur apparition sur Internet. Dans cette optique, il est compréhensible que la liste de contrôle d'évaluation des risques de la HIPAA ait été considérablement mise à jour pour rester à jour avec la société en constante évolution. Malgré cela, la plupart du langage original utilisé dans la première règle de sécurité de la HIPAA est resté à peu près le même au fil des ans.
Qu'est-ce que la règle de confidentialité de la HIPAA?
La Règle de confidentialité a été promulguée pour la première fois en 2003. Contrairement à la règle de sécurité de la HIPAA, qui établit les normes de sécurité de base, la Règle de confidentialité fixe des limites spécifiques concernant l'utilisation des informations sensibles sur les patients sans l'autorisation du patient. La Règle de confidentialité est une partie essentielle de la HIPAA, car l'un de ses principaux objectifs est de garantir aux patients le droit d'obtenir une copie de leurs dossiers médicaux et de demander toute correction nécessaire. Avec plus de 400 pages dans le Registre fédéral, elle occupe une place importante dans la liste de contrôle d'évaluation des risques de la HIPAA.
À qui s'applique la HIPAA?
La HIPAA s'applique à tous les fournisseurs de soins de santé, aux régimes d'assurance maladie et aux centres d'information sur la santé si ces organisations envoient des informations de santé électroniquement avec des transactions. Pour comprendre pleinement tout le monde et tout ce qui est inclus dans ces trois catégories, examinons chacun d'eux de plus près :
- Fournisseurs de soins de santé - Hôpitaux, cliniques, médecins, dentistes, maisons de retraite, pharmacies, psychologues et chiropraticiens.
- Régimes d'assurance maladie - HMO, régimes d'entreprise, programmes gouvernementaux (c.-à-d. Medicare, Medicaid), assurances maladie et programmes de santé des vétérans.
- Centres d'information sur la santé - entités qui traitent des informations de santé non standard pour des organisations de santé.
Toute organisation relevant de l'une des catégories ci-dessus est tenue de se conformer à la liste de contrôle de conformité à la HIPAA. Les entités couvertes qui ne se conforment pas à la liste de contrôle de conformité à la HIPAA peuvent encourir des sanctions financières et pénales sévères pouvant aller jusqu'à 250 000 $ et dix ans de prison.
Cela dit, il est nécessaire de garder à l'esprit que toutes les organisations de santé ne sont pas tenues de respecter la conformité à la HIPAA. Cette loi ne s'applique qu'aux organisations qui transfèrent des informations de santé protégées pour des transactions que le HHS a adoptées. Il s'agit d'un aspect vital de la HIPAA, et tous les patients doivent en être conscients avant de partager des données de santé sensibles et personnelles.
La Règle de Notification des Violations de la HIPAA à Faire
La liste de contrôle détaillée de la HIPAA comprend des exigences précises en matière de notification des violations que les entités couvertes doivent respecter en cas de situation de ce type. La liste comprend les actions suivantes :
- Notification individuelle - L'entreprise doit informer tous les individus concernés après la découverte d'une violation des informations mal protégées. Ces notifications doivent être envoyées sans délai déraisonnable, et au plus tard 60 jours suivant la découverte d'une violation. La notification individuelle propose également un ensemble d'options de protection de l'utilisateur, y compris un numéro de téléphone sans frais où les individus peuvent obtenir des informations utiles et des conseils sur ce qu'il faut faire pour éviter tout autre dommage potentiel.
- Notification aux médias - Les entités couvertes confrontées à une violation affectant plus de 500 résidents d'une seule juridiction ou État doivent également fournir une notification aux principaux médias opérant dans cette juridiction ou cet État. Tout comme la notification précédente, la notification aux médias doit être fournie dans un délai raisonnable, au plus tard 60 jours.
- Notification au Secrétaire - En plus des deux premières exigences de notification à faire, les entités couvertes doivent également informer le Secrétaire des violations des informations de santé protégées non sécurisées. Si une violation affecte plus de 500 individus, l'entité couverte doit informer le Secrétaire dans les 60 jours. Si, cependant, la violation affecte moins de 500 individus, l'entité couverte peut informer le Secrétaire sur une base annuelle.
Exigences de Conformité à la HIPAA
Nous avons déjà établi que la Loi sur la Portabilité et la Responsabilité de l'Assurance Maladie définit précisément les normes de protection des informations sensibles des patients. Outre la règle de sécurité de la HIPAA et la règle de confidentialité, la HIPAA a également établi un ensemble de directives de sécurité concernant des données spécifiques sur les patients qui sont détenues ou transférées sous forme électronique. Naturellement, de telles normes s'accompagnent de mesures de sécurité physiques, techniques et administratives que chaque entreprise doit suivre pour être conforme à la HIPAA.
Normes Techniques
D'après les informations officielles fournies par la HIPAA, les normes techniques sont la technologie et les politiques mises en place pour protéger et gérer l'accès aux données sensibles des patients. En d'autres termes, elle oblige l'entité couverte à mettre en œuvre toutes les mesures nécessaires permettant de maintenir des normes de sécurité raisonnables et appropriées. Les législateurs ont intentionnellement souligné la partie "raisonnable et appropriée" de cette norme, car cela permet à chaque organisation de santé d'établir un mécanisme de sécurité en accord avec sa base de données, son budget et la complexité des données elles-mêmes.
Normes Physiques
Les garanties physiques comprennent toutes les mesures, procédures et politiques physiques visant à protéger les systèmes électroniques contre les intrusions physiques non autorisées, les dangers environnementaux et naturels. Cela implique tout, des bureaux de l'entreprise au stockage physique séparé ou aux appareils des employés contenant des informations sensibles qui nécessitent un stockage approprié. Bien qu'elles ne soient pas aussi sophistiquées que les normes de sécurité techniques et administratives, les garanties physiques sont des mesures de sécurité nécessaires que toute organisation doit mettre en place.
Normes Administratives
Tout comme les garanties techniques protègent le contrôle et la gestion de l'accès aux informations sensibles, les garanties administratives sont mises en place pour gérer la main-d'œuvre de l'organisation concernant la protection desdites informations. Cela signifie que chaque entité couverte doit mettre en œuvre des lignes directrices et des politiques qui aident les employés à utiliser et à gérer correctement les informations de santé. Pour élargir un peu sur ce point, les normes administratives stipulent que chaque organisation doit réaliser et surveiller adéquatement la délégation des responsabilités, les exigences de formation des employés et documenter toutes les décisions.
Comment Obtenir la Conformité à la HIPAA
La vérité est qu'il n'y a pas de conseils spécifiques qui peuvent aider une entreprise à réussir la
Pour atteindre la conformité à la HIPAA, l'entreprise doit étudier et appliquer chaque règle condensée dans les 115 pages de la HIPAA. Comme une telle procédure approfondie peut avoir un effet décourageant sur la majorité des fournisseurs, la plupart des entreprises décident de coopérer avec des entreprises tierces de conformité à la HIPAA IT qui peuvent les aider à mettre en œuvre toutes les politiques requises de manière appropriée.
La solution d'entreprise Hideez pour les soins de santé est une étape simple pour devenir conforme à la HIPAA. Elle élimine le risque d'attaques de hameçonnage, chiffre les identifiants et les rend invisibles pour les employés, les protégeant contre toute divulgation accidentelle. La solution Hideez permet le verrouillage et le déverrouillage transparents de l'ordinateur par proximité, ce qui est particulièrement utile dans un environnement avec plusieurs ordinateurs partagés.
Comment Rester Conforme à la HIPAA
En faisant simplement une recherche en ligne, vous pouvez trouver des dizaines de résultats sur la manière de rester conforme à la législation mise en place par la HIPAA. Inutile de dire que tous ne peuvent pas garantir que vous passerez le rapport de conformité à la HIPAA et maintiendrez un statut de conformité à la HIPAA. Cela dit, voici trois méthodes infaillibles pour y parvenir :
- Analyse de risques régulière
- Documentation détaillée de la conformité
- Personnel hautement formé
Violations des Lois de Conformité à la HIPAA
Maintenant que nous comprenons les règles de base de la conformité à la HIPAA et les mesures les plus importantes à mettre en œuvre pour rester conforme, examinons quelques-unes des causes les plus courantes de violations de la conformité à la HIPAA. Il existe des centaines de possibilités de violer les règles de conformité aux données conformes à la HIPAA, mais les plus courantes sont les suivantes :
- Défaut de réaliser une analyse des risques à l'échelle de l'entreprise
- Défaut de gérer les risques de sécurité
- Consultation des dossiers de santé privés
- Divulgations d'informations de santé protégées
- Refus d'accès des individus à leurs dossiers médicaux
- Défaut de documenter les efforts de conformité
- Défaut de fournir une formation à la HIPAA suffisante
Bien sûr, pour être totalement transparent, nous devons mentionner que certaines violations de la conformité à la vie privée de la HIPAA proviennent d'infractions accidentelles.
Néanmoins, l'ignorance et les infractions accidentelles nécessitent toujours certaines mesures correctives à l'encontre de l'entreprise, même probablement sans aucune sanction financière significative. De plus, nous tenons également à mentionner que la HIPAA ne prévaut pas sur la loi étatique. La seule exception à cette règle est lorsque les réglementations d'un État sont moins strictes que celles de la liste de contrôle de conformité à la HIPAA.