Qu'est-ce que la conformité HIPAA ? Exigences HIPAA 2020

HIPAA est un acte juridique qui établit les règles de protection des informations des patientsIl permet aux patients des soins de santé de contrôler leurs informations sensibles et de s'appuyer sur des organisations, qui sont tenues de mettre en œuvre des structures standardisées de confidentialité et de sécurité des patients.Mais, même s'il existe depuis un certain temps, ses règles, ses exigences et ses normes de sécurité ne sont pas quelque chose que beaucoup de gens connaissent.Continuez à lire cette page et obtenez toutes les informations sur les règles de conformité HIPAA, les sanctions en cas de violation et d'autres détails importants dans la liste de contrôle HIPAA

La confidentialité HIPAA et les règles de sécurité HIPAA

La loi sur la portabilité et la responsabilité de l'assurance maladie a été rédigée avant tout pour moderniser la manière dont les informations de santé personnellement identifiables doivent être transmises, conservées et sécurisées par voie électronique.Elle a été adoptée en 1996 et constitue depuis une norme essentielle de chaque liste de contrôle d'audit de conformité des soins de santéEn tant que loi technologiquement neutre, HIPAA a bien vieilli au cours de son existence et est restée inchangée malgré les progrès rapides apportés par Internet au cours des deux dernières décennies.Dans son noyau, HIPAA est un acte juridique composé de règles, qui définissent les principales exigences de conformitéLes deux règles les plus importantes incluses dans cette loi sont la règle de sécurité HIPAA et la règle de confidentialité

 

Qu'est-ce que la règle de sécurité HIPAA ?

La règle de sécurité HIPAA a été introduite pour la première fois en 1998 et a fait l'objet de plusieurs modifications depuis sa première approbationLorsqu'il a été rédigé pour la première fois, les smartphones modernes n'étaient pas encore sur le marché et les premières plateformes de médias sociaux venaient juste d'apparaître sur Internet.Dans cet esprit, il est compréhensible que la liste de contrôle d'évaluation des risques HIPAA ait été considérablement mise à jour pour rester à jour avec la société en constante évolutionMalgré cela, la majeure partie du langage d'origine utilisé dans la première règle de sécurité HIPAA est restée à peu près la même au fil des ans

Qu'est-ce que la règle de confidentialité HIPAA ?

La règle de confidentialité a été promulguée pour la première fois en 2003Contrairement à la règle de sécurité HIPAA, qui définit les normes de sécurité de base, la règle de confidentialité fixe des limites spécifiques concernant l'utilisation des informations sensibles du patient sans l'autorisation du patientLa règle de confidentialité est un élément essentiel de la HIPAA, car l'un de ses principaux objectifs est de garantir aux patients le droit d'obtenir une copie de leur dossier de santé et de demander les corrections nécessaires.Avec plus de 400 pages dans le registre fédéral, il figure en bonne place sur la liste de contrôle d'évaluation des risques HIPAA

À qui s'applique la loi HIPAA ?

HIPAA s'applique à tous les fournisseurs de soins de santé, plans de santé et centres d'information sur les soins de santé si ces organisations envoient des informations de santé par voie électronique avec les transactionsPour avoir une compréhension complète de tout le monde et de tout ce qui est inclus dans ces trois catégories, examinons chacune d'elles plus en détail :

• Prestataires de soins – Hôpitaux, cliniques, médecins, dentistes, maisons de retraite, pharmacies, psychologues et chiropraticiens
• Plans de santé - HMO, plans de santé d'entreprise, programmes gouvernementaux (c'est-à-diree, Medicare, Medicaid), l'assurance maladie et les programmes de santé des anciens combattants
• Centres d'information sur les soins de santé – entités qui traitent des informations de santé non standard pour les organisations de soins de santé

Toute organisation appartenant à l'une des catégories ci-dessus est tenue de se conformer à la liste de contrôle des règles de conformité HIPAALes entités couvertes qui ne se conforment pas à la liste de contrôle HIPAA s'exposent à de lourdes sanctions financières et pénales pouvant aller jusqu'à 250 000 $ et dix ans de prison

Cela dit, il est nécessaire de garder à l'esprit que tous les organismes de santé ne sont pas tenus de se conformer à la loi HIPAACette loi s'applique uniquement aux organisations qui transfèrent des informations de santé protégées pour les transactions pour lesquelles le HHS a adopté des normesIl s'agit d'un aspect essentiel de la loi HIPAA, et tous les patients doivent en être conscients avant de partager des données de santé et personnelles sensibles.

À faire pour la règle de notification de violation HIPAA

La liste de contrôle HIPAA détaillée comprend des exigences précises de notification de violation que les entités couvertes doivent respecter dans une telle situationLa liste comprend les actions suivantes :

• Avis individuel : l'entreprise doit informer toutes les personnes concernées après la découverte d'une violation d'informations mal protégéesCes notifications doivent être envoyées sans délai déraisonnable, et au plus tard 60 jours après la découverte d'un manquementL'avis individuel présente également un ensemble d'options de protection des utilisateurs, y compris un téléphone sans frais où les individus peuvent obtenir des informations utiles et des conseils sur ce qu'il faut faire pour éviter tout autre dommage potentiel.
• Avis aux médias : les entités couvertes qui sont confrontées à une violation affectant plus de 500 résidents d'une juridiction ou d'un État doivent également fournir une notification aux principaux médias opérant dans cette juridiction ou cet État.Tout comme la notification précédente, l'avis aux médias doit être fourni dans un délai raisonnable, au plus tard 60 jours
• Avis au secrétaire : en plus des deux premières exigences de notification, les entités couvertes doivent également notifier au secrétaire les violations d'informations de santé protégées non sécuriséesSi une violation affecte plus de 500 personnes, l'entité couverte doit en informer le secrétaire dans les 60 joursSi, toutefois, la violation affecte moins de 500 personnes, l'entité couverte peut notifier le Secrétaire sur une base annuelle

Exigences de conformité HIPAA

Nous avons déjà établi que la loi sur la portabilité et la responsabilité de l'assurance maladie définit précisément les normes de protection des informations sensibles des patientsOutre la règle de sécurité HIPAA et la règle de confidentialité, HIPAA a également établi un ensemble de directives de sécurité concernant des données patient spécifiques qui sont détenues ou transférées sous forme électroniqueNaturellement, ces normes s'accompagnent d'une sécurité physique, technique et administrative que chaque entreprise doit suivre pour être conforme à la loi HIPAA.

Normes techniques

Selon les informations officielles fournies par l'HIPAA, les normes techniques sont la technologie et les politiques mises en place pour protéger et gérer l'accès aux données sensibles des patientsEn d'autres termes, il oblige l'entité visée à mettre en œuvre toutes les mesures nécessaires qui lui permettraient de maintenir des normes de sécurité raisonnables et appropriéesLes législateurs ont intentionnellement mis l'accent sur la partie « raisonnable et appropriée » de cette norme, car elle permet à chaque organisation de santé d'établir un mécanisme de sécurité en fonction de sa base de données, de son budget et de la complexité des données elles-mêmes.

Normes physiques

Les protections physiques comprennent toutes les mesures physiques, procédures et politiques visant à protéger les systèmes électroniques contre les intrusions physiques non autorisées et les risques environnementaux et naturelsCela implique tout, du bureau de l'entreprise au stockage physique séparé ou aux appareils des employés qui contiennent des informations sensibles qui nécessitent un stockage appropriéBien qu'elles ne soient pas aussi sophistiquées que les normes de sécurité techniques et administratives, les protections physiques sont des mesures de sécurité nécessaires que chaque organisation devrait avoir en place

Normes administratives

Tout comme les garanties techniques protègent, contrôlent et gèrent l'accès aux informations sensibles, des garanties administratives sont mises en place pour gérer le personnel de l'organisation concernant la protection desdites informationsCela signifie que chaque entité couverte doit mettre en œuvre des directives et des politiques qui aident les employés à utiliser et à gérer correctement les informations de santéPour développer un peu cela, les normes administratives stipulent que chaque organisation doit réaliser et surveiller de manière adéquate la délégation de responsabilité, les exigences de formation des employés et documenter toutes les décisions.

Comment obtenir la conformité HIPAA

La vérité est qu'il n'y a pas de conseils internes spécifiques qui peuvent aider une entreprise à passer la liste de contrôle d'audit HIPAA sans faire tout le travail nécessaireLa conformité HIPAA exige qu'une entité couverte (l'entreprise) garantisse une confidentialité, une intégrité et une disponibilité maximales des informations de santé protégées et élabore des procédures et des politiques de protection conformément à la liste de contrôle HIPAA

Pour atteindre la conformité HIPAA, l'entreprise doit étudier et appliquer chaque règle condensée dans les 115 pages HIPAAÉtant donné qu'une procédure aussi approfondie peut avoir un effet décourageant sur la majorité des fournisseurs, la plupart des entreprises décident de coopérer avec des sociétés tierces de conformité informatique HIPAA qui peuvent les aider à mettre en œuvre toutes les les politiques requises de manière appropriée

Hideez Enterprise Solution for Healthcare est une étape simple pour se conformer à la loi HIPAAIl élimine le risque d'attaques de phishing, crypte les informations d'identification et les rend invisibles pour les employés, vous protégeant ainsi d'une divulgation accidentelle.La solution Hideez permet un verrouillage et un déverrouillage transparents de l'ordinateur par proximité, ce qui est particulièrement utile dans l'environnement avec plusieurs ordinateurs partagés

Comment rester conforme à la loi HIPAA

En faisant une simple recherche en ligne, vous pouvez trouver des dizaines de résultats sur la façon de rester en conformité avec la législation mise en place par HIPAAInutile de dire que tous ne peuvent pas garantir que vous passerez le rapport HIPAA sur la conformité et que vous conserverez un statut de conformité HIPAACela dit, voici trois méthodes infaillibles à mettre en œuvre :

• Analyse régulière des risques
• Documentation de conformité détaillée
• Personnel hautement qualifié

Violations des lois de conformité HIPAA

Maintenant que nous comprenons les règles de conformité HIPAA de base et les mesures les plus importantes à mettre en œuvre pour rester conforme, examinons quelques-unes des causes les plus courantes de conformité HIPAA infractionsIl existe des centaines de possibilités dans lesquelles les règles de données conformes à la HIPAA peuvent être enfreintes, mais les plus courantes sont :

• Défaut d'effectuer une analyse des risques à l'échelle de l'entreprise
• Échec de la gestion des risques de sécurité
• Espionnage des dossiers médicaux privés
• Divulgation d'informations de santé protégées
• Refuser l'accès des personnes à leurs dossiers de santé
• Défaut de documenter les efforts de conformité
• Défaut de fournir une formation HIPAA suffisante

Bien sûr, pour être complètement transparent, nous devons mentionner que certaines violations de la confidentialité HIPAA proviennent d'infractions accidentelles

Néanmoins, l'ignorance et les infractions accidentelles nécessitent toujours certaines actions correctives à l'encontre de l'entreprise, mais probablement sans sanctions financières importantesDe plus, nous tenons également à mentionner que HIPAA ne devance pas la loi de l'ÉtatLa seule exception lorsque c'est le cas est dans les circonstances où les réglementations d'un État sont plus faibles que celles de la liste de contrôle HIPAA