Qui fait respecter l'HIPAA : Ce qu'il faut savoir pour être en conformité

Comment l'Office des droits civils préserve la confidentialité des PHI

La loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, ou HIPAA) a eu un impact considérable sur le secteur des soins de santé aux États-Unis depuis son entrée en vigueur en 1996. Si de nombreux acteurs du secteur de la santé en ont connaissance, beaucoup ont besoin d'apprendre ou ne savent pas qui est chargé de faire appliquer la loi.

Nous abordons ce sujet aujourd'hui, depuis les services gouvernementaux impliqués jusqu'aux diverses sanctions qui peuvent être imposées aux entreprises qui ne respectent pas la loi.

Qui est chargé de faire respecter les règles de l'HIPAA ?

Il s'agit tout simplement de l'Office of Civil Rights (OCR). Ce service relève du ministère américain de la santé et des services sociaux (HHS).

L'OCR est chargé de faire respecter la loi HIPAA. Il fournit des informations aux individus dans le cadre de l'HIPAA et des règles aux entités couvertes et aux associés commerciaux.

Comme nous l'avons vu précédemment, les "entités couvertes" sont en fait toutes les personnes qui détiennent des informations électroniques protégées sur la santé (PHI), telles que définies par le HHS. Elles se répartissent généralement comme suit

Les régimes de soins de santé, comme les compagnies d'assurance maladie, les programmes gouvernementaux qui financent les soins de santé (exemple : Medicare), et les programmes de santé des militaires et des anciens combattants (exemple : VA).

Les centres d'échange d'informations sur les soins de santé, comme les services de facturation médicale, les sociétés de refacturation ou les systèmes communautaires d'information sur la gestion de la santé (HMI).

Médecins, pharmacies et maisons de retraite

L'OCR est également impliqué dans la gestion de la crise des overdoses d'opioïdes qui sévit aux États-Unis.

Récemment, le département a annoncé qu'il étendait ses responsabilités à la cybersécurité.

Outre l'HIPAA, l'OCR est également responsable de :

Appliquer les lois fédérales sur les droits civils qui protègent les droits des individus et des entités contre la discrimination illégale fondée sur la race, la couleur, l'origine nationale, le handicap, l'âge ou le sexe dans le domaine de la santé et des services sociaux.

Appliquer les lois fédérales qui protègent la conscience et le libre exercice de la religion dans les services de santé et les services sociaux. Cela inclut l'interdiction de la coercition et de la discrimination religieuse.

L'OCR : liste de ses fonctions

L'HIPAA établit trois règles principales pour la protection des PHI. Ces règles sont les suivantes :

La règle de confidentialité

La règle de sécurité

La règle de notification des violations

La règle sur la protection de la vie privée

La règle sur la protection de la vie privée est conçue pour protéger les renseignements personnels. Elle se compose de deux parties :

Les entités couvertes doivent mettre en place des mesures de protection des informations sur les patients, qui vont de l'établissement de limites et de conditions d'utilisation des informations à la manière dont on y accède.

Les patients ont certains droits d'accès à leurs PHI.

La règle de sécurité

Ces normes et exigences doivent être utilisées pour protéger les PHI lorsqu'ils sont stockés par les entités couvertes et les associés commerciaux ou lors de leur transmission. Un exemple de ce dernier cas serait un échange entre la tablette médicale d'une infirmière autorisée et le smartphone d'un médecin.

Les mesures de protection sont un moyen de se conformer à cette règle, comme l'utilisation de lecteurs RFID intégrés et d'un logiciel d'authentification unique tel qu'Imprivata dans une telle tablette médicale.

La règle de notification des violations

Cette règle définit ce qui se passe lorsque l'entité couverte et tout associé commercial subissent une violation de données.

Le patient est-il le premier à être informé ? Ou le directeur de l'OCR ? Qu'en est-il du HHS ou même des médias ?

Cette règle répond à ces questions et à bien d'autres encore.

L'OCR applique également d'autres règles plus spécifiques de l'HIPAA, telles que la règle sur les transactions, la règle sur les identifiants et la règle sur l'application,

Comment l'OCR applique-t-il les décisions ?

L'OCR applique l'HIPAA de plusieurs manières.

L'une d'entre elles consiste à enquêter sur les plaintes. Chacune d'entre elles doit suivre des lignes directrices strictes pour que le service les prenne en considération.

La violation éventuelle doit avoir eu lieu au cours des six dernières années.

L'entité ou l'associé commercial concerné est soumis aux règles de l'HIPAA.

L'action commise par l'entité ou l'associé commercial a violé les règles de l'HIPAA.

La personne qui dépose la plainte doit le faire dans les 180 jours suivant la découverte de la violation possible.

Les contrôles de conformité ou les audits sont un autre moyen pour l'OCR de faire respecter la loi HIPAA. Il contactera les entités couvertes pour s'assurer que leurs processus sont conformes. Cela peut se faire dans le cadre d'une enquête sur une plainte ou de manière aléatoire par le département.

L'OCR, s'il détermine qu'une entité couverte n'a pas respecté la loi HIPAA, collaborera avec elle :

La mise en conformité volontaire par l'entité couverte

Mise en œuvre d'une action corrective.

Mise en place d'un accord de résolution.

La nature de la plainte, la violation et les entités couvertes affectent les négociations de l'OCR avec l'entité particulière ou l'associé commercial.

Sanctions civiles

Malheureusement, certaines entités couvertes ou leurs associés commerciaux peuvent ne pas respecter leur engagement vis-à-vis de l'OCR. Lorsque le département s'en rend compte, il peut imposer des sanctions pécuniaires civiles (CMP) :

100 à 50 000 dollars pour chaque infraction commise par l'entité mais "ignorée"

de 1 000 à 50 000 dollars pour chaque infraction commise par l'entité et pour laquelle elle avait ce qu'on appelle un "motif raisonnable" de commettre une infraction

10 000 à 50 000 dollars pour chaque infraction commise par l'entité par "négligence délibérée" avec action corrective.

Un ensemble de 50 000 $ si l'entité commet une "négligence délibérée" sans action corrective.

Les entités couvertes ou les associés commerciaux peuvent se voir infliger une amende maximale de 1 500 000 dollars pour toutes les violations d'une disposition identique au cours d'une année civile (avant inflation).

Sanctions pénales

L'OCR peut imposer des sanctions pénales en cas de violations plus graves :

50 000 dollars et jusqu'à un an d'emprisonnement pour l'utilisation abusive intentionnelle de PHI.

100 000 dollars et jusqu'à cinq ans d'emprisonnement en cas de faux semblants.

250 000 dollars et jusqu'à 10 ans d'emprisonnement pour les violations commises à des fins personnelles.

Il convient de noter que l'OCR ne travaille pas seul à l'application de la loi HIPAA. Si nécessaire, l'OCR peut faire appel aux pouvoirs d'exécution de :

Les Centers for Medicare and Medicaid Services (centres pour les services médicaux et les services de santé)

Food and Drug Administration (administration américaine des aliments et des médicaments)

Commission fédérale des communications

HHS

Enfin, de nombreux procureurs généraux d'État peuvent faire appliquer la loi HIPAA.

Dernières réflexions

L'Office of Civil Rights (OCR) veille à l'application des règles de l'HIPAA. L'OCR, qui fait partie du ministère américain de la santé et des services sociaux, veille à ce que les entités couvertes respectent les règles et soient traitées de manière appropriée lorsqu'elles ne les respectent pas. Il s'agit des fournisseurs, des compagnies d'assurance et de toute autre entité, ainsi que de leurs partenaires commerciaux, qui relèvent de la loi HIPAA.

Contactez un expert de Cybernet si vous souhaitez vous assurer que vos ordinateurs médicaux et autres équipements similaires sont conformes à l'HIPAA. Nous pouvons également vous suggérer des moyens de vous aider dans vos efforts de mise en conformité avec l'HIPAA, ce qui peut inclure le respect des pénalités imposées par l'OCR.