Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X

Centre d’informations XMedius sur la loi HIPAA : renseignements sur la conformité et la sécurité

En tant que prestataire de solutions privilégié sur le marché de la santé, XMedius se consacre à proposer des solutions qui améliorent la productivité, minimisent les risques et simplifient la conformité réglementaire pour nos clients du secteur de la santé. Nos solutions ont permis d’établir des moyens de communication et de traitement des données conformes à la loi HIPAA, pour les :

  • hôpitaux;
  • cabinets privés (médecins, dentistes, praticiens en santé mentale);
  • prestataires de régimes d’assurance-maladie;
  • employeurs gouvernementaux;
  • et bien d’autres.

Que vous découvriez tout juste la loi HIPAA ou que vous vouliez approfondir vos connaissances, notre guide vise à vous aider à déchiffrer les rudiments de la loi HIPAA afin que vous disposiez des renseignements dont vous avez besoin pour être conforme.

La loi HIPAA − avant-propos

La loi HIPAA est la pierre angulaire de la réglementation moderne en matière de gestion de dossiers médicaux pour les entreprises américaines, qu’il s’agisse de prestataires de soins de santé ou d’entreprises fournissant des services à ces prestataires, qui manipulent des renseignements médicaux sensibles et doivent veiller à la sécurité et à la consignation de tous les renseignements médicaux à caractère identifiable dont elles s’occupent.

Lors de sa création, la loi HIPAA a été pensée pour évoluer avec le temps, et même si les entreprises en avaient compris les tenants et les aboutissants au début, beaucoup de choses ont changé depuis. Nos solutions sécurisées de communication et d’échange de fichiers sont taillées sur mesure afin de faciliter la conformité à la loi HIPAA en tout temps, et éviter aux entreprises des relations publiques cauchemardesques ainsi que de payer des amendes.

Notions élémentaires sur la loi HIPAA

Quand la loi HIPAA a-t-elle été promulguée?

Bien que la loi HIPAA ait été promulguée en 1996, une partie de la loi obligeait le ministère américain de la Santé et des Services sociaux (HHS) d’instituer des règles au cas où le Congrès ne le ferait pas dans un délai déterminé, de sorte que certaines parties de la loi HIPAA ne furent rédigées que plus tard.

Le HHS a finalement dû instituer les règles (le Congrès n’ayant pas agi dans un délai de trois ans). La version finale de la Règle de la confidentialité (Privacy Rule), qui institue les directives nationales en matière de protection des renseignements personnels, n’a été publiée qu’à la fin de l’année 2000. Tout le monde était tenu de s’y conformer au plus tard en avril 2004.

La Règle de la sécurité (Security Rule), qui a introduit des réglementations nationales pour la protection des renseignements médicaux électroniques, a été instituée au début de 2003, et toutes les entités concernées devaient s’y conformer dès 2006.

En 2013, la règle générale finale de la loi HIPAA (HIPAA Omnibus Final Rule) apportait d’importantes modifications et mises à jour à la loi originale, et faisant ainsi de la loi HIPAA celle que nous connaissons aujourd’hui.

Que signifie HIPAA?

HIPAA est l’acronyme de Health Insurance Portability and Accountability Act of 1996 (loi de 1996 sur la transférabilité et la responsabilisation en matière d’assurance-santé), également connue sous la « loi Kennedy-Kassebaum » dans les milieux politiques.

Qu’est-ce que la loi HIPAA?

HIPAA est une loi américaine historique couvrant le régime médical des É.-U.

La loi HIPAA avait deux principaux objectifs :

  • instituer des mesures de protection supplémentaires qui permettront à toute personne de conserver ou de remplacer son assurance-maladie lorsqu’elle quitte ou change d’emploi, même en cas de conditions préexistantes. Il convient de mentionner que ces mesures de protection étaient assorties de conditions qui ont depuis été supprimées par la loi américaine sur les soins abordables (Obamacare).
  • instituer, à l’échelle nationale, des règles normalisées pour le stockage, le transfert, la protection et la divulgation des dossiers médicaux personnels.

Les protections prescrites par la loi HIPAA en matière d’assurance médicale ont permis aux consommateurs d’obtenir et de conserver plus facilement une assurance maladie, malgré des antécédents ou une situation chaotique, comme la perte d’un emploi.

La partie de la loi HIPAA sur la confidentialité est importante parce qu’elle protège les dossiers médicaux des patients et institue une norme universelle sur la façon dont ces dossiers doivent être manipulés. Aux États-Unis, d’un océan à l’autre, tous les prestataires de soins médicaux qui se qualifient comme entités couvertes (et leurs associés commerciaux) doivent suivre les mêmes règles et faire face aux mêmes enjeux.

Les patients connaissent leurs droits en matière de protection de la confidentialité, et les entreprises savent ce qu’elles doivent offrir. Il est possible de concevoir des contrats, formulaires, politiques d’entreprise, normes du secteur et des logiciels qui faciliteront la conformité à la loi HIPAA.

Quels sont les titres de la loi HIPAA ?

La loi HIPAA a été divisée en cinq parties (appelées « Titres »), chacune traitant d’un aspect différent du domaine de la santé. Voici une brève description de chacun d’eux :

Titre 1 : réforme de l’assurance-santé

Le titre 1 comporte trois dispositions différentes en matière de protection du consommateur, et vise à réformer les pratiques sur le marché américain de l’assurance maladie :

  • il protège la couverture de l’employé lorsqu’il change d’emploi ou le perd;
  • il empêche les compagnies d’assurance de refuser une couverture à des personnes adhérant à un régime collectif, en fonction de conditions préexistantes particulières;
  • il empêche les compagnies d’assurance de fixer un plafond de garantie maximale à vie.

Titre 2 : simplification administrative

Le titre 2 obligeait le ministère américain de la Santé et des Services sociaux (HHS) à instituer une norme nationale pour le traitement des opérations électroniques relatives à la santé.

C’est cet article de la loi HIPAA qui contient les règles de confidentialité et de sécurité, prescrit la conformité, et dont les gens se soucient le plus aujourd’hui. Il a été créé pour faire face à l’essor des dossiers médicaux électroniques. Auparavant, les lignes directrices en matière de sécurité et de manipulation des dossiers étaient établies par chaque prestataire de soins de santé, car il n’y avait pas de norme nationale.

La loi HIPAA obligeait le ministère américain de la Santé et des Services sociaux (HHS) à instituer un ensemble normalisé de normes, de règles de confidentialité et de règles de sécurité qui couvriraient l’ensemble du réseau de santé. Les directives de la loi HIPAA prévalent sur les lois locales qui offrent moins de protection, et permettent ainsi aux entreprises de savoir plus facilement ce qu’elles doivent faire. Cependant, même si la loi HIPAA fixe les normes minimales, les lois nationales peuvent prescrire des conditions plus rigoureuses auxquelles les établissements doivent se conformer.

Par exemple, la loi HIPAA prescrit que les patients soient avisés d’une violation dans les 60 jours, mais la loi californienne prévaut, car elle prescrit un délai plus rigoureux de 15 jours.

Titre 3 : dispositions fiscales relatives aux comptes d’épargne médicale

Le titre 3 institue des règles normalisant le montant du salaire d’un employé qu’il peut réaffecter à un compte d’épargne-santé avant impôt (pre-tax health savings accounts : HSA) jumelé à un régime d’assurance maladie à franchise élevée.

Titre 4 : application et respect des prescriptions générales d’un régime collectif d’assurance-maladie

Le titre 4 décrit plus en détail les procédures nécessaires au respect des nouvelles règles (au titre 1) couvrant les régimes collectifs d’assurance maladie.

Titre 5 : diverses recettes en déduction des dépenses

Le titre 5 couvre des règles fiscales complexes, notamment celles relatives aux primes d’assurance-vie émises par les entreprises. Il abroge la règle des institutions financières sur la répartition des intérêts et élargit l’imposition et le signalement de citoyens américains renonçant volontairement à leur citoyenneté pour modifier leur situation fiscale.

Comment la loi HIPAA couvre-t-elle les renseignements médicaux des patients?

Le titre 2 de la loi HIPAA est la partie qui prescrit les normes relatives aux dossiers médicaux électroniques, mais elle contient également les règles essentielles de sécurité et de confidentialité. Voici un résumé de ce qu’elle contient :

Règle sur les identifiants uniques

Toutes les entités de soins de santé, y compris les particuliers, les régimes de soins de santé, les employeurs et les prestataires de soins de santé doivent avoir un numéro d’identifiant national de prestataire (INP).

Norme en matière d’opérations et de jeux de code

Elle institue un ordre normalisé pour le transfert électronique de données (TED) au niveau national. Tous les établissements de soins de santé sont tenus d’utiliser ce procédé pour envoyer et traiter les demandes de règlement d’assurance.

Règle de la confidentialité

(normes relatives à la confidentialité des renseignements médicaux personnels pouvant permettre une identification de la personne)

Cette règle définit les renseignements médicaux protégés (RMP) et institue des règles qui garantissent la confidentialité du patient en matière de création, de stockage et de transfert.

Règle de la sécurité

(normes de sécurité relatives à la protection des renseignements médicaux électroniques protégés)

Cette règle institue des normes minimales, à l’échelle nationale, pour le stockage, le transport et la divulgation des renseignements médicaux électroniques protégés (eRMP).

Règle du respect des normes

Prescrit les directives pour les enquêtes sur les infractions possibles à la loi HIPAA.

Comment la loi HIPAA a-t-elle évolué au fil des ans?

La loi HITECH

La Health Information Technology for Economic and Clinical Health Act ou HITECH Act (loi américaine sur les technologies de l’information dans la santé pour la santé économique et clinique) fait partie de la loi américaine de 2009 American Recovery and Reinvestment Act ou ARRA (loi sur la relance et le réinvestissement). L’objectif de la loi HITECH était de relancer le passage du secteur américain de la santé aux dossiers médicaux électroniques (DME) par le biais d’incitations financières pour la mise en œuvre et « l’utilisation pertinente » de DME dans le traitement des patients.

La loi HITECH a également ajouté de nouvelles règles imposant des sanctions actualisées et le signalement obligatoire des violations importantes de données (plus de 500 patients) au HHS, aux médias et patients concernés.

Enfin (en ce qui concerne la loi HIPAA), la loi HITECH a élargi l’ensemble des prescriptions générales de confidentialité de la loi HIPAA concernant les entités couvertes pour inclure les associés commerciaux (et leurs sous-traitants) et a institué des procédures plus rigoureuses pour les contrats d’associés commerciaux entre les entités couvertes et les associés commerciaux. Les nouveaux contrats d’associés commerciaux et les avis de pratiques en matière de confidentialité étaient assujettis à ces modifications après l’adoption de la règle générale définitive en 2013.

Actualisation de la règle générale

L’actualisation de la règle générale de 2013 a affiné les règles de la loi HIPAA en matière de confidentialité et de sécurité des renseignements pour en faire ce qu’elles sont aujourd’hui. Elle était responsable (entre autres) de la mise en œuvre des modifications de la loi HIPAA prescrites par la loi HITECH.

En plus des modifications abordées dans la partie Loi HITECH ci-dessus, des modifications supplémentaires ont été introduites :

  • les RMP sont protégés jusqu’à 50 ans après le décès d’un patient (auparavant, cette protection était indéfinie, ce qui pouvait poser des difficultés pour les entités couvertes et leurs associés commerciaux);
  • les patients peuvent choisir de ne pas avoir leurs renseignements médicaux transmis aux compagnies d’assurance pour les services qu’ils paient de leur poche;
  • des prescriptions générales plus rigoureuses en matière de signalement des violations pour les entités couvertes et leurs associés commerciaux;
  • le ministère américain de la Santé et des Services sociaux (HHS) a reçu un nouveau mandat pour effectuer des vérifications périodiques de conformité;
  • la non-protection des RMP pourrait être considérée comme un motif d’avis de violation de la confidentialité, qu’il y ait ou non la trace d’un accès non autorisé;
  • une autorisation permettant de renoncer temporairement aux protections de la loi HIPAA, en cas de catastrophe naturelle (comme un ouragan) nécessitant une mobilisation massive du réseau des soins de santé;
  • règles concernant l’utilisation des renseignements médicaux personnels à des fins de marketing et de collecte de fonds.

GINA

GINA est l’acronyme de Genetic Information Nondiscrimination Act (loi de 2008 sur la non-discrimination concernant les renseignements génétiques d’une personne). Il s’agit d’une loi adoptée par le Congrès visant à empêcher les compagnies d’assurance et les employeurs de faire de la discrimination contre les personnes en fonction de leurs prédispositions génétiques. La loi GINA a élargi la définition des RMP de la loi HIPAA pour inclure les renseignements génétiques.

Webinaire « Les pièges de la loi HIPAA qu’il faut absolument éviter »

Joignez-vous à Mike Semel, un professionnel de la sécurité certifié sur la loi HIPAA, pour une visite guidée des pièges les plus courants dans lesquels vos employés peuvent involontairement tomber et pouvant entraîner une violation de la loi HIPAA pour votre établissement (en anglais seulement).

L’obligation de protéger les renseignements du patient

Quelles sont les entreprises concernées par la loi HIPAA?

Vous êtes probablement considéré comme une « Entité couverte » et assujetti à la réglementation de la loi HIPAA si vous êtes un :

Régime d’assurance-maladie

(remarque : les entreprises plus grandes qu’une taille prédéterminée et qui autofinancent et remboursent les frais de santé de leurs employés sont considérées comme des régimes d’assurance-maladie).

Centre d’information sur les soins de santé

(services de facturation, réseaux d’information communautaires sur la santé ou de gestion de la santé, sociétés d’indexation des prix, réseaux et commutateurs « à valeur ajoutée »)

Prestataire de soins de santé qui transmet des renseignements médicaux par voie électronique

(cabinets médicaux, hôpitaux, thérapeutes en santé physique ou mentale, laboratoires, etc.)

Les médecins qui ne transmettent pas de renseignements médicaux par voie électronique parce qu’ils pratiquent des interventions facultatives non prises en charge par les assurances (comme la chirurgie plastique ou esthétique) ne sont pas couverts par la loi HIPAA.

Les établissements qui s’occupent des renseignements pour les entités couvertes peuvent être classés dans la catégorie des « associés commerciaux » et sont également assujettis à la loi HIPAA.

Qu’est-ce qu’un associé commercial selon la loi HIPAA?

Même si vous travaillez avec une entreprise qui ne fournit pas de soins de santé ou une assurance-santé, celle-ci peut être classée comme un « associé commercial » selon la loi HIPAA si elle gère des renseignements médicaux en votre nom. Cela signifie que vous pouvez être tenu responsable de toute violation de la loi HIPAA qu’elle commet avec les renseignements de vos patients, à moins que vous ne vous protégiez avec un contrat d’associé commercial stipulant ses obligations.

Les entreprises et les services qui peuvent être classés comme associés commerciaux comprennent :

  • les organismes d’information sur la santé;
  • les passerelles d’ordonnances électroniques;
  • les prestataires de services de transmission de données qui seront en possession ou auront besoin d’accéder à des renseignements médicaux protégés;
  • toute personne qui donne un dossier de santé personnel à des personnes en votre nom;
  • les sous-traitants qui reçoivent, conservent ou transmettent des renseignements médicaux protégés en votre nom;
  • les avocats;
  • les gestionnaires des avantages sociaux en pharmacie;
  • les administrateurs tiers;
  • les transcripteurs médicaux indépendants;
  • les comptables et employés indépendants de cabinets d’experts-comptables.

Bien que la Règle de la sécurité soit entrée en vigueur en 2005, bien avant le Cloud, elle a été actualisée depuis en 2016 avec les Lignes directrices pour les services Cloud. Le réseau des Associés commerciaux est une considération très importante à l’ère du Cloud, car tous les services basés sur le Cloud que vous ou vos employés utilisez pour les renseignements médicaux (y compris de nombreux services gratuits destinés aux particuliers) sont considérés comme des Associés commerciaux en vertu de la loi. Ce statut les concerne même si les renseignements sont cryptés avant d’être envoyés et qu’ils n’ont pas la clé. Si vos renseignements sont sous leur responsabilité, ce sont des associés commerciaux.

Si votre entreprise fait appel à une entité pouvant être considérée comme un associé commercial en vertu de la loi HIPAA, vous devez obtenir un contrat d’associé commercial qui l’obligera à aligner ses méthodes de gestion de vos renseignements sur vos obligations en vertu de la loi HIPAA.

Quels sont, selon la loi HIPAA, les renseignements médicaux protégés (RMP)?

Les données médicales couvertes par la loi HIPAA s’appellent des renseignements médicaux protégés (RMP ou eRMP lorsqu’ils sont sous forme électronique).

La loi HIPAA définit les RMP comme tout « renseignement médical permettant d’identifier une personne », qu’il soit stocké ou transmis électroniquement, sur papier ou par la parole.

Tout ce qui permet d’identifier une personne et qui donne un aperçu de son passé, de sa situation actuelle ou de son avenir

  • sa santé mentale ou physique
  • ses soins
  • le paiement de ses soins

est généralement couvert par les règles de confidentialité et de sécurité de la loi HIPAA.

Les renseignements permettant d’identifier un patient, s’ils figurent sur un document, comprennent :

  • les noms ou parties des noms, y compris les initiales;
  • toutes les subdivisions géographiques plus petites qu’un État, notamment l’adresse civique, la ville, le comté, la circonscription, le code postal et leurs géocodes équivalents, à l’exception des trois premiers chiffres du code postal;
  • tous les éléments d’une date (sauf l’année) directement liée à une personne, notamment la date de naissance, la date d’admission, la date de sortie, la date de décès, etc.;
  • les numéros de téléphone et de fax;
  • les adresses email;
  • les numéros de sécurité sociale;
  • les numéros de dossier médical;
  • les numéros des bénéficiaires du régime d’assurance maladie;
  • les numéros de compte;
  • les numéros de certificat ou de licence;
  • les identifiants et numéros de série des véhicules, y compris les numéros de plaque d’immatriculation;
  • les identifiants et numéros de série des appareils;
  • l’URL d’un site Internet;
  • les adresses IP (protocole Internet);
  • les identifiants biométriques, y compris les empreintes digitales et vocales;
  • les images photographiques du visage complet (ou images comparables);
  • tout autre numéro d’identifiant, caractéristique ou code unique.

Les dossiers médicaux personnels et autres renseignements dont l’ensemble des liens et vecteurs d’identification possibles avec le patient ont été supprimés (comme c’est généralement le cas dans les essais et études) peuvent être classés « Renseignements médicaux anonymisés » et ne sont plus assujettis aux vérifications de la loi HIPAA.

Pendant combien d’années les RMP sont-ils protégés après le décès de la personne?

Lorsque la loi HIPAA est entrée en vigueur au début, les RMP étaient protégés indéfiniment. Ce qui pouvait poser, aux entités couvertes et associés commerciaux, de sérieux problèmes pour la consignation des renseignements. Alors, en 2013, la règle générale a été actualisée et a modifié cette limite en prescrivant que les RMP soient protégés pendant 50 ans après le décès du patient.

La loi HIPAA et les législations nationales

En cas de conflit entre la loi HIPAA et les lois nationales, qu’est-ce qui prévaut?

La loi HIPAA a été pensée comme une référence nationale à laquelle tous les organismes de santé du pays devaient se conformer. Toutefois, de nombreux États ont des lois qui prescrivent des conditions plus rigoureuses que la loi HIPAA.

Lorsqu’il y a conflit entre les deux sur un point précis, la disposition la plus rigoureuse l’emporte. Cela se fait point par point, de sorte qu’une loi d’État peut arrêter des protections plus rigoureuses sur certaines parties des pratiques de confidentialité, tandis que la loi HIPAA contrôle d’autres parties.

Par exemple, si la loi d’un État prescrit une divulgation plus rapide des violations que ce qui est nécessaire en vertu de la loi HIPAA, cette partie de la loi d’État prévaut. Si la loi HIPAA prescrit plus de mesures de sécurité des renseignements que les lois d’État (probablement plus anciennes), les dispositions de la loi HIPAA prévalent.

En d’autres termes, tout ce qui se trouve dans la loi HIPAA est toujours une prescription générale minimale, mais ce n’est jamais forcément une prescription générale maximale. Il est donc vital que les établissements soient au courant des prescriptions générales de la loi HIPAA et des lois locales en vigueur.

Quelles sont les lois que vous devez respecter, celles de l’État où est située votre entreprise ou celles de l’État où est domicilié le patient?

Les lois que vous devez observer sont à la fois celles de l’État où réside votre établissement et celles de l’État dans lequel se trouve le patient.

« Si vous n’êtes pas en Californie et que vous avez des renseignements sur un résident californien, vous devrez protéger ces renseignements et aviser le résident dans les délais prescrits par la Californie. »

Les États peuvent-ils intenter des poursuites pour violation de la loi HIPAA?

Selon les amendements de la loi HITECH à la loi HIPAA, le procureur général d’un État a le pouvoir de faire appliquer les sanctions civiles de la loi HIPAA dans son état. En revanche, il n’est pas autorisé à faire appliquer les sanctions pénales de la loi HIPAA.

Il fait partie des représentants officiels qui ont généralement la responsabilité de faire appliquer les lois plus rigoureuses de l’État concernant les dossiers médicaux.

Divulgations permises conformément à la loi HIPAA

Qu’est-ce qu’une divulgation permise?

Bien que la loi HIPAA s’occupe de protéger les renseignements personnels des patients contre les regards indiscrets, la règle de la confidentialité reconnaît également que de telles protections peuvent entraver la bonne prestation des soins et facturation des services rendus aux patients. Pour cette raison, la loi prévoit quelques exceptions.

L’avis prescrit par la loi HIPAA pour les pratiques en matière de confidentialité, qui est remis à tous les patients, doit exposer les types de divulgations permises qu’une entité couverte fera.

Quand la divulgation permise des RMP est-elle autorisée?

Il existe trois activités essentielles de soins de santé où les divulgations permises sont autorisées sans l’approbation préalable du patient :

Les soins

Transmettre des renseignements médicaux protégés aux fins de prestation, de coordination (notamment les aiguillages et les consultations) et de gestion des soins d’un patient entre les prestataires ou avec des tierces parties.

Le règlement

Transmettre des RMP aux agences de facturation, régimes d’assurance-santé et, dans certains cas, aux agences de renseignements concernant le consommateur. Cette exception vise principalement à aider les établissements à se faire payer et à déterminer l’admissibilité des patients aux services et à la couverture des régimes de soins de santé. Cette exception permet également aux régimes d’assurance-santé d’examiner les demandes de soins et les dossiers de soins aux fins d’approbation préalable des services et de veiller à ce que les services aient été effectivement fournis et nécessaires d’un point de vue médical.

Tâches relatives aux soins dispensés

Transmettre des RMP aux fins d’accomplissement des tâches quotidiennes d’ordre administratif, juridique, financier et de contrôle de la qualité au sein d’une entité couverte. Cela peut sembler un ‘fourre-tout’, mais en fait, cela se limite à des activités précises prévues par la loi, telles stipulées dans la règle de la confidentialité 45 CFR section 164.501.

En quoi consiste la norme « Minimum nécessaire »?

Bien que des divulgations permises soient autorisées en vertu de la règle de confidentialité de la loi HIPAA, il existe également des directives obligeant les entités couvertes à instituer des politiques et des procédures visant à divulguer le moins possible et le plus succinctement possible ce qui est nécessaire au bon déroulement des paiements et des tâches quotidiennes.

La présente norme ne s’applique pas aux divulgations permises relatives aux soins.

L’autorisation du patient est-elle nécessaire pour faire des divulgations permises?

Non, même si les établissements le font de toute façon, mais ce n’est pas une prescription générale de la loi HIPAA.

Bien que les établissements soient libres d’élaborer ces formulaires d’autorisation comme bon leur semble, ils ne peuvent pas les utiliser pour contourner les limites de la loi de la confidentialité en matière de divulgations permises (même si un patient a accepté de l’autoriser).

Les patients ont-ils le droit de refuser une divulgation permise?

Oui, et non. Les patients sont en droit de demander des limites supplémentaires quant à la façon dont un établissement utilisera les divulgations permises. Toutefois, les établissements ne sont tenus de respecter ces limites que s’ils disent au patient qu’ils s’engagent à les respecter.

Quels sont les droits des patients sur les communications confidentielles?

Lorsqu’une entité couverte communique avec un patient au sujet de ses soins, le patient peut demander que ces renseignements soient transmis par d’autres moyens ou à un autre endroit.

Les prestataires de soins de santé sont tenus d’accéder aux « demandes raisonnables » dans ce domaine.

Les régimes d’assurance-maladie sont tenus d’accéder aux « demandes raisonnables » si le patient indique clairement que ne pas le faire mettrait sa vie en danger.

Violations de la loi HIPAA

Qu’est-ce qu’une violation de la loi HIPAA?

Une violation de la loi HIPAA consiste soit à

  • ne pas donner aux patients un accès adéquat à leurs dossiers lorsqu’ils en font la demande;
  • accorder l’accès à des renseignements médicaux protégés (RMP) ou à les diffuser sans l’autorisation du patient.

Voici quelques exemples de violations courantes de la loi HIPAA :

Élimination inappropriée du dossier d’un patient

Avant de se débarrasser des RMP, il faut d’abord les déchiqueter.

Ne pas obtenir les signatures appropriées sur les formulaires de décharge de la loi HIPAA

Tout formulaire de la loi HIPAA sans la signature du patient n’est pas valide, de sorte que toute divulgation de renseignements basée sur ces formulaires constitue une violation.

Communication de renseignements protégés à une partie non désignée

Seule la personne exacte indiquée sur le formulaire d’autorisation peut recevoir des renseignements sur le patient.

Communication de renseignements médicaux non autorisés

Quelqu’un donne le mauvais document, un document qui n’a pas été approuvé pour divulgation. Un patient a le droit de ne divulguer qu’une partie de son dossier médical.

Divulgation de renseignements au mauvais patient

Par une erreur imprudente, quelqu’un communique des renseignements au mauvais patient. Cela se produit parfois lorsque deux patients ont le même nom ou un nom similaire.

Stockage des renseignements d’un patient dans un environnement non protégé

Même si on pense immédiatement au piratage informatique, cette violation peut également se produire lorsque des renseignements électroniques non protégés physiquement, comme sur un ordinateur portable, un disque dur, une clé USB ou tout autre support de stockage sont laissés exposés aux yeux de tous.

Quelle est l’autorité en charge de faire appliquer la loi HIPAA?

Au niveau national, le Bureau des droits civils (OCR) du ministère américain de la Santé et des Services sociaux (HHS) a la charge de faire appliquer les règles de confidentialité et de sécurité prescrites par la loi HIPAA, notamment par l’imposition d’amendes aux entités couvertes et associés commerciaux qui ne respectent pas ces règles.

Les amendements de la loi HITECH à la loi HIPAA prévoient l’habilitation du procureur général de chaque État à faire appliquer les sanctions civiles prescrites par la loi HIPAA dans leur État. Ils ne sont pas autorisés à faire appliquer les sanctions pénales prescrites par la loi HIPAA, celles-ci relèvent de l’OCR.

Que se passe-t-il si vous êtes soupçonné(e) d’une violation de la loi HIPAA?

S’il y a crainte que l’intégrité de vos dossiers ait été compromise, l’OCR peut décider d’ouvrir une enquête, et il vous sera alors demandé de fournir les dossiers détaillés sur l’accès à ces renseignements (tel prescrit par la loi HIPAA).

Quelles sont les sanctions en cas de violation de la loi HIPAA?

Amendes civiles

Si l’enquête et les audiences subséquentes concluent qu’il y a eu violation, il est possible que des sanctions civiles (allant de 100 $US à 1,5 million de dollars par violation, avec une pénalité maximale de 1,5 million de dollars par année) soient imposées à votre entreprise par l’OCR ou le gouvernement d’un État. Plus la violation est perçue comme délibérée ou grave, plus l’amende qu’ils sont susceptibles d’imposer est sévère.

Sanctions pénales

Une violation de la loi HIPAA peut également entraîner de lourdes peines d’emprisonnement, allant d’un an (pour les violations inconnues ou celles commises avec un motif raisonnable) à dix ans (pour les violations commises pour un gain personnel ou des raisons malveillantes).

Poursuites judiciaires

Outre les amendes imposées par le gouvernement, d’autres poursuites peuvent être intentées – des patients ont poursuivi des prestataires en justice avec succès pour des violations de confidentialité, conformément à la loi HIPAA.

Relations publiques nuisibles à l’entreprise

En plus d’aviser les personnes concernées dans les 60 jours, les entreprises sont également tenues de signaler toute violation à l’OCR.  Les petites violations peuvent être consignées dans un grand livre et signalées à l’OCR chaque année. Toutefois, les violations plus importantes (plus de 500 patients concernés) doivent être signalées à l’OCR dans les 60 jours, ainsi qu’aux principaux médias locaux.

Comme toujours, les dispositions plus rigoureuses prescrites par les lois d’un État prévalent sur la loi HIPAA. De nombreux États ont des délais de signalement plus courts. Si, par exemple, un État prescrit un délai de signalement de sept jours ou des règles plus rigoureuses pour aviser les patients concernés, ce sont ces dispositions qui prévalent.

Outre les amendes, dans le cadre d’une enquête sur une violation ayant possiblement révélé les renseignements de plus de 500 personnes, l’OCR doit également inscrire votre entreprise sur son portail public de signalement des violations pendant deux ans. Les États peuvent également avoir des prescriptions générales en matière de signalement public de toute violation en matière de conformité.

Ce type d’exposition peut nuire à la réputation d’une entreprise (et, le cas échéant, à la valeur de ses actions).

Et peut-être pire encore!

Rappelez-vous que les lois d’un État peuvent couvrir certains des mêmes motifs et prévoir des sanctions supplémentaires en cas de violation de leurs dispositions plus rigoureuses. Le non-respect des obligations en matière de sécurité, stipulées dans les contrats, peut entraîner d’autres sanctions financières, l’annulation des licences du personnel ou des  installations, et plus encore.

« Parfois, nous devons leur rappeler que ce n’est pas seulement la loi HIPAA dont ils doivent s’inquiéter s’il y a violation. Ils peuvent perdre leur licence professionnelle. C’est leur carrière qui est en jeu.

De plus en plus d’établissements qui veulent faire affaire entre eux vont conclure un contrat, non pas un contrat d’associé commercial comme le prescrit la loi HIPAA ou quoi que ce soit d’autre propre à un règlement, mais simplement un contrat : « Si vous voulez travailler avec nous, voici ce que vous devez faire pour protéger nos renseignements. »

Pourquoi est-ce important d’inclure cet énoncé dans le contrat? Parce que si vous ne protégez pas les renseignements, vous êtes en violation de contrat et vous pouvez être poursuivis par l’autre partie. Il est en fait plus facile pour l’autre partie de vous pénaliser, plutôt que d’attendre que le gouvernement fédéral fasse une enquête sur vous et vous impose peut-être une amende. C’est un problème direct de relationnel avec ce prestataire. »

Remarque importante au sujet de l’assurance cyber-responsabilité :

Même si votre entreprise possède une police d’assurance cyber-responsabilité, n’oubliez pas que la couverture est conditionnelle au maintien par votre service des TI des politiques de sécurité que vous avez acceptées ou proposées lors de la signature de la police. Il existe des exemples très médiatisés de compagnies d’assurance qui refusaient de payer pour des violations commises parce que les politiques de sécurité n’avaient pas été respectées.

Par exemple, Cottage Health a fait l’objet de poursuites judiciaires par sa compagnie d’assurance pour un remboursement de 4,1 millions de dollars versé pour des violations à la protection des renseignements, après qu’elle eut découvert qu’elle n’avait pas respecté ses obligations en matière de sécurité stipulées dans sa police.

La loi HIPAA n’est peut-être que le cadet de vos soucis en matière de conformité

En savoir davantage sur les autres répercussions négatives d’une violation

« Lorsque nous travaillons avec nos clients, nous leur demandons de nous remettre leur police d’assurance cyber-responsabilité, parce que nous nous en servirons pour savoir à quoi ils se sont engagés avec leur assureur.

Souvent, nous constatons, en examinant leurs réseaux et en vérifiant leur équipement, que leurs systèmes ne sont pas mis en place conformément à leur police d’assurance. »

Que dois-je faire pour être conforme à la loi HIPAA?

Quelles sont les meilleures pratiques pour respecter la règle de la confidentialité prescrite par la loi HIPAA?

Voici quelques pratiques exemplaires pour que votre entreprise soit conforme à la règle de la confidentialité prescrite par la loi HIPAA :

Nomination d’un champion de la loi HIPAA

Les entités couvertes sont tenues de désigner un champion ou un responsable de la confidentialité de la loi HIPAA chargé de mettre en œuvre la règle de confidentialité et de veiller à ce que les procédures soient suivies, afin de garantir la sécurité des RMP.

Dans les bureaux ou les cliniques, ce n’est peut-être qu’une partie des tâches d’un médecin ou d’un gestionnaire de bureau, mais les hôpitaux et autres établissements qui s’occupent d’un grand nombre de RMP peuvent avoir besoin d’un consultant ou d’un employé à temps plein.

Mise en œuvre d’une politique, de procédures et d’une formation sur la loi HIPAA pour tout le personnel du bureau

Offrez une formation à votre personnel sur la règle de la confidentialité, qui couvre toutes les formes de RMP du cabinet et sur la façon dont ces renseignements doivent demeurer confidentiels et protégés. Expliquez les droits des patients et comment ces pratiques exemplaires favoriseront ces droits. Veillez à ce que tout le monde comprenne la loi et qu’il n’y ait pas de confusion ou de questions demeurées sans réponse.

Veillez à ce que les nouveaux employés soient formés dans un délai raisonnable et que les formations se poursuivent régulièrement pour rafraîchir la mémoire – le champion/responsable de la confidentialité de la loi HIPAA devrait tenir un registre des personnes ayant suivi une formation et quand.

Informer les patients de leurs droits

Il est important d’informer les patients de leur droit de consulter ou de mettre à jour leurs renseignements médicaux protégés et de déposer des plaintes en vertu de la règle de confidentialité de la loi HIPAA.

Tous les nouveaux patients doivent recevoir un avis sur les pratiques de confidentialité conformes aux directives de la loi HIPAA. Le même avis doit également être affiché bien en vue dans les zones réservées aux patients et sur les sites Internet des établissements.

Quelles sont certaines des pratiques exemplaires en matière de conformité à la règle de la sécurité prescrite par la loi HIPAA?

Voici les prescriptions générales pour créer un environnement de travail conforme à la règle de sécurité prescrite par la loi HIPAA, qui comprend le stockage et le transfert électronique de renseignements médicaux protégés (eRMP) :

Effectuer une analyse des risques

Chaque établissement de soins de santé a des vulnérabilités différentes lorsqu’il s’agit de stocker et de transmettre des eRMP. L’évaluation de ces vulnérabilités et l’investissement dans des contre-mesures (c.-à-d. des mots de passe plus forts, le chiffrement des renseignements stockés, le chiffrement des renseignements transmis, un logiciel de prévention des intrusions, le verrouillage des ports USB, etc.) sont des étapes essentielles pour protéger votre établissement contre d’éventuels incidents.

Attribuer des niveaux d’accès contrôlés aux renseignements

Il n’est pas nécessaire que chaque utilisateur de votre établissement dispose d’un accès intégral à tous les dossiers médicaux. Cloisonner l’accès de votre personnel en divers niveaux de sécurité empêchera les employés de voir, intentionnellement ou accidentellement, des RMP qui ne les concernent pas. Consigner avec précision qui peut accéder à quoi et qui peut octroyer un niveau d’autorisation supérieur vous aidera à rester en conformité.

Organiser régulièrement des formations de sensibilisation à la sécurité

Les pirates informatiques et les voleurs utilisent souvent les erreurs et l’inattention des employés comme vecteurs d’accès à une infrastructure protégée. En plus de renseigner votre personnel sur la confidentialité prescrite par la loi HIPAA, la formation doit couvrir les pratiques exemplaires en matière de sécurité pour l’utilisation d’un ordinateur, comme la sécurité de l’accès physique, la protection contre les logiciels malveillants et les attaques d’hameçonnage, le suivi des connexions et une gestion appropriée des mots de passe.

Limiter l’accès physique à l’équipement

L’accès au matériel physique peut permettre à des personnes malveillantes de contourner plus facilement les fonctions de sécurité en place empêchant les intrusions extérieures par Internet. La partie sur les mesures de protection physique de la règle de la confidentialité donne des lignes directrices pour sécuriser physiquement l’équipement qui transmet des eRMP, comme votre serveur ou vos réseaux câblés ou sans fil.

Tenir à jour des dossiers détaillés

Il est vital de créer et tenir à jour une documentation détaillée qui servira à prouver que votre établissement respecte ses politiques et procédures de la loi HIPAA (journaux d’accès, rapports d’enquête sur les incidents, documents de formation, etc). Si vous faites l’objet d’une vérification sur la loi HIPAA ou d’une enquête concernant une violation, il est fort probable que les enquêteurs demandent à consulter ces dossiers.

L’insertion d’une date d’entrée en vigueur dans tous vos documents (politiques, procédures, plans, etc.) facilitera l’observation des prescriptions générales de la loi HIPAA en matière de conservation des documents, et il vous sera alors facile de savoir quand vous pourrez vous débarrasser de certains documents en toute sécurité.

En quoi les solutions XMedius peuvent-elles aider à se conformer à la loi HIPAA?

XM Fax est une solution de fax sur IP (FoIP) qui, non seulement vous permet de ne plus avoir à dépendre de ces télécopieurs chers et peu fiables, mais comprend aussi tout un ensemble de fonctionnalités pour la sécurité et la gestion de documents qui facilitent la conformité à la loi HIPAA.

  • Une fonction automatique de traçabilité intégrale qui permet d’effectuer un suivi détaillé des fichiers envoyés, où et quand, et facilite la présentation de preuves en cas d’enquête sur l’observation de la loi HIPAA.
  • Les fax sont envoyés directement à partir d’un poste de travail contrôlé plutôt que d’un télécopieur non sécurisé. Personne n’a besoin de rester devant la machine en attendant que toutes les pages soient envoyées afin qu’aucune personne non autorisée ne les lise.
  • Comme les documents sont faxés électroniquement, il n’est pas nécessaire de les imprimer sur un fax, ce qui réduit le nombre de copies physiques à gérer.

XMediusSendSecure est un logiciel de transfert de fichiers sécurisé qui permet toute une gamme d’applications bien au-delà du simple fax.

  • Il prend en charge jusqu’à 5 To en fichiers, ce qui permet de transférer facilement des images radiographiques et IRM, des vidéos et autres fichiers volumineux.
  • Il est doté de fonctions de sécurité avancées – lorsque vous téléchargez dans un coffre-fort, vos fichiers sont protégés par un double cryptage pendant leur stockage ou leur transit, une authentification à deux facteurs qui peut être configurée, un antivirus automatique et une empreinte digitale de cryptage pour éviter toute falsification de vos données.
  • Il génère automatiquement un suivi détaillé retraçant toutes les étapes d’un fichier – ses téléchargements, suppressions, commentaires, et plus encore.
  • Tous les fichiers sont stockés dans des emplacements éphémères qui s’effaceront automatiquement après une période de temps donnée, vous n’avez donc pas besoin de garder une trace des transferts antérieurs.

XM Connect est une plateforme de communication unifiée permettant une compatibilité avec un environnement de CU à prestataires multiples de plus en plus fréquent dans les établissements. Il comprend une suite d’applications qui favorisent la productivité, notamment une fonctionnalité de messagerie unifiée sécurisée qui permet au personnel d’accéder à leur messagerie vocale n’importe où grâce à une application mobile, mais empêche tout téléchargement ou transfert de vos fichiers à l’extérieur de votre système. Un outil incontournable pour éviter que des renseignements sensibles ne soient exposés au format audio.

La conformité HIPAA simplifiée

Si votre établissement manipule des renseignements médicaux protégés, il peut s’avérer difficile de veiller à instaurer les bonnes mesures de protection et à ce qu’elles soient conformes aux prescriptions générales de la loi HIPAA. XMedius réunit un personnel formé sur la loi HIPAA avec des outils et une technologie puissants, en vue de proposer des solutions qui satisfont à plusieurs prescriptions générales des lois HIPAA/HITECH.

Contactez XMedius

Avez-vous des questions sur la façon dont nos solutions peuvent simplifier les questions de conformité à la loi HIPAA et protéger votre entreprise? N’hésitez pas à joindre notre équipe pour de plus amples renseignements.

Start typing and press Enter to search