Conformité HIPAA

En 2017, Cyperᵀᴹ a commencé à collaborer avec des clients de l’industrie de la santé en Amérique du Nord.

Chez Cyperᵀᴹ, nous sommes profondément sensibilisés à la protection des données de nos clients.

  • En 2018, pour la première fois, Cyperᵀᴹ a passé son audit de sécurité et confirmé auprès de Compliancy Group sa conformité aux normes HIPAA.
  • En 2019, Cyperᵀᴹ a passé pour la seconde fois son audit de sécurité et confirmé auprès de Compliancy Group sa conformité aux normes HIPAA.

À propos de HIPPA

Source: https://searchhealthit.techtarget.com/definition/HIPAA

Début du procès-verbal:

“HIPAA (Health Insurance Portability and Accountability Act)”

HIPAA (Health Insurance Portability and Accountability Act de 1996) est la législation américaine prévoyant les dispositions de sécurité et de confidentialité des données dans le domaine de la protection des renseignements médicaux. La loi a connu un regain d’intérêt ces dernières années avec la prolifération des failles au niveau des données de la santé provoquées par les cyber-attaques et les attaques par rançongiciel.

L’acte de loi, qui a été signé par le Président Bill Clinton, contient 5 sections.

Section I: La Réforme de l’Assurance Santé sous HIPAA

La section I garantit la couverture d’assurance santé pour les individus qui changent d’emploi ou perdent leur emploi. Elle interdit également aux régimes collectifs d’assurance maladie de refuser leur couverture aux personnes souffrant de maladies spécifiques ou ayant des problèmes de santé préexistants, ainsi que d’en limiter la garantie à vie.

Section II: Simplification Administrative sous HIPAA

La section II incite le Département Américain de la Santé et des Services Sociaux (HHS: U.S. Department of Health and Human Services) à établir des standards nationaux pour l’exécution des transactions électroniques dans le domaine des soins de santé. Elle exige également des organisations des soins de santé qu’elles mettent en place un accès électronique sécurisé aux données de santé et qu’elles demeurent en conformité avec les régulations privées instaurées par le HHS.

Section III: les Dispositions liées à la Fiscalité de la Santé sous HIPAA

La section III inclut des informations concernant l’imposition et des instructions pour les soins médicaux.

Section IV: Application et Mise en Oeuvre des Exigences pour les Régimes Collectifs d’Assurance Maladie

La section IV définit plus en détails la réforme de l’assurance santé, y compris les informations à destination des personnes avec des problèmes de santé préexistants et celles recherchant une couverture permanente.

Section V: Compensation des Recettes

La section V inclut des informations sur l’assurance vie des entreprises et le traitement de ceux qui perdent leur citoyenneté américaine en raison des impôts sur le revenu.

Dans les milieux des soins de santé, l’adhésion à la Section II est ce à quoi se réfèrent la plupart des personnes lorsqu’elles évoquent la conformité HIPAA. Egalement connue sous l’appellation de dispositions de Simplifications Administratives, la Section II inclut les critères suivants de conformité sous HIPPA:

  • La Norme d’Identification des Prestataires Nationaux. Toute entité évoluant dans le domaine des soins de santé -et cela inclut les individus, les employeurs, les plans de santé et les prestataires en soins de santé- doivent posséder un numéro d’identification unique de prestataire national de 10 chiffres, ou NPI.
  • La Norme sur les Transactions et les Jeux de Codes. Les entreprises du secteur des soins de santé doivent appliquer un mécanisme standardisé concernant les échanges de données électroniques (EDI: electronic data interchange) afin de soumettre et de traiter les réclamations d’assurance.
  • La Règle de Confidentialité sous HIPAA. Officiellement connue sous le nom de Normes de Confidentialité des Informations de Santé Individuellement Identifiables, cette règle établit des standards nationaux dans le but de protéger les informations de santé des patients.
  • La Règle de Sécurité sous HIPAA. Les Normes de Sécurité pour la Protection des Informations de Santé Protégées Électroniquement mettent en place des standards pour la sécurité des données des patients.
  • La Règle d’Application sous HIPAA. Cette règle définit les instructions liées au déroulement des enquêtes concernant les violations de conformité sous HIPAA.

Quel est l’objectif de HIPAA ?

HIPAA, également connu sous l’appellation de Loi Publique 104-191, a deux objectifs principaux : fournir une couverture d’assurance santé aux travailleurs ayant perdu ou changé d’emploi, et réduire les tracas administratifs et le coût des soins de santé en normalisant les échanges administratifs et financiers par voie électronique. Les autres missions incluent la lutte contre les abus, les fraudes et les gaspillages au niveau des assurances de santé et l’amélioration à l’accès aux services de soins de longue durée et à l’assurance santé.

Le HHS a étendu la loi lorsqu’il a mis en place en 2013 la règle HIPAA omnibus afin de mettre en oeuvre au niveau de HIPAA les modifications en harmonie avec les directives établies en 2009 par la Loi sur les Technologies des Informations de Santé pour la Santé Économique et Clinique (HITECH). Ces directives se réfèrent aux responsabilités des partenaires commerciaux pour les entités couvertes. La règle omnibus augmente également les pénalités jusqu’à 1.5 million de dollars par accident pour les violations à la conformité HIPAA.

Le Bureau HHS pour les Droits Civils (OCR : Office for Civil Rights), qui applique HIPAA, a émis en 2016 une directive indiquant que les fournisseurs de services infonuagiques et autres activités économiques associées étaient soumis aux obligations de notification concernant la privacité, la sécurité et les failles sous HIPAA.

La Règle de Notification des Failles de Sécurité sous HIPAA incluse dans l’ensemble des régulations omnibus requiert des entités concernées et de toute activité associée également affectée de notifier les patients suite à une violation des données.

En plus des coûts liés à la notification, les organisations des soins de santé peuvent se voir infliger des amendes suite aux audits sous HIPAA mandatés par la Loi HITECH et conduits par le Bureau des Droits Civils. Les fournisseurs peuvent également faire face à des pénalités criminelles provenant des violations des règles de privacité et de sécurité sous HIPAA.

En 2010, la Commission Fédérale de Commerce a étendu la règle de notification des failles de sécurité ainsi que son application aux organismes de soins de santé non couverts par HIPAA, en y incluant les revendeurs des dossiers de soins de santé au format électronique (Electronic Health Records : EHRs) et les systèmes qui leur sont liés.

Le Bureau pour les Droits Civils a entrepris son premier cycle d’audits sous HIPAA des organismes des soins de santé en 2012 et 2013. Ces audits pilotes n’ont entraîné aucune amende ou sanction.

Un cycle d’audits formels bien plus larges et en personne sur environ 200 entités dans les soins de santé et leurs partenaires commerciaux ont débuté en 2016 et se sont poursuivis en 2017. Ces audits étaient supposés s’accompagner d’amendes ou de mesures correctives.

Le Bureau pour les Droits Civils a poussé plus loin encore la règle de sécurité sous HIPAA en 2016 avec la publication d’une concordance entre les aspects de l’Institut National des Normes et le Cadre de la Cybersécurité en Technologie afin d’identifier les carences en cybersécurité et aligner HIPAA sur les normes nationales de cybersécurité.

Les organismes peuvent réduire le risque d’une mesure réglementaire à travers les programmes de formation en conformité sous HIPAA. Le Bureau pour les Droits Civils dispose de six programmes pédagogiques pour la conformité avec les règles de sécurité et de confidentialité. Un grand nombre de consultants et d’organismes de formation dispensent également des programmes. Les prestataires en soins de santé peuvent aussi choisir de créer leurs propres programmes de formation, lesquels englobent la plupart du temps les politiques de sécurité et de confidentialité propres à ces organismes, la Loi HITECH, les procédures de gestion des appareils mobiles et autres directives applicables.

Bien qu’il n’existe pas de programme officiel de certification de conformité pour HIPAA, des sociétés de formation dispensent des références de certification indiquant la bonne compréhension des directives et régulations spécifiées par la Loi.

Règle de Confidentialité sous HIPAA

Les Normes pour la Confidentialité de l’Information de Santé Individuellement Identifiable, communément connues sous la dénomination de Règle de Confidentialité sous HIPAA, établit les premières normes aux Etats-Unis de protection des informations personnelles des patients ou des informations de santé confidentielles (Protected Health Information: PHI).

Le Bureau HHS pour les Droits Civils a mis en vigueur la règle afin de limiter l’utilisation et la divulgation des Informations de Santé Confidentielles (Protected Health Information: PHI). Elle cherche à protéger la confidentialité des patients en exigeant des médecins qu’ils fournissent à leurs patients un justificatif sur chaque entité à laquelle ils divulguent les Informations de Santé Confidentielles pour des raisons administratives et comptables, tout en autorisant les informations pertinentes à être échangées via les canaux légitimes.

La règle de confidentialité garantit également aux patients, s’ils en font la demande, d’obtenir leurs informations de santé confidentielles (PHI) de la part des prestataires de soins de santé couverts par HIPAA.

Quelles sont les informations protégées ?

La Règle de Confidentialité sous HIPAA protège toute information de santé individuellement identifiable étant détenue ou transmise par une entité assujettie ou un tiers associé. Cette information peut être détenue sous n’importe quelle forme, cela incluant le format digital, papier ou oral. Cette information de santé individuellement identifiable est également connue sous la dénomination de PHI (Protected Health Information) en vertu de la Règle de Confidentialité.

Que considère-t-on comme information de santé protégée en vertu de la loi HIPAA ?

L’information de santé protégée (PHI) inclut:

  • le nom d’un patient, l’adresse, la date de naissance et le numéro de sécurité sociale;
  • un problème personnel de santé physique ou mentale;
  • tout soin prodigué à un individu; ou
  • les renseignements concernant le paiement pour un soin prodigué à l’individu qui puisse l’identifier en tant que patient, ou encore les informations pour lesquelles il existe un doute raisonnable quant à la possibilité d’identifier le patient.

La Règle de Confidentialité sous HIPAA ne considère pas les relevés d’emploi – et cela inclut les renseignements sur la formation, ainsi que d’autres documents assujettis ou définis dans la Loi du Droit à l’Education de la Famille et dans la Loi sur la Protection des Renseignements Personnels – comme étant de l’Information de Santé Protégée (PHI).

Pour les données anonymisées cependant, il n’y a aucune restriction à leur utilisation ou à leur divulgation. Les données anonymisées ne permettent pas d’identifier ou de fournir des informations qui pourraient identifier un individu.

Exigences administratives

La Règle de Confidentialité énonce certaines exigences administratives avec lesquelles les entités assujetties doivent se conformer.

Ces exigences incluent les éléments suivants:

  • Un responsable chargé de la protection de la vie privée doit être désigné pour l’élaboration et la mise en œuvre des politiques et procédures au sein d’une entité assujettie.
  • Les employés, volontaires et stagiaires inclus, doivent être formés aux politiques et aux procédures.
  • Des dispositifs de sécurité administratifs, techniques et physiques adéquats doivent être maintenus dans le but de protéger la confidentialité des Informations de Santé Protégées (PHI) dans le cadre d’une entité assujettie.
  • Une procédure destinée aux personnes souhaitant émettre des plaintes concernant les opérations et les règlements doit être implantée dans une entité assujettie.
  • Dans le cas où des Informations de Santé Protégées (PHI) sont divulguées, une entité visée a le devoir d’en atténuer au maximum de ses capacités tout effet préjudiciable.

Les pénalités sous HIPAA

En vertu de la règle de confidentialité sous HIPAA, être victime d’une violation des informations de santé, ainsi que ne pas donner aux patients l’accès à leurs Informations de Santé Protégées (PHI), pourrait entraîner une amende de la part du Bureau pour les Droits Civils (OCR : Office for Civil Rights).

La pénalité minimale pour:

  • Une infraction à la législation HIPAA de manière inconsciente entraîne une amende de $100 par infraction, avec un plafond annuel de $100,000 pour infractions répétées.
  • Une infraction à la législation HIPAA pour un motif raisonnable entraîne une amende $1,000 par infraction, avec un plafond annuel de $100,000 pour infractions répétées.
  • Une négligence délibérée à la législation HIPAA, mais dont l’infraction en résultant serait corrigée dans un délai donné, entraîne une amende de $10,000 par infraction, avec un plafond annuel de $250,000 pour infractions répétées.
  • Une négligence délibérée à la législation HIPAA, mais dont l’infraction en résultant ne serait pas corrigée, entraîne une amende de $50,000 par infraction, avec un plafond annuel de $1.5 millions pour infractions répétées.

La pénalité maximale pour toutes ces infractions se monte à $50,000 par infraction, avec un plafond annuel de $1.5 millions pour infractions répétées.

Les entités assujetties et les individus qui obtiennent ou divulguent intentionnellement des Informations de Santé Protégées (PHI) en contrevenant ainsi à la Règle de Confidentialité sous HIPAA peuvent se voir infliger une amende se montant jusqu à $50,000 ainsi qu’une peine d’emprisonnement allant jusqu’à un an. Dans le cas où la Règle de Confidentialité sous HIPAA serait violée sur la base de motifs mensongers, les pénalités peuvent être accrues avec une amende de $100,000 et une peine d’emprisonnement allant jusqu’à 10 ans.

La Règle de Sécurité sous HIPAA

Les Normes de Sécurité pour la Protection des Renseignement Médicaux Électroniques Protégés, plus connues sous la dénomination de Règle de Sécurité HIPAA, établissent des normes nationales pour la sécurisation des données des patients qui sont hébergées ou transmises par voie électronique.

La règle nécessite la mise en place de mesures de sécurité, aussi bien physiques qu’électroniques, pour assurer la circulation, la maintenance et la réception sécurisées des Informations de Santé Protégées (PHI). En abordant les risques et les vulnérabilités associés aux Informations de Santé Protégées (PHI) et Informations de Santé Électroniquement Protégées (ePHI), les organismes de soins de santé devraient se poser trois questions clefs.

  • Êtes-vous en mesure d’identifier au sein de votre organisation les sources d’Informations de Santé Protégées (PHI) et d’Informations de Santé Électroniquement Protégées (ePHI) -et cela vaut pour toute Information de Santé Protégée- que vous créez, recevez, hébergez ou transmettez ?
  • Quelles sont les sources externes d’où proviennent les Informations de Santé Protégées (PHI)?
  • Quelles sont les menaces d’origine humaine, naturelle et environnementale pour les systèmes d’information contenant les Informations de Santé Protégées (PHI) et et les Informations de Santé Électroniquement Protégées (ePHI)?

Le Bureau pour les Droits Civils (OCR) applique la Règle de Sécurité HIPAA, laquelle vise à protéger la sécurité du patient, tout en autorisant les avancées technologiques de l’Industrie des soins de santé.

Dans le cadre de la bonne exécution du programme issu du HHS pour la certification des Technologies de l’Information dans le domaine de la santé, les organismes des soins de santé bénéficiant de financements fédéraux incitatifs doivent attester des procédures suivantes de sécurité et de confidentialité basées sur HIPAA.

La règle omnibus sous HIPAA

La règle omnibus sous HIPAA, prise dans le contexte des technologies de l’information de la santé, est une règle adoptée par le Bureau pour les Droits Civils (OCR : Office for Civil Rights) pour modifier les Règles HIPAA de Confidentialité, de Sécurité et de Confidentialité afin de mettre en œuvre des modifications statutaires en vertu de la loi HITECH.

Explication de l’ OCR sur HIPAA

La règle omnibus

La règle omnibus sous HIPAA a marqué les plus importants changements apportés aux Règles de Confidentialité et de Sécurité sous HIPAA depuis leur mise en œuvre originelle. Les modifications incluent les éléments suivants:

  • Le renforcement de la protection de la confidentialité et de la sécurité des Informations de Santé Protégées (PHI) des individus
  • La modification de la Règle de Notification des Failles de Sécurité pour les Informations de Santé Protégées (PHI) non sécurisés, en faveur de la mise en place de normes plus objectives afin d’évaluer la responsabilité d’un prestataire de soins de santé suite à une violation de données.
  • La modification de la Règle de Confidentialité HIPAA afin de renforcer la protection des informations concernant la génétique.
  • La description des stratégies d’application de la confidentialité et de la sécurité des données de l’OCR, telles que mises à jour à l’époque des EHR et telles que mandatées par la loi HITECH.
  • Le maintien des prestataires associés sous HIPAA aux mêmes normes de protection des PHI, sur le modèle des entités assujetties, en y incluant les sous-contractants des partenaires commerciaux, au sens voulu par la conformité.
  • La stipulation pour les clients payant en liquide de pouvoir ordonner à leur fournisseur de ne pas partager les informations concernant le traitement émanant de leur plan de santé.
  • La mise en place de nouvelles limites sur la manière dont l’information est utilisée et divulguée dans le cadre d’actions marketing et de collecte de fonds.
  • L’interdiction de la commercialisation des informations de santé sans le consentement des individus concernés.
  • La facilitation pour les parents et autres dépositaires de l’autorité parentale de donner leur consentement pour partager la preuve de la vaccination de l’enfant auprès de l’ école.
  • La simplification de la possibilité donnée à un individu d’autoriser l’utilisation de ses informations de santé à des fins de recherche.
  • L’augmentation des pénalités pour non-conformité basée sur le niveau de négligence, avec une amende maximale de $1.5 million par violation.
  • La garantie que les organismes puissent opérer avec la certitude que leurs politiques de sécurité et de confidentialité soient en conformité avec toutes les régulations en vigueur.

La règle, tirée de la page 563, et publiée le 17 janvier 2013 est entrée en vigueur le 26 mars 2013.

Les partenaires commerciaux sous HIPAA

HIPAA définit comme partenaire commercial toute structure ou personne travaillant en association avec des entités assujetties gérant ou divulguant des PHI ou des dossiers de santé personnels (PHR), ou étant prestataire de services pour ces dernières.

Des exemples de partenaires commerciaux incluent les firmes de comptabilité ou de consultation collaborant avec les entités assujetties, tels que les hôpitaux ou les médecins, ou toute autre entité pouvant ou ayant pu avoir accès aux PHI ou PHR.

Les actualisations effectuées sur la régulation HIPAA par la Loi HITECH exige que les partenaires commerciaux se conforment aux mandats HIPAA concernant le traitement et l’utilisation des PHI.

Depuis le 28 février 2010, le Département de la Santé et des Services à la Personne peut auditer les prestataires associés sur leur conformité HIPAA.

Exemples de partenaires commerciaux sous HIPAA

Selon le HHS, des exemples de partenaires commerciaux sous HIPAA incluent:

  • La situation ou un plan de santé recourt à un tiers administrateur pour l’aider à générer les réclamations.
  • Si une firme publique de comptabilité fournit des services de comptabilité à un de prestataire de soins de santé et a accès à des renseignements de santé confidentiels.
  • Lorsqu’un centre d’échange de soins de santé convertit une réclamation faite dans format non standard en un format standard pour un prestataire de soins de santé, puis achemine le traitement de la transaction à un donneur d’ordre.
  • Lorsqu’un médecin a recours aux services d’un transcripteur médical.
  • Lorsqu’un gestionnaire de prestations pharmaceutiques gère le réseau de pharmaciens d’un régime de santé.

Les développeurs d’applications mobiles pourraient être également considérés comme des partenaires commerciaux sous HIPAA du fait qu’un grand nombre d’applications mobiles de soins de santé gèrent des PHI.

Le HHS fournit le scénario dans lequel le développeur d’une application serait considéré comme un partenaire commercial sous HIPAA : une patiente se voit demander par son prestataire de télécharger une application de santé sur son téléphone intelligent. Le développeur de l’application et le fournisseur ont passé un contrat pour la gestion des services du patient qui inclut les conseils de santé au patient, les messages adressés au patient, le contrôle de l’alimentation et des exercices du patient, ainsi que les interfaces de programmation de l’application et l’intégration des EHR. Qui plus est, l’information que le client va entrer dans l’application est automatiquement intégré au régime des EHR.

 

Les partenaires commerciaux sous HIPAA et l’accord 101

Sous HIPAA, un accord de partenaire commercial (BAA : Business Associate Agreement) est un contrat entre une entité assujettie sous HIPAA et un partenaire commercial (BA : Business Associate) sous HIPAA. Le contrat protège les PHI en accord avec les directives HIPAA.

Effective depuis le 18 février 2010 et en accord avec la loi HITECH, La divulgation, le traitement et l’utilisation des PHI par un prestataire commercial (BA) doivent être conformes aux mandats de la règle de sécurité HIPAA ainsi que de la règle de confidentialité HIPAA. En vertu de la loi HITECH, tout partenaire commercial HIPAA qui sert un prestataire de soins de santé ou une institution est soumis à des audits par le OCR au sein du HHS, et il peut être tenu responsable d’une violation de données et pénalisé pour non-conformité

Les exigences du contrat de partenaire commercial sous HIPAA

Selon le HHS, les contrat de partenaires commerciaux ou autres arrangements écrits devraient:

  • Décrire la manière dont le partenaire commercial est autorisé et tenu d’utiliser les PHI.
  • Exiger que le partenaire commercial n’utilise ou ne divulgue les PHI autrement que dans le cadre spécifié par le contrat ou tel que requis par la loi.
  • Exiger du partenaire commercial qu’il utilise les dispositifs de sécurité appropriés afin d’assurer que les PHI soient utilisées tel que détaillé dans le contrat.
  • Exiger de l’entité assujettie de recourir à des mesures raisonnables afin de remédier à toute violation de la part du partenaire commercial sous HIPAA si elle en a connaissance et au moment-même où elle en a connaissance. Dans l’éventualité où cela s’avère infructueux, il est exigé de l’entité assujettie de mettre fin au contrat avec le partenaire commercial.
  • Signaler l’incident à l’OCR si mettre fin au contrat avec le partenaire commercial s’avère impossible.
  • Signaler aux HHS OCR si se pose le problème de mettre fin au contrat avec le prestataire commercial.

En gardant à l’esprit ces nouvelles régulations, une entente de prestataire commercial sous HIPAA devrait explicitement préciser comment un BA devrait signaler et répondre à une violation des données, incluant celles causées par un sous-contractant de prestataire commercial. En outre, les ententes de partenaires commerciaux sous HIPAA devraient démontrer comment répondre à une enquête de l’OCR.

Les entités assujetties sous HIPAA

Une entité assujettie sous HIPAA désigne tout organisme ou corporation qui gère directement des PHI ou des PHR. Les exemples les plus communs d’entités assujetties comprennent les hôpitaux, les cabinets de médecins et les prestataires d’assurance santé.

Il est exigé des entités assujetties de se conformer avec les mandats HIPAA et HITECH pour la protection des PHI et des PHR.”