Conformité HIPAA
En 2017, Cyper a commencé à collaborer avec des clients de l’industrie de la santé en Amérique du Nord.
Chez Cyper, nous sommes profondément sensibilisés à la protection des données de nos clients.
À propos de HIPPA
Source: https://searchhealthit.techtarget.com/definition/HIPAA
Début du procès-verbal:
“HIPAA (Health Insurance Portability and Accountability Act)”
HIPAA (Health Insurance Portability and Accountability Act de 1996) est la législation américaine prévoyant les dispositions de sécurité et de confidentialité des données dans le domaine de la protection des renseignements médicaux. La loi a connu un regain d’intérêt ces dernières années avec la prolifération des failles au niveau des données de la santé provoquées par les cyber-attaques et les attaques par rançongiciel.
L’acte de loi, qui a été signé par le Président Bill Clinton, contient 5 sections.
Section I: La Réforme de l’Assurance Santé sous HIPAA
La section I garantit la couverture d’assurance santé pour les individus qui changent d’emploi ou perdent leur emploi. Elle interdit également aux régimes collectifs d’assurance maladie de refuser leur couverture aux personnes souffrant de maladies spécifiques ou ayant des problèmes de santé préexistants, ainsi que d’en limiter la garantie à vie.
Section II: Simplification Administrative sous HIPAA
La section II incite le Département Américain de la Santé et des Services Sociaux (HHS: U.S. Department of Health and Human Services) à établir des standards nationaux pour l’exécution des transactions électroniques dans le domaine des soins de santé. Elle exige également des organisations des soins de santé qu’elles mettent en place un accès électronique sécurisé aux données de santé et qu’elles demeurent en conformité avec les régulations privées instaurées par le HHS.
Section III: les Dispositions liées à la Fiscalité de la Santé sous HIPAA
La section III inclut des informations concernant l’imposition et des instructions pour les soins médicaux.
Section IV: Application et Mise en Oeuvre des Exigences pour les Régimes Collectifs d’Assurance Maladie
La section IV définit plus en détails la réforme de l’assurance santé, y compris les informations à destination des personnes avec des problèmes de santé préexistants et celles recherchant une couverture permanente.
Section V: Compensation des Recettes
La section V inclut des informations sur l’assurance vie des entreprises et le traitement de ceux qui perdent leur citoyenneté américaine en raison des impôts sur le revenu.
Dans les milieux des soins de santé, l’adhésion à la Section II est ce à quoi se réfèrent la plupart des personnes lorsqu’elles évoquent la conformité HIPAA. Egalement connue sous l’appellation de dispositions de Simplifications Administratives, la Section II inclut les critères suivants de conformité sous HIPPA:
La Norme d’Identification des Prestataires Nationaux.
Toute entité évoluant dans le domaine des soins de santé -et cela inclut les individus, les employeurs, les plans de santé et les prestataires en soins de santé- doivent posséder un numéro d’identification unique de prestataire national de 10 chiffres, ou NPI.
La Norme sur les Transactions et les Jeux de Codes.
Les entreprises du secteur des soins de santé doivent appliquer un mécanisme standardisé concernant les échanges de données électroniques (EDI: electronic data interchange) afin de soumettre et de traiter les réclamations d’assurance.
La Règle de Confidentialité sous HIPAA.
Officiellement connue sous le nom de Normes de Confidentialité des Informations de Santé Individuellement Identifiables, cette règle établit des standards nationaux dans le but de protéger les informations de santé des patients.
La Règle de Sécurité sous HIPAA.
Les Normes de Sécurité pour la Protection des Informations de Santé Protégées Électroniquement mettent en place des standards pour la sécurité des données des patients.
La Règle d’Application sous HIPAA.
Cette règle définit les instructions liées au déroulement des enquêtes concernant les violations de conformité sous HIPAA.
Quel est l’objectif de HIPAA ?
HIPAA, également connu sous l’appellation de Loi Publique 104-191, a deux objectifs principaux : fournir une couverture d’assurance santé aux travailleurs ayant perdu ou changé d’emploi, et réduire les tracas administratifs et le coût des soins de santé en normalisant les échanges administratifs et financiers par voie électronique. Les autres missions incluent la lutte contre les abus, les fraudes et les gaspillages au niveau des assurances de santé et l’amélioration à l’accès aux services de soins de longue durée et à l’assurance santé.
Le HHS a étendu la loi lorsqu’il a mis en place en 2013 la règle HIPAA omnibus afin de mettre en oeuvre au niveau de HIPAA les modifications en harmonie avec les directives établies en 2009 par la Loi sur les Technologies des Informations de Santé pour la Santé Économique et Clinique (HITECH). Ces directives se réfèrent aux responsabilités des partenaires commerciaux pour les entités couvertes. La règle omnibus augmente également les pénalités jusqu’à 1.5 million de dollars par accident pour les violations à la conformité HIPAA.
Le Bureau HHS pour les Droits Civils (OCR : Office for Civil Rights), qui applique HIPAA, a émis en 2016 une directive indiquant que les fournisseurs de services infonuagiques et autres activités économiques associées étaient soumis aux obligations de notification concernant la privacité, la sécurité et les failles sous HIPAA.
La Règle de Notification des Failles de Sécurité sous HIPAA incluse dans l’ensemble des régulations omnibus requiert des entités concernées et de toute activité associée également affectée de notifier les patients suite à une violation des données.
En plus des coûts liés à la notification, les organisations des soins de santé peuvent se voir infliger des amendes suite aux audits sous HIPAA mandatés par la Loi HITECH et conduits par le Bureau des Droits Civils. Les fournisseurs peuvent également faire face à des pénalités criminelles provenant des violations des règles de privacité et de sécurité sous HIPAA.
En 2010, la Commission Fédérale de Commerce a étendu la règle de notification des failles de sécurité ainsi que son application aux organismes de soins de santé non couverts par HIPAA, en y incluant les revendeurs des dossiers de soins de santé au format électronique (Electronic Health Records : EHRs) et les systèmes qui leur sont liés.
Le Bureau pour les Droits Civils a entrepris son premier cycle d’audits sous HIPAA des organismes des soins de santé en 2012 et 2013. Ces audits pilotes n’ont entraîné aucune amende ou sanction.
Un cycle d’audits formels bien plus larges et en personne sur environ 200 entités dans les soins de santé et leurs partenaires commerciaux ont débuté en 2016 et se sont poursuivis en 2017. Ces audits étaient supposés s’accompagner d’amendes ou de mesures correctives.
Le Bureau pour les Droits Civils a poussé plus loin encore la règle de sécurité sous HIPAA en 2016 avec la publication d’une concordance entre les aspects de l’Institut National des Normes et le Cadre de la Cybersécurité en Technologie afin d’identifier les carences en cybersécurité et aligner HIPAA sur les normes nationales de cybersécurité.
Les organismes peuvent réduire le risque d’une mesure réglementaire à travers les programmes de formation en conformité sous HIPAA. Le Bureau pour les Droits Civils dispose de six programmes pédagogiques pour la conformité avec les règles de sécurité et de confidentialité. Un grand nombre de consultants et d’organismes de formation dispensent également des programmes. Les prestataires en soins de santé peuvent aussi choisir de créer leurs propres programmes de formation, lesquels englobent la plupart du temps les politiques de sécurité et de confidentialité propres à ces organismes, la Loi HITECH, les procédures de gestion des appareils mobiles et autres directives applicables.
Bien qu’il n’existe pas de programme officiel de certification de conformité pour HIPAA, des sociétés de formation dispensent des références de certification indiquant la bonne compréhension des directives et régulations spécifiées par la Loi.
Règle de Confidentialité sous HIPAA
Les Normes pour la Confidentialité de l’Information de Santé Individuellement Identifiable, communément connues sous la dénomination de Règle de Confidentialité sous HIPAA, établit les premières normes aux Etats-Unis de protection des informations personnelles des patients ou des informations de santé confidentielles (Protected Health Information: PHI).
Le Bureau HHS pour les Droits Civils a mis en vigueur la règle afin de limiter l’utilisation et la divulgation des Informations de Santé Confidentielles (Protected Health Information: PHI). Elle cherche à protéger la confidentialité des patients en exigeant des médecins qu’ils fournissent à leurs patients un justificatif sur chaque entité à laquelle ils divulguent les Informations de Santé Confidentielles pour des raisons administratives et comptables, tout en autorisant les informations pertinentes à être échangées via les canaux légitimes.
La règle de confidentialité garantit également aux patients, s’ils en font la demande, d’obtenir leurs informations de santé confidentielles (PHI) de la part des prestataires de soins de santé couverts par HIPAA.
Quelles sont les informations protégées ?
La Règle de Confidentialité sous HIPAA protège toute information de santé individuellement identifiable étant détenue ou transmise par une entité assujettie ou un tiers associé. Cette information peut être détenue sous n’importe quelle forme, cela incluant le format digital, papier ou oral. Cette information de santé individuellement identifiable est également connue sous la dénomination de PHI (Protected Health Information) en vertu de la Règle de Confidentialité.
Que considère-t-on comme information de santé protégée en vertu de la loi HIPAA ?
L’information de santé protégée (PHI) inclut:
La Règle de Confidentialité sous HIPAA ne considère pas les relevés d’emploi – et cela inclut les renseignements sur la formation, ainsi que d’autres documents assujettis ou définis dans la Loi du Droit à l’Education de la Famille et dans la Loi sur la Protection des Renseignements Personnels – comme étant de l’Information de Santé Protégée (PHI).
Pour les données anonymisées cependant, il n’y a aucune restriction à leur utilisation ou à leur divulgation. Les données anonymisées ne permettent pas d’identifier ou de fournir des informations qui pourraient identifier un individu.
Exigences administratives
La Règle de Confidentialité énonce certaines exigences administratives avec lesquelles les entités assujetties doivent se conformer.
Ces exigences incluent les éléments suivants:
Les pénalités sous HIPAA
En vertu de la règle de confidentialité sous HIPAA, être victime d’une violation des informations de santé, ainsi que ne pas donner aux patients l’accès à leurs Informations de Santé Protégées (PHI), pourrait entraîner une amende de la part du Bureau pour les Droits Civils (OCR : Office for Civil Rights).
La pénalité minimale pour:
La pénalité maximale pour toutes ces infractions se monte à $50,000 par infraction, avec un plafond annuel de $1.5 millions pour infractions répétées.
Les entités assujetties et les individus qui obtiennent ou divulguent intentionnellement des Informations de Santé Protégées (PHI) en contrevenant ainsi à la Règle de Confidentialité sous HIPAA peuvent se voir infliger une amende se montant jusqu à $50,000 ainsi qu’une peine d’emprisonnement allant jusqu’à un an. Dans le cas où la Règle de Confidentialité sous HIPAA serait violée sur la base de motifs mensongers, les pénalités peuvent être accrues avec une amende de $100,000 et une peine d’emprisonnement allant jusqu’à 10 ans.
La Règle de Sécurité sous HIPAA
Les Normes de Sécurité pour la Protection des Renseignement Médicaux Électroniques Protégés, plus connues sous la dénomination de Règle de Sécurité HIPAA, établissent des normes nationales pour la sécurisation des données des patients qui sont hébergées ou transmises par voie électronique.
La règle nécessite la mise en place de mesures de sécurité, aussi bien physiques qu’électroniques, pour assurer la circulation, la maintenance et la réception sécurisées des Informations de Santé Protégées (PHI). En abordant les risques et les vulnérabilités associés aux Informations de Santé Protégées (PHI) et Informations de Santé Électroniquement Protégées (ePHI), les organismes de soins de santé devraient se poser trois questions clefs.
Le Bureau pour les Droits Civils (OCR) applique la Règle de Sécurité HIPAA, laquelle vise à protéger la sécurité du patient, tout en autorisant les avancées technologiques de l’Industrie des soins de santé.
Dans le cadre de la bonne exécution du programme issu du HHS pour la certification des Technologies de l’Information dans le domaine de la santé, les organismes des soins de santé bénéficiant de financements fédéraux incitatifs doivent attester des procédures suivantes de sécurité et de confidentialité basées sur HIPAA.
La règle omnibus sous HIPAA
La règle omnibus sous HIPAA, prise dans le contexte des technologies de l’information de la santé, est une règle adoptée par le Bureau pour les Droits Civils (OCR : Office for Civil Rights) pour modifier les Règles HIPAA de Confidentialité, de Sécurité et de Confidentialité afin de mettre en œuvre des modifications statutaires en vertu de la loi HITECH.
Explication de l’ OCR sur HIPAA
La règle omnibus
La règle omnibus sous HIPAA a marqué les plus importants changements apportés aux Règles de Confidentialité et de Sécurité sous HIPAA depuis leur mise en œuvre originelle. Les modifications incluent les éléments suivants:
La règle, tirée de la page 563, et publiée le 17 janvier 2013 est entrée en vigueur le 26 mars 2013.
Les partenaires commerciaux sous HIPAA
HIPAA définit comme partenaire commercial toute structure ou personne travaillant en association avec des entités assujetties gérant ou divulguant des PHI ou des dossiers de santé personnels (PHR), ou étant prestataire de services pour ces dernières.
Des exemples de partenaires commerciaux incluent les firmes de comptabilité ou de consultation collaborant avec les entités assujetties, tels que les hôpitaux ou les médecins, ou toute autre entité pouvant ou ayant pu avoir accès aux PHI ou PHR.
Les actualisations effectuées sur la régulation HIPAA par la Loi HITECH exige que les partenaires commerciaux se conforment aux mandats HIPAA concernant le traitement et l’utilisation des PHI.
Depuis le 28 février 2010, le Département de la Santé et des Services à la Personne peut auditer les prestataires associés sur leur conformité HIPAA.
Exemples de partenaires commerciaux sous HIPAA
Selon le HHS, des exemples de partenaires commerciaux sous HIPAA incluent:
Les développeurs d’applications mobiles pourraient être également considérés comme des partenaires commerciaux sous HIPAA du fait qu’un grand nombre d’applications mobiles de soins de santé gèrent des PHI.
Le HHS fournit le scénario dans lequel le développeur d’une application serait considéré comme un partenaire commercial sous HIPAA : une patiente se voit demander par son prestataire de télécharger une application de santé sur son téléphone intelligent. Le développeur de l’application et le fournisseur ont passé un contrat pour la gestion des services du patient qui inclut les conseils de santé au patient, les messages adressés au patient, le contrôle de l’alimentation et des exercices du patient, ainsi que les interfaces de programmation de l’application et l’intégration des EHR. Qui plus est, l’information que le client va entrer dans l’application est automatiquement intégré au régime des EHR.
Les partenaires commerciaux sous HIPAA et l’accord 101
Sous HIPAA, un accord de partenaire commercial (BAA : Business Associate Agreement) est un contrat entre une entité assujettie sous HIPAA et un partenaire commercial (BA : Business Associate) sous HIPAA. Le contrat protège les PHI en accord avec les directives HIPAA.
Effective depuis le 18 février 2010 et en accord avec la loi HITECH, La divulgation, le traitement et l’utilisation des PHI par un prestataire commercial (BA) doivent être conformes aux mandats de la règle de sécurité HIPAA ainsi que de la règle de confidentialité HIPAA. En vertu de la loi HITECH, tout partenaire commercial HIPAA qui sert un prestataire de soins de santé ou une institution est soumis à des audits par le OCR au sein du HHS, et il peut être tenu responsable d’une violation de données et pénalisé pour non-conformité
Les exigences du contrat de partenaire commercial sous HIPAA
Selon le HHS, les contrat de partenaires commerciaux ou autres arrangements écrits devraient:
En gardant à l’esprit ces nouvelles régulations, une entente de prestataire commercial sous HIPAA devrait explicitement préciser comment un BA devrait signaler et répondre à une violation des données, incluant celles causées par un sous-contractant de prestataire commercial. En outre, les ententes de partenaires commerciaux sous HIPAA devraient démontrer comment répondre à une enquête de l’OCR.
Les entités assujetties sous HIPAA
Une entité assujettie sous HIPAA désigne tout organisme ou corporation qui gère directement des PHI ou des PHR. Les exemples les plus communs d’entités assujetties comprennent les hôpitaux, les cabinets de médecins et les prestataires d’assurance santé.
Il est exigé des entités assujetties de se conformer avec les mandats HIPAA et HITECH pour la protection des PHI et des PHR.”