Qu'est-ce que la conformité HIPAA et pourquoi est-ce important ?

Publié: 2021-06-22

Que signifie HIPAA ?

Qu'est-ce que HIPAA exactement et que devez-vous faire en tant qu'entreprise pour rester du bon côté de ses réglementations associées ?

HIPAA signifie Health Insurance Portability and Accountability Act, qui a été adopté par le Congrès en 1996.

HIPAA a depuis lors été mis à jour et développé, notamment avec la loi HITECH de 2009 (technologie de l'information sur la santé pour la santé économique et clinique) et la règle omnibus de 2013.

Ensemble, ils ont étendu la responsabilité envers les associés commerciaux et leurs sous-traitants, ainsi que des protections plus strictes sur la manière dont les PHI peuvent être utilisées en matière de marketing et de vente.

Alors que HIPAA concerne un certain nombre de domaines, y compris la couverture des soins de santé pour les personnes qui perdent ou changent d'emploi et les dispositions fiscales, nous nous concentrerons principalement sur le titre II de la loi, qui concerne l'échange, la sécurité et la confidentialité des données de santé et ce qui concerne la grande majorité des entreprises en matière de conformité.

Passons en revue tout ce que vous devez savoir sur HIPAA et quelles sont les clés du succès pour la conformité HIPAA.

Impact s'abonner à la bannière du blog

Quel est le but de HIPAA ?

Comme nous venons de le noter, HIPAA a plusieurs objectifs en dehors de la protection des données, en particulier liés à la réforme de la législation sur l'assurance maladie.

Cependant, pour la plupart des organisations qui effectuent des recherches sur l'HIPAA, leur objectif principal est de savoir ce qu'elles doivent faire pour rester en conformité avec ses réglementations et éviter les amendes en cas de non-conformité.

Ce domaine de l'HIPAA est entièrement lié à la protection des données et à la confidentialité en ce qui concerne la divulgation et l'utilisation des informations de santé protégées, ou PHI.

La conformité HIPAA et la sécurité des PHI sont aujourd'hui essentielles pour les organisations de santé.

Image d'un homme avec la main tendue et le mot HIPAA au-dessus | Qu'est-ce que l'HIPAA ?

Qui doit respecter HIPAA ?

Les entités qui doivent respecter la conformité HIPAA sont appelées entités couvertes.

Les entités couvertes sont des personnes ou des entreprises qui stockent, gèrent et traitent les PHI.

Les entités couvertes, en plus de se conformer à la loi HIPAA, sont également responsables de signaler les violations s'y rapportant.

Les personnes et organisations suivantes constituent des entités couvertes :

Les fournisseurs de soins de santé

  • Médecins
  • Cliniques
  • Psychologues
  • Dentistes
  • Chiropraticiens
  • Maisons de retraite
  • Pharmacies
  • Plans de santé

Compagnies d'assurance maladie

  • HMO
  • Plans de santé d'entreprise
  • Régimes de soins de santé fournis par le gouvernement

Centres d'information sur les soins de santé

  • Il s'agit d'entités qui facilitent le traitement des informations de santé non standard en éléments de données standard. Ce sont en fait des intermédiaires entre les prestataires de soins de santé et les assureurs.

Associés d'affaires

  • Un « associé commercial » crée, reçoit, conserve ou transmet des informations de santé protégées (PHI) pour le compte d'une entité couverte ou d'un autre associé commercial agissant en tant que sous-traitant.

Sous-traitants

  • Un sous-traitant qui crée, maintient ou transmet des informations de santé protégées (PHI) au nom d'un associé commercial a les mêmes responsabilités légales qu'un associé commercial en vertu de la loi HIPAA. En d'autres termes, les responsabilités légales liées à la confidentialité et à la sécurité sont transmises « en aval » aux sous-traitants qui effectuent des travaux pour un partenaire commercial.

Entités hybrides

  • Une entité hybride exerce à la fois des fonctions couvertes et non couvertes par la loi HIPAA dans le cadre de son activité. Une grande entreprise qui dispose d'un régime d'assurance maladie auto-assuré pour ses employés peut choisir d'être traitée comme une entité hybride. D'autres exemples sont une université avec un centre médical ou une épicerie qui a une pharmacie.

Qu'est-ce que les PHI englobent ?

Les renseignements personnels sur la santé (RPS) font référence à toute information démographique qui peut être utilisée pour identifier un patient, un client ou une autre entité.

Il y a 18 identifiants qui font que les informations relatives à la santé sont considérées comme des RPS. Ceux-ci sont:

  1. Des noms
  2. Dates, sauf année
  3. Données géographiques
  4. Numéros de télécopie
  5. Numéros de sécurité sociale
  6. Adresses mail
  7. Numéros de dossier médical
  8. Numéros de compte
  9. Numéros de bénéficiaires du plan de santé
  10. Numéros de certificat/licence
  11. Identificateurs et numéros de série du véhicule, y compris les numéros de plaque d'immatriculation
  12. Les numéros de téléphone
  13. URL Web
  14. Identificateurs d'appareil et numéros de série
  15. Adresses de protocole Internet (IP)
  16. Photos de face et images comparables
  17. Identifiants biométriques (empreintes digitales, par exemple)
  18. Tous les numéros ou codes qui identifient de manière unique quelqu'un

Ce sont les types de données et d'informations qui doivent être protégés afin de rester conforme à la loi HIPAA.

Qu'est-ce qui est considéré comme une violation de la loi HIPAA ?

Une violation HIPAA se produit lorsqu'une entité ne respecte pas la conformité, et il existe littéralement des centaines de façons dont les individus et les organisations peuvent enfreindre la conformité HIPAA.

Les violations courantes de la loi HIPAA impliquent généralement l'un des éléments suivants :

  • Divulgation non autorisée, non autorisée ou inutile de RPS
  • Accès non autorisé aux PHI
  • Élimination incorrecte des PHI
  • Absence d'évaluation des risques menée par l'entité
  • Absence de gestion des risques en matière de RPS
  • Défaut d'établir un accord de conformité HIPAA avec des tiers lors de la fourniture d'accès aux PHI
  • Défaut de fournir une sensibilisation à la sécurité de la formation HIPAA aux employés
  • Vol de PHI
  • Partage de PHI sans autorisation préalable
  • Mauvaise manipulation/envoi injustifié de PHI
  • Défaut d'informer la personne d'un incident de sécurité impliquant des RPS dans les 60 jours suivant la découverte de la violation
  • Aucune documentation sur les protocoles de conformité, les procédures et la gestion

Que se passe-t-il si HIPAA est violé ?

Une violation HIPAA se produit lorsqu'un aspect quelconque des normes et dispositions HIPAA est enfreint.

Vous pouvez trouver un aperçu complet de toutes les réglementations HIPAA, publiées par le Bureau des droits civils du ministère de la Santé et des Services sociaux, ici.

Si une violation est signalée, l'entité couverte est passible de sanctions, qu'elles soient civiles ou pénales - les sanctions peuvent varier considérablement en fonction de la violation.

En règle générale, le Bureau des droits civils (OCR) du Département américain de la santé et des services sociaux enquêtera sur les violations et enquêtera sur toutes les entités couvertes qui signalent des violations de plus de 500 enregistrements.

Si l'OCR détermine qu'un cas particulier est criminel plutôt que civil, il le renverra au ministère de la Justice.

Dans la majorité des cas, les individus peuvent s'attendre à payer 100 $ par infraction ; les violations répétées peuvent entraîner des amendes pouvant aller jusqu'à 25 000 $.

Dans les cas où des personnes ont montré une négligence délibérée des réglementations HIPAA et n'ont fait aucune tentative pour corriger leurs politiques et procédures, une pénalité minimale de 50 000 $ peut être encourue, jusqu'à un maximum de 1,5 million de dollars.

Dans les affaires criminelles, des peines moindres de 50 000 $ et jusqu'à un an de prison sont possibles, avec une amende de 250 000 $ et jusqu'à 10 ans de prison étant le maximum.

Pour les procédures civiles, les violations sont classées en niveaux, 4 étant le plus grave.

Ils sont les suivants :

  • Niveau 1 : Une violation dont l'entité couverte n'était pas au courant et qu'elle n'aurait pas pu éviter.
  • Niveau 2 : Une violation dont l'entité couverte aurait dû être consciente mais qu'elle n'a pas pu éviter.
  • Niveau 3 : Une violation qui s'est produite en conséquence directe d'une négligence volontaire, mais où une tentative a été faite pour rectifier la violation.
  • Niveau 4 : Une violation constituant une négligence volontaire où aucune tentative n'a été faite pour corriger la violation.

Les sanctions en cas de non-conformité HIPAA pour chaque niveau sont les suivantes :

  • Niveau 1 : amende minimale de 100 $ par infraction jusqu'à 50 000 $
  • Niveau 2 : Amende minimale de 1 000 $ par infraction jusqu'à 50 000 $
  • Niveau 3 : Amende minimale de 10 000 $ par infraction jusqu'à 50 000 $
  • Niveau 4 : Amende minimale de 50 000 $

Les procédures pénales sont un peu différentes, avec trois niveaux et des peines beaucoup plus sévères que les procédures civiles.

Ils sont les suivants :

  • Niveau 1 : cause raisonnable ou aucune connaissance de la violation
  • Niveau 2 : Obtention de RPS sous de faux prétextes
  • Niveau 3 : Obtention de RPS à des fins personnelles ou avec une intention malveillante

Pénalités criminelles:

  • Niveau 1 : jusqu'à un (1) an de prison
  • Niveau 2 : Jusqu'à cinq (5) ans de prison
  • Niveau 3 : Jusqu'à 10 ans de prison

Image d'un homme avec la main tendue et le mot HIPAA au-dessus | Qu'est-ce que l'HIPAA ?

Puis-je être certifié HIPAA ?

Au moment d'écrire ces lignes, il n'existe pas de certification ou de vérification de conformité HIPAA.

Des tiers peuvent proposer une forme de «certification HIPAA», mais il n'existe pas de certification officiellement approuvée ou obligatoire offerte par le HHS.

Il n'existe aucune norme ou spécification de mise en œuvre qui oblige une entité couverte à « certifier » la conformité. La norme d'évaluation § 164.308(a)(8) exige que les entités couvertes effectuent une évaluation technique et non technique périodique qui établit dans quelle mesure les politiques et procédures de sécurité d'une entité répondent aux exigences de sécurité. Office des droits civils (OCR)

Ainsi, bien qu'il n'y ait pas de certification HIPAA, de nombreux MSSP tiers peuvent effectuer des évaluations périodiques si nécessaire et s'assurer que vous êtes en conformité avec HIPAA.

Qu'est-ce qu'un agent HIPAA ?

Un agent HIPAA est un agent de conformité.

Qu'ils soient internes ou embauchés en tant que tiers, leur travail principal sera d'assurer votre conformité HIPAA en s'assurant que vos protocoles de sécurité et de confidentialité pour les données PHI sont correctement appliqués.

Dans les cas où une telle politique n'est pas en place, l'agent HIPAA sera responsable de l'élaboration et de la mise en œuvre d'un plan de conformité pour l'individu ou l'organisation.

Ils seront ensuite chargés de maintenir et de surveiller le programme, d'enquêter et de faire rapport lorsque cela est légalement nécessaire et de s'assurer que les données des patients ou des clients sont protégées conformément aux lois nationales et fédérales.

Quelle est la clé du succès pour la conformité HIPAA ?

Si vous avez lu cet article (ou parcouru) et senti votre pouls augmenter un peu en regardant les sanctions en cas de non-conformité, alors ne vous inquiétez pas.

Il ne faut pas grand-chose pour s'assurer que vous êtes conforme à la loi HIPAA, mais il existe certainement des clés du succès pour la conformité à la loi HIPAA que les organisations feraient bien de suivre.

Tout d'abord, vous devez rechercher un fournisseur de services de sécurité gérés qui effectue des évaluations HIPAA pour venir auditer vos systèmes pour la conformité HIPAA.

Une fois qu'ils ont effectué l'évaluation des risques, ils seront en mesure de recommander et d'effectuer les implémentations dont vous avez besoin pour vous assurer que vous faites tout votre possible pour maintenir la conformité.

Qu'est-ce qu'une évaluation des risques HIPAA ?

Article connexe : Que se passe-t-il lors d'un audit des risques de cybersécurité ?

Un audit de conformité HIPAA est l'évaluation effectuée par un responsable de la conformité qui approfondira vos systèmes et vos protocoles de sécurité.

Tout d'abord, ils devront collaborer avec vous pour déterminer la portée de l'audit, principalement liée à vos obligations (dans ce cas, la loi HIPAA est la principale priorité, bien que vous deviez peut-être également vous conformer à d'autres réglementations).

Ils établiront ensuite un calendrier d'audit et passeront à l'étape suivante ; exécution. Cette partie implique une analyse des vulnérabilités, des tests de pénétration et une analyse des lacunes.

Dans le cas d'une évaluation des risques pour la conformité HIPAA, une analyse des lacunes sera essentielle, car c'est là que le responsable de la conformité HIPAA détaillera ce qui doit être fait pour vous mettre en conformité, vous ou votre entreprise.

Une fois l'audit de conformité HIPAA terminé, le responsable de la conformité fera ses recommandations et vous pourrez avoir une idée claire de ce qui doit être fait.

Vous pouvez également saisir cette opportunité pour déléguer la mise en œuvre de ces recommandations au MSSP, auquel cas vous pouvez signer un contrat à long terme avec lui, ce qui vous permet de démarrer et de gérer votre entreprise pendant que le fournisseur de services de sécurité gérés s'occupe de la conformité. .

Si vous souhaitez en savoir plus sur la conformité HIPAA et sur ce qu'un fournisseur de services de sécurité gérés peut faire pour vous, consultez notre page Services de conformité.