'
Articles

HIPAA Basics ; HIPAA Made Easy

author
7 minutes, 19 seconds Read

Vous cherchez un résumé HIPAA ou un guide HIPAA 101 ? Commencez ici.

Quand il s’agit de comprendre les bases de l’HIPAA, la tâche peut sembler décourageante. Lire la réglementation signifie trier le jargon juridique complexe, et s’appuyer sur des ouï-dire peut conduire à plus de malentendus que de clarifications.

C’est pourquoi nous avons élaboré ce guide HIPAA 101 The Basics. Vous obtiendrez tout ce dont vous avez besoin pour comprendre la loi en toute confiance, dans un guide facile à lire pour vous aider à comprendre la conformité à la loi HIPAA.

Qu’est-ce que la loi HIPAA ?

La loi de 1996 sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) est une série de normes nationales que les organisations de soins de santé doivent mettre en place afin de protéger la confidentialité et la sécurité des informations de santé protégées (PHI). Les PHI sont toutes les informations démographiques identifiables individuellement qui peuvent être utilisées pour identifier un patient. Les exemples courants de PHI comprennent les noms, les adresses, les courriels, les numéros de téléphone, les photos faciales complètes,

Avant de commencer, examinons quelques définitions clés qui se rapportent aux bases de l’HIPAA.

Il existe deux types d’organisations décrites dans la réglementation de l’HIPAA, notamment :

  • Entités couvertes (EC) : les fournisseurs de soins de santé, les régimes d’assurance maladie et les centres d’échange de soins de santé. Les CE sont impliquées dans la création directe de PHI et doivent se conformer à toute l’étendue de la réglementation HIPAA.
  • Associés commerciaux (BA) : Toute organisation engagée par un CE (ou autre BA) qui rencontrera nécessairement des PHI au cours du travail qu’ils ont été engagés pour effectuer. Parmi les exemples courants de BA, citons les fournisseurs informatiques, les sociétés de gestion de cabinet, les fournisseurs de stockage physique, les fournisseurs de stockage en nuage, le cryptage des courriels, la sauvegarde des données, et bien d’autres. Les BA ne sont pas tenus de se conformer à la règle de confidentialité de l’HIPAA dans son intégralité, mais doivent se conformer au reste des normes réglementaires qui s’appliquent.

Depuis sa promulgation en 1996, l’HIPAA a subi de nombreux changements, révisions et ajouts. Collectivement, ceux-ci sont connus sous le nom de règles HIPAA. Les règles HIPAA comprennent :

  • Règle de confidentialité HIPAA : La règle de confidentialité établit des normes nationales pour la confidentialité, l’intégrité et la disponibilité des PHI. La règle décrit les mesures de protection qui doivent être mises en place pour garantir la confidentialité des RPS. La règle établit également des lignes directrices pour les droits des patients à accéder à leurs dossiers médicaux, en plus des utilisations, divulgations et autorisations que les CE doivent avoir en place.
  • Règle de sécurité HIPAA : La règle de sécurité fixe des normes nationales pour le maintien de la sécurité des RPS par le biais d’une série de mesures de protection techniques, physiques et administratives que les EC et les BA doivent mettre en œuvre.
  • Règle de notification des violations de l’HIPAA : La Breach Notification Rule décrit les processus que les entités détentrices de l’HIPAA doivent suivre en cas de violation des données. Selon le nombre de personnes touchées par une violation donnée, les délais et les normes de notification exigés par la règle sont différents.
  • Règle Omnibus HIPAA : La règle Omnibus a apporté plusieurs changements majeurs à la réglementation HIPAA, notamment en ce qui concerne le rôle des BA. Depuis l’entrée en vigueur de la règle en 2013, les BA ont l’obligation réglementaire de se conformer à l’HIPAA. En outre, la règle Omnibus a fixé des règles plus strictes pour l’exécution des accords d’associés d’affaires, qui seront abordés plus loin dans cette pièce.

Maintenant que vous avez une idée des fondements de la conformité HIPAA, nous allons plonger dans ce qui est nécessaire pour que votre pratique se conforme efficacement à la loi.

Comment devenir conforme à la loi HIPAA

Vérifications HIPAA

La première étape de tout programme de conformité efficace consiste à exécuter une série de vérifications. Ces audits vous donneront une base de référence pour savoir où se situe votre pratique par rapport à la loi HIPAA.

Il n’y a pas de liste prédéfinie d’audits qui doivent être effectués, cependant ces audits doivent être exécutés à travers tous les éléments de votre entreprise pour mesurer votre conformité aux normes HIPAA. Chaque règle HIPAA est composée de nombreuses normes HIPAA, chacune ayant ses propres spécifications de mise en œuvre. Afin d’auditer efficacement votre entreprise, vous devez utiliser ces normes HIPAA comme base pour vos audits. En auditant votre entreprise par rapport aux normes HIPAA, vous aurez une idée de l’endroit où se trouvent vos lacunes en matière de conformité, de cette façon vous pourrez vous atteler à les corriger par la suite.

Plans de remédiation

Une fois que vous avez terminé vos audits et développé vos lacunes dans votre conformité HIPAA actuelle, alors vous pouvez commencer à corriger ces lacunes.

Des plans de remédiation doivent être ouverts pour chaque lacune que vos audits ont révélée. Ceux-ci doivent être entièrement documentés dans un référentiel central, avec un accès limité basé sur les rôles en fonction des parties impliquées dans le processus de remédiation. Chaque plan de remédiation doit attribuer la responsabilité à une personne de votre personnel de combler la lacune, ainsi que des mesures à prendre et un calendrier d’exécution.

A mesure que votre organisation comble chaque lacune, vous devez documenter le processus jusqu’à ce que toutes les lacunes soient comblées.

Politiques, procédures, formation des employés

Les politiques et les procédures sont la pierre angulaire d’un programme de conformité HIPAA efficace.

Les organisations qui respectent l’HIPAA sont tenues de mettre en place des politiques et des procédures qui traitent de chaque norme HIPAA. Elles sont destinées à créer des processus uniformes dans toutes les parties de votre organisation pour le traitement des PHI et toutes les autres spécifications de mise en œuvre mandatées par l’HIPAA.

Même si les normes que chaque politique et procédure doit aborder seront les mêmes pour chaque entité détentrice de l’HIPAA, le langage réel des politiques et des procédures doit être adapté aux besoins de votre organisation. C’est pourquoi une solution comme un classeur de politiques n’est pas considérée comme une solution efficace pour la conformité HIPAA. Si les politiques que votre organisation met en œuvre ne s’appliquent pas à la portée de votre activité, elles ne pourront pas vous protéger en cas de violation de l’HIPAA.

Une fois que votre organisation a mis en œuvre les politiques et procédures HIPAA, vous devez vous assurer que tous les employés ont été formés à leur contenu. Et afin de documenter correctement que cette formation a eu lieu, votre organisation doit faire signer à tous les employés une attestation disant qu’ils ont lu et compris le contenu de chaque politique. Ces attestations doivent être en place afin de protéger votre organisation de toute responsabilité dans le cas où un employé cause une violation de l’HIPAA en conflit avec l’une de vos politiques.

La formation des employés doit être exécutée chaque année. Tous les nouveaux employés qui rejoignent votre organisation doivent être formés aux politiques et procédures dans le cadre de leur processus d’intégration.

Gestion des BA/fournisseurs

Un autre élément essentiel de la conformité HIPAA est de comprendre comment protéger les PHI auxquelles les fournisseurs ont accès. Comme nous l’avons vu plus haut, un BA est un fournisseur que vous engagez et dont le travail implique nécessairement une rencontre avec des PHI de toute nature.

L’HIPAA impose qu’avant tout partage de PHI, votre organisation doit exécuter un accord d’associé commercial (BAA) avec ce fournisseur. Cela s’applique aux relations entre les EC et les BA, en plus des relations entre un BA et un autre (un BA d’un BA est appelé un  » sous-traitant  » en vertu de la HIPAA).

Les BAA DOIVENT être exécutés avant que tout PHI puisse être partagé. Un BAA efficace doit stipuler que :

  1. L’organisation 1 reconnaît qu’elle est redevable à la HIPAA.
  2. L’AB de l’organisation 1 reconnaît qu’elle est redevable à la HIPAA.
  3. La responsabilité en cas de violation des données appartient à la partie responsable de la violation.

Similar Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.