Lois HIPAA sur la protection de la vie privée

Les objectifs des lois HIPAA sur la protection de la vie privée

Les lois HIPAA sur la protection de la vie privée ont été promulguées pour la première fois en 2002 dans le but de protéger la confidentialité des informations sur les soins de santé des patients sans handicaper le flux d’informations nécessaire pour fournir un traitement. Les lois HIPAA sur la confidentialité contrôlent qui peut avoir accès aux informations de santé protégées (PHI), les conditions dans lesquelles elles peuvent être utilisées et à qui elles peuvent être divulguées.

Les lois HIPAA sur la confidentialité ne s’appliquent pas seulement aux prestataires de soins de santé et aux organisations pour lesquelles ils travaillent. Elles s’appliquent à toute entité susceptible d’avoir accès à des informations sur les soins de santé d’un patient qui – si elles tombaient entre de mauvaises mains – pourraient présenter un risque de préjudice pour les finances ou la réputation du patient. Par conséquent, les assureurs de santé, les chambres de compensation des soins de santé et les employeurs qui fournissent des plans de santé internes doivent également se conformer aux lois HIPAA sur la confidentialité.

Les informations protégées par les lois HIPAA sur la confidentialité

Les informations protégées par les lois HIPAA sur la confidentialité sont connues sous le nom d' »informations de santé individuellement identifiables ». Il s’agit de toute information qui peut révéler l’identité d’un patient en ce qui concerne :

• l’état physique ou mental passé, présent ou futur du patient,
• la fourniture de traitements et de services de soins de santé au patient, ou
• le paiement passé, présent ou futur de la fourniture de soins de santé au patient.

Parce que les données protégées comprennent des informations de paiement, les informations de santé individuellement identifiables comprennent non seulement des données telles que les noms, la date de naissance, les numéros de sécurité sociale et les numéros de téléphone, mais aussi les numéros d’immatriculation des voitures, les informations relatives aux cartes de crédit, et même des exemples d’écriture du patient.

Il est important pour les entités couvertes de noter que les lois sur la confidentialité de l’HIPAA ne s’appliquent pas seulement aux données enregistrées dans un format écrit. Les images et les vidéos qui contiennent toute information de santé identifiable individuellement sont également protégées par les lois sur la confidentialité de l’HIPAA.

Si, par exemple, un prestataire de soins de santé prenait une photo de la plaie d’un patient – et que l’identité du patient pouvait être établie par tout signe distinctif – la confidentialité et la divulgation de la photographie seraient soumises aux conditions au sein des lois sur la confidentialité de l’HIPAA.

PHI : Qui, quand et comment ?

Les lois HIPAA sur la confidentialité concernant les PHI s’appliquent à chaque entité couverte et à chaque fournisseur de services tiers (ou « associé commercial ») avec lequel l’entité couverte fait des affaires. Ce sont les seules parties qui devraient avoir accès aux RPS, à moins que le patient n’autorise leur divulgation à des fins de recherche, de marketing ou de collecte de fonds.

La divulgation de RPS à des fins de traitement, de paiement ou d’opérations de soins de santé doit être contenue au sein d’une entité couverte ou d’un associé commercial – à moins que la divulgation ne soit exigée par la loi, ne soit dans l’intérêt du public ou dans l’intérêt du patient (par exemple, si le patient est victime de maltraitance, de négligence ou de violence domestique).

Même dans ce cas, les lois HIPAA sur la protection de la vie privée stipulent que les entités couvertes doivent adhérer à la « règle du minimum nécessaire » – une règle qui stipule que la divulgation des RPS ne doit être que le minimum nécessaire pour atteindre l’objectif déclaré. Chaque demande de divulgation doit également être examinée au cas par cas, plutôt que de donner accès aux RPS à un associé commercial parce qu’il a été autorisé à y accéder précédemment.

La divulgation non autorisée de RPS

Chaque entité couverte est tenue de mettre en œuvre des garanties pour empêcher la divulgation non autorisée de RPS. Ces mesures de protection varient en fonction de la taille de l’entité couverte et de la nature des soins de santé qu’elle fournit, mais les peines encourues en cas de non-respect de l’intégrité des RPS peuvent être extrêmement élevées. Les organismes de soins de santé qui, délibérément ou par négligence, ne respectent pas les lois sur la confidentialité de l’HIPAA peuvent se voir infliger une amende allant jusqu’à 50 000 dollars par infraction et par jour.

Selon l’Office for Civil Rights du Department of Health and Human Resources, la raison la plus courante de la divulgation non autorisée de PHI est la perte ou le vol de dispositifs mobiles personnels et de dispositifs de médias portables (ordinateurs portables, Smartphones et clés USB). Pour cette raison, de nombreuses organisations de soins de santé ont choisi de mettre en œuvre des solutions de messagerie sécurisée en tant que remplacements appropriés des canaux de communication non sécurisés tels que les SMS et le courrier électronique.

Les solutions de messagerie sécurisée chiffrent les RPS afin qu’ils soient indéchiffrables et inutilisables s’ils sont interceptés en transit, et elles disposent également de mécanismes de sécurité pour garantir que les RPS ne peuvent pas être envoyés accidentellement ou par malveillance en dehors du réseau de communication privé d’une entité couverte ou copiés sur une clé USB. En cas de perte ou de vol d’un appareil mobile personnel, il existe des contrôles administratifs permettant de supprimer à distance tout RPS reçu par l’appareil et de verrouiller l’application utilisée pour la messagerie sécurisée. Ces contrôles fonctionnent également sur les ordinateurs de bureau.

Les avantages des solutions de messagerie sécurisée

Les solutions de messagerie sécurisée sont non seulement conformes aux lois HIPAA sur la confidentialité, mais aussi aux exigences administratives, physiques et techniques de la règle de sécurité HIPAA. Cela signifie que des mécanismes sont en place pour surveiller les messages sécurisés et assurer une responsabilité à 100 % des messages, ce qui, à son tour, réduit le  » phone tag  » – le temps perdu par les professionnels de la santé à attendre la confirmation de la réception d’un message ou une réponse.

Un article récent de CNN Money a rapporté que le  » phone tag  » coûte au secteur de la santé américain plus de 7 milliards de dollars chaque année et que la mise en œuvre de solutions de messagerie sécurisée pourrait accélérer les processus de soins de santé tels que les admissions à l’hôpital et les sorties des patients. Des études distinctes ont également montré que la messagerie sécurisée accélère les communications, favorise la collaboration et, lorsqu’elle est intégrée à un DSE, réduit les incidents liés à la sécurité des patients et les erreurs de médication.

Avec la messagerie sécurisée, les informations protégées par les lois HIPAA sur la confidentialité restent protégées, seuls les utilisateurs autorisés accèdent aux PHI et les prestataires de soins de santé peuvent communiquer avec la même rapidité et la même commodité que les SMS ou les e-mails, mais sans risquer la divulgation non autorisée de PHI. La messagerie sécurisée satisfait aux conditions des lois HIPAA sur la confidentialité concernant les personnes qui peuvent avoir accès aux PHI, les conditions dans lesquelles elles peuvent être utilisées et à qui elles peuvent être divulguées.

Plus d’informations sur les lois HIPAA sur la confidentialité

Si vous souhaitez en savoir plus sur les lois HIPAA sur la confidentialité, vous pouvez trouver des informations supplémentaires ici.