Un historique de l’HIPAA : 8 choses que vous devriez savoir

La loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) a été promulguée en 1996 pour protéger les familles américaines des dangers de la perte de la couverture d’assurance maladie. Elle a principalement été conçue pour assurer aux travailleurs la portabilité de leur assurance lors d’un changement ou d’une perte d’emploi. Son objectif secondaire est de garantir la sécurité et la confidentialité des informations médicales individuelles. L’HIPAA a eu 20 ans l’année dernière, mais le système de soins de santé est encore loin d’être totalement conforme.

L’HIPAA couvre beaucoup de terrain.

Il y a eu plusieurs amendements à l’HIPAA depuis sa signature en tant que loi. Le premier en 2003, connu sous le nom de règle de confidentialité, a défini les informations de santé protégées (PHI) comme toute information liée à la santé qui peut être utilisée pour identifier un individu particulier. Il peut s’agir d’informations liées à la santé ou à l’état physique ou mental passé, présent ou futur d’un individu, à toute fourniture de soins de santé à un individu et à tout paiement passé, présent ou futur pour la fourniture de soins de santé à un individu.

Les organisations peuvent être lentes à se mettre en place.

La règle de sécurité a été promulguée en 2005 pour normaliser le traitement des PHI électroniques en fournissant des directives spécifiques pour les sauvegardes physiques, techniques et administratives. Malheureusement, l’enquête sur la conformité à l’HIPAA menée l’année dernière par NueMD a révélé que seulement 70 % des organisations de soins de santé prévoyaient de s’efforcer d’être conformes à l’HIPAA. Ce chiffre est certainement décevant lorsque l’on sait que le taux d’adoption est plus faible parmi les groupes d’employeurs offrant des plans de santé collectifs, les associés commerciaux et les agences d’assurance maladie. Ceci est basé sur l’évaluation de Total HIPAA de ces autres groupes.

Le HHS OCR fait respecter la conformité.

En vertu de la règle d’application de 2006, le Department of Health and Human Services Office for Civil Rights (HHS OCR) a reçu la responsabilité de surveiller les organisations qui devraient se conformer à la réglementation HIPAA. Le HHS OCR a le pouvoir d’enquêter sur les plaintes liées aux règles de confidentialité et de sécurité, et d’infliger des amendes à ceux qui ne respectent pas la réglementation HIPAA. Les pénalités vont de 100 $ à 1,5 million de dollars par violation, mais les résolutions avec le HHS OCR ont été dans les centaines de milliers de dollars à tout le chemin dans les millions ayant des règlements multiples dépassant 5 millions de dollars.

Toutes les entreprises liées à la santé comptent.

Toutes les entreprises qui voient des informations liées à la santé reliées à un individu sont censées se conformer à HIPAA. La loi sur les technologies de l’information sur la santé pour la santé économique et clinique (HITECH) exige que les organisations de soins de santé informent leurs associés commerciaux et leurs sous-traitants qu’ils sont légalement censés travailler conformément à la loi HIPAA. L’enquête NueMD de 2016 a indiqué que seulement 60 % des organisations de soins de santé interrogées étaient conscientes de cette attente.

Votre organisation peut faire l’objet d’un audit.

Depuis plus de six ans, l’OCR du HHS effectue des audits de conformité dans l’espoir d’accroître la conformité HIPAA. En 2011, l’OCR a mis en œuvre un programme d’audit pilote (phase un) pour évaluer les contrôles et les processus mis en œuvre par 115 entités couvertes pour se conformer aux exigences de l’HIPAA. La phase deux du programme d’audit HIPAA de l’OCR a débuté l’année dernière par la sélection de plus de 200 entités couvertes et associés commerciaux, en envoyant des lettres de notification en été et en automne pour les informer qu’ils ont été sélectionnés pour un audit sur dossier. L’année dernière, selon l’enquête de NueMD, seuls 40 % des organismes de soins de santé savaient que ces audits étaient menés. Actuellement, les audits sur place de l’OCR ont été reportés à la fin de 2017 ou au début de 2018.

Les RPS doivent être conservées pendant au moins 6 ans.

L’HIPAA exige que les entités couvertes et les associés commerciaux conservent la documentation des RPS qu’ils ont recueillies pendant au moins six (6) ans à compter de la date de leur création ou de la date à laquelle elles étaient en vigueur pour la dernière fois, selon la dernière de ces dates. Les organisations qui détiennent des PHI doivent examiner les exigences de conservation de leur État avant d’éliminer correctement les PHI pour assurer la conformité de l’État.

La conformité à la HAA diminue.

Les enquêtes de NueMD ont également montré que de 2014 à 2016, le nombre de responsables de la sécurité et de la confidentialité employés était passé de 56 et 55 % à 53 et 54 %, respectivement. Il y a également moins d’organisations de soins de santé qui fournissent une formation à la conformité HIPAA, passant de 62 à 58 pour cent.

L’aube de la communication électronique.

De plus en plus de fournisseurs de soins de santé utilisent des applications téléphoniques, des courriels et des médias sociaux pour entrer en contact avec les patients. Alors que de plus en plus d’organisations passent à la communication électronique, il est important de surveiller la sécurité de ces processus. Total HIPAA a passé en revue les logiciels conformes à l’HIPAA pour la communication électronique, comme le cryptage des courriels et la messagerie texte, afin d’aider les organisations à trouver la solution la mieux adaptée.

Où allons-nous maintenant ?

En résumé, l’adoption de la conformité à l’HIPAA en est encore à ses débuts. L’OSHA a pris plus de 20 ans pour être largement adoptée par les entreprises basées aux États-Unis. Bien que la première partie de l’HIPAA soit entrée en vigueur il y a 20 ans, les parties clés de la loi ne sont en vigueur que depuis 2009.

Le HHS n’a toujours pas statué sur la question de savoir si les patients, les employés ou les clients peuvent partager les amendes actuellement perçues par le HHS lorsque les PHI de ces personnes ont été violées. Si le HHS décide que les individus peuvent être remboursés lorsque leurs PHI sont violés, les vannes s’ouvriront. Les groupes qui doivent se conformer à l’HIPAA se précipiteront pour achever le processus et risquent de se retrouver en situation de rattrapage. Ne vous perdez pas dans cette course. Agissez maintenant et devenez conforme à l’HIPAA.

De plus, quatre cours suprêmes d’État ont confirmé l’HIPAA comme norme de diligence (Missouri, Caroline du Nord, Connecticut et Virginie occidentale). Cela signifie que les entités couvertes qui ne protègent pas correctement les RPS pourraient faire face à des poursuites judiciaires de la part de citoyens privés, et pas seulement du HHS.

Les gens sont plus conscients de leurs droits en vertu de l’HIPAA que vous ne le pensez. Ne pas être conforme à l’HIPAA expose votre cabinet ou votre entreprise à toute une série de problèmes réglementaires qu’il vaut mieux atténuer avant qu’il y ait un problème. En réalité, la conformité est beaucoup plus abordable que jamais, et la non-conformité est beaucoup plus coûteuse que jamais.

Etes-vous conforme à l’HIPAA ?

Par : Total HIPAA Guest Bloggers

Partager, c’est soigner !