Confidentialité de la santé: principes de base de la HIPAA

Publié le 01 février 2015 | Révision: 01 février 2015

  1. Introduction
  2. Qu’est-ce que HIPAA?
    a. Une brève histoire de HIPAA
    b. La HIPAA est-elle la seule loi qui s’applique aux informations de santé?
  3. Qui doit se conformer à HIPAA?
    a. Entités couvertes
    b. Associés commerciaux
    c. Sous-traitants
    d. Entités hybrides
  4. Qui n’est pas tenu de se conformer à la HIPAA?
  5. Quelles informations la HIPAA couvre-t-elle?
    a. À quelles informations la règle de confidentialité HIPAA s’applique-t-elle?
    b. À quelles informations s’applique la règle de sécurité HIPAA?
  6. Quelles informations ne sont pas couvertes par la règle de confidentialité HIPAA?
    a. Informations sur la santé dans les dossiers d’emploi
    b. Information sur la santé dans les dossiers scolaires (pour la plupart)
    c. Informations médicales concernant une personne décédée depuis plus de 50 ans
    d. Données anonymisées
  7. Comment le ministère américain de la Santé et des Services sociaux (HHS) applique-t-il la loi HIPAA?
    a. Quand HHS enquêtera-t-il sur une plainte?
    b. Comment HHS détermine-t-il une sanction pour une infraction?
    c. S’il y a une sanction pécuniaire, la personne qui a déposé la plainte recevra-t-elle de l’argent?
    d. Les particuliers peuvent-ils intenter des poursuites en vertu de la HIPAA?
  8. Ressources

1. Introduction

Presque tout le monde reconnaît la nature sensible des informations médicales et médicales. Cependant, la confidentialité et la sécurité des informations de santé sont des sujets complexes à parcourir pour les patients et les professionnels de la santé.

Les réglementations fédérales qui régissent la confidentialité et la sécurité des informations de santé sont connues sous le nom de HIPAA, pour la Health Insurance Portability and Accountability Act qui les a mandatés. En tant que patient, il est important de comprendre la portée et les limites de la HIPAA. Ce guide fournit des informations sur les principes de base de la HIPAA, par exemple à qui HIPAA s’applique et quelles informations il couvre.

2. Qu’est-ce que HIPAA?

La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale qui fournit des normes de confidentialité et de sécurité de base pour les informations médicales. Le ministère américain de la Santé et des Services sociaux (HHS) est l’agence fédérale chargée de créer des règles qui mettent en œuvre la loi HIPAA et la loi HIPAA.

a. Bref historique de la loi HIPAA

  • 1996 – Le Congrès a adopté la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
    La plupart des gens connaissent la loi HIPAA en tant que loi sur la confidentialité et la sécurité médicales. Cependant, son objectif initial était de fixer des normes pour la transmission de données de santé électroniques et de permettre aux gens de transférer et de continuer à bénéficier d’une assurance maladie après avoir changé ou perdu un emploi.
    In En fait, jusqu’en 2003, il n’existait pas de normes nationales de confidentialité pour informations médicales sous HIPAA. Toutes les protections étaient basées sur la loi de l’État.

  • 2003 – Le ministère américain de la Santé et des Services sociaux (HHS) a publié et adopté la règle de confidentialité HIPAA, la règle de sécurité HIPAA et la loi HIPAA Règle d’application.
    En 2003, HHS a publié les premières règles nationales de confidentialité et de sécurité des données en vertu de la HIPAA.
    La règle de confidentialité donne aux individus des droits en ce qui concerne leurs informations de santé protégées (PHI). Il explique également comment les entités couvertes (celles qui doivent se conformer à la HIPAA) peuvent utiliser et divulguer les PHI.
    La règle de sécurité établit des normes pour la protection des PHI électroniques.
    La règle d’application traite de la conformité, des enquêtes et des sanctions potentielles en cas de violation de la règle de confidentialité et de la règle de sécurité HIPAA. L’Office for Civil Rights (OCR) au sein du HHS est responsable de l’application des réglementations HIPAA.
  • 2009 – La loi sur les technologies de l’information sanitaire pour la santé économique et clinique (HITECH) a été signée droit. La loi HITECH est le titre XIII de l’American Recovery and Reinvestment Act (AARA).
    Entre 2003 et 2009, la technologie a changé le paysage de la confidentialité médicale. Les dossiers médicaux électroniques ont commencé à remplacer les dossiers papier. Les patients ont commencé à communiquer avec leurs médecins par e-mail et via des portails en ligne. Les pharmacies ont commencé à traiter les ordonnances par voie électronique.
    La loi HITECH a créé des incitations financières pour que les prestataires de soins de santé et les assureurs continuent de passer aux dossiers médicaux électroniques, et a également abordé les problèmes de confidentialité et de sécurité liés à la transmission électronique d’informations sur la santé, y compris l’accès et les données non autorisés violations.
  • 2013 – Le bureau des droits civils du HHS a publié la règle omnibus HIPAA.
    La règle omnibus du HHS a apporté plusieurs modifications importantes à la confidentialité, la sécurité et l’application de la loi HIPAA Des règles. Il a mis en œuvre de nombreuses dispositions de la loi HITECH. Il a modifié et finalisé la règle de notification de violation. Il a également mis en œuvre les modifications de la règle de confidentialité HIPAA requises par la loi de 2008 sur la non-discrimination des informations génétiques (GINA).

b. La HIPAA est-elle la seule loi qui s’applique aux informations de santé?

Non. La loi HIPAA (Health Insurance Portability and Accountability Act) n’est pas la seule loi qui s’applique aux informations sur la santé.

Il existe des lois fédérales qui s’appliquent à des types spécifiques d’informations sur la santé (ou des dossiers contenant des informations sur la santé) telles que les informations génétiques, les informations sur la santé dans les dossiers scolaires, les informations identifiables sur les personnes conservées par le gouvernement fédéral, certains alcools et les dossiers de toxicomanie et les informations relatives à la recherche médicale.

En outre, les États peuvent adopter leurs propres lois pour protéger les informations de santé, car la HIPAA définit une base à partir de laquelle les États peuvent créer des lois plus strictes. Pour plus d’informations sur la législation des États, consultez HealthInfoLaw.org (un projet du Hirsh Health Law and Policy Program de l’Université George Washington).

3. Qui doit se conformer à la loi HIPAA?

La HIPAA ne protège pas toutes les informations relatives à la santé. Elle ne s’applique pas non plus à toutes les personnes susceptibles de voir ou d’utiliser des informations sur la santé. La HIPAA ne s’applique qu’aux entités couvertes et à leurs associés commerciaux.

a. Entités couvertes

Il existe trois types d’entités couvertes en vertu de la HIPAA.

  • Les prestataires de soins de santé sont payés pour fournir des soins de santé. Médecins, dentistes, hôpitaux, maisons de retraite, pharmacies, cliniques de soins d’urgence, etc. les entités qui fournissent des soins de santé contre paiement sont des exemples de prestataires.
    Les prestataires de soins de santé ne doivent se conformer à la loi HIPAA que s’ils transmettent des informations sur la santé par voie électronique dans le cadre des transactions couvertes. La plupart des prestataires transmettent des informations par voie électronique pour exécuter des fonctions telles que le traitement des réclamations et recevoir le paiement. Par conséquent, la plupart des prov les clients sont couverts par la HIPAA.
  • Les plans de santé paient le coût des soins médicaux.
    Voici des exemples de plans de santé couverts par la HIPAA: compagnies d’assurance maladie, organismes de soins de santé (HMO), plans de santé collectifs parrainé par un employeur, les régimes de santé financés par le gouvernement tels que Medicare et Medicaid, et la plupart des autres entreprises ou arrangements qui paient pour les soins de santé.
  • Les centres d’échange d’informations sur les soins de santé traitent les informations afin qu’elles puissent être transmises dans un format standard entre entités couvertes. Les centres d’échange servent souvent d’intermédiaire entre les prestataires de soins de santé et les plans de santé, ce qui signifie qu’ils traitent rarement directement avec les patients. Par exemple, une chambre de compensation peut prendre des informations d’un médecin et les mettre dans un format codé standard qui peut être utilisé à des fins d’assurance.

Pour plus d’informations sur la question de savoir si une entité est couverte par la loi HIPAA, HHS fournit un tableau utile.

b. Associés commerciaux

Qu’est-ce qu’un associé commercial? Les prestataires de soins de santé, les régimes de santé et les centres d’échange d’informations sur les soins de santé ne sont que quelques-uns des acteurs du secteur des soins de santé. Les entités couvertes embauchent ou contractent des personnes et des entreprises pour fournir de nombreux services.

Un « associé commercial » crée, reçoit, gère ou transmet des informations de santé protégées (PHI) au nom d’une entité couverte ou d’un autre associé commercial agissant en tant que sous-traitant.

Pour la définition d’une entreprise associée, voir 45 CFR § 160.103.

Que font les associés commerciaux? Les associés peuvent fournir de nombreux services différents pour une entité couverte, y compris (mais sans s’y limiter):

  • juridique
  • actuariel
  • comptabilité
  • conseil
  • agrégation de données
  • gestion
  • accréditation administrative
  • traitement ou administration des réclamations
  • données analyse
  • transmission de données
  • revue d’utilisation
  • assurance qualité
  • certaines activités de sécurité des patients
  • facturation
  • gestion des avantages
  • gestion du cabinet
  • nouvelle tarification.

Les partenaires commerciaux fournissent souvent des services qui n’impliquent pas d’interaction avec le patient. Cependant, un exemple courant d’associé commercial avec lequel les patients peuvent interagir est une entreprise qui offre un dossier de santé personnel (PHR) à des personnes au nom d’entités couvertes.

Quelles sont les responsabilités des associés commerciaux? Les entités couvertes doivent signer des contrats écrits avec leurs associés commerciaux pour s’assurer qu’ils protègent les PHI conformément aux normes HIPAA. Les associés doivent faire de même avec leurs sous-traitants qui peuvent être considérés comme des associés. Le site Web HHS contient plus d’informations sur les relations entre les partenaires commerciaux et fournit également des exemples de clauses pour les accords entre partenaires commerciaux.

Les associés commerciaux doivent se conformer aux contrats qu’ils signent avec les entités couvertes. En outre, les associés sont directement responsables des violations de la règle de sécurité HIPAA et de nombreuses dispositions de la règle de confidentialité HIPAA. Cela signifie que les partenaires commerciaux sont soumis à la plupart des mêmes normes de confidentialité et de sécurité des données qui s’appliquent aux entités couvertes et peuvent faire l’objet d’audits et de sanctions HHS.

c. Sous-traitants

Un sous-traitant qui crée, maintient ou transmet des informations de santé protégées (PHI) au nom d’un associé commercial a les mêmes responsabilités juridiques qu’un associé en vertu de la loi HIPAA.En d ‘autres termes, les responsabilités légales liées à la confidentialité et à la sécurité vont «en aval» aux sous – traitants qui travaillent pour un associé.

Par exemple, un associé d’ un hôpital peut engager une société externe pour déchiqueter des documents contenant PHI ou pour fournir un service cloud pour stocker les données. Dans les deux cas, la société extérieure (sous-traitant) serait tenue de se conformer à la plupart des règles HIPAA en tant qu’associé commercial. Elle serait également liée par un contrat avec l’associé commercial plutôt que l’entité couverte (ou l’hôpital dans cet exemple).

d. Entités hybrides

Une entité hybride exécute à la fois des fonctions couvertes par la HIPAA et non couvertes dans le cadre de ses activités. société qui a un régime d’assurance maladie auto-assuré pour ses employés peut choisir d’être traitée comme une entité hybride. D’autres exemples sont une université avec un centre médical ou une épicerie qui a une pharmacie.

Lorsqu’une organisation choisit d’être traitée comme une entité hybride, seule la partie du entreprise qui est une entité couverte (appelée la composante soins de santé) est soumise à la loi HIPAA. Les entités hybrides doivent veiller à ce que la composante soins de santé ne divulgue pas les informations de santé protégées à une autre composante non couverte de l’entreprise. Ils doivent également protéger les informations de santé électroniques protégées.

4. Qui n’est pas tenu de se conformer à la HIPAA?

N’oubliez pas que de nombreuses entreprises et personnes ne sont pas tenues de se conformer à la HIPAA, et il arrive souvent que des informations sur la santé soient disponibles pour ces personnes et entreprises . HIPAA s’applique uniquement aux entités couvertes et à leurs partenaires commerciaux.

Voici quelques exemples de ceux qui ne sont pas couverts par la HIPAA mais qui peuvent gérer des informations médicales:

  • les compagnies d’assurance-vie et de longue durée
  • les assureurs d’indemnisation des travailleurs, les agences administratives ou les employeurs (à moins qu’ils ne soient autrement considérés comme des entités couvertes)
  • les agences qui fournissent des prestations de sécurité sociale et de bien-être
  • régimes d’assurance automobile qui incluent des prestations de santé
  • moteurs de recherche et sites Web qui fournissent des informations médicales ou médicales et ne sont pas gérés par une entité couverte
  • spécialistes du marketing
  • gymnases et clubs de fitness
  • sociétés de tests génétiques directement aux consommateurs (DTC)
  • de nombreuses applications mobiles (apps) utilisent d à des fins de santé et de remise en forme
  • ceux qui effectuent des dépistages dans les pharmacies, les centres commerciaux, les salons de la santé ou d’autres lieux publics pour la tension artérielle, le cholestérol, l’alignement de la colonne vertébrale et d’autres conditions
  • certains praticiens de médecine alternative
  • la plupart des écoles et des districts scolaires
  • des chercheurs qui obtiennent des données sur la santé directement auprès des prestataires de soins de santé
  • la plupart des organismes d’application de la loi
  • de nombreux organismes publics, comme les services de protection de l’enfance
  • les tribunaux, où les informations relatives à la santé sont importantes pour une affaire

Pour en savoir plus sur les personnes couvertes (ou non) par HIPAA, voir les documents d’orientation HHS pour les consommateurs.

5. Quelles informations la HIPAA couvre-t-elle?

Pour déterminer si la HIPAA protège un certain type d’informations sur la santé, il est plus facile de déterminer d’abord s’il existe une entité couverte ou un associé qui doit se conformer à la loi.

En vertu de la HIPAA, les «informations sur la santé» sont toutes les informations (y compris les informations génétiques) créées ou reçues par un fournisseur de soins de santé, un régime de santé, une autorité de santé publique, un employeur, une compagnie d’assurance-vie, une école ou une université, ou la santé centre d’échange d’informations sur les soins et concerne

  • la santé ou l’état physique ou mental passé, présent ou futur d’une personne;
  • traitement fourni à une personne; ou
  • paiement passé, présent ou futur pour les soins de santé qu’un individu reçoit.

Les informations relatives à la santé peuvent exister sous n’importe quelle forme ou support, y compris papier, électronique ou oral.

Lorsqu’une entité couverte crée ou reçoit des informations de santé qui identifient – ou peuvent être utilisées pour identifier – une personne, la HIPAA l’appelle «individuellement identi informations de santé fiables. « Les informations de santé individuellement identifiables comprennent les informations démographiques et autres qui identifient une personne, telles que le nom, l’adresse, la date de naissance et le numéro de sécurité sociale.

Pour une définition précise de l’un des termes de ce section, voir 45 CFR § 160.103.

a. À quelles informations s’applique la règle de confidentialité HIPAA?

La règle de confidentialité HIPAA s’applique aux «informations de santé protégées» (PHI) qui incluent toutes les «informations de santé individuellement identifiables» qui sont transmises ou conservées dans n’importe quel format ou support.

Cela signifie que les conversations entre un patient et un médecin ont les mêmes protections de confidentialité que les notes manuscrites ou électroniques.

Pour en savoir plus sur la règle de confidentialité HIPAA, voir: La règle de confidentialité HIPAA : Comment les entités couvertes peuvent-elles utiliser et divulguer les informations sur la santé?

b. À quelles informations s’applique la règle de sécurité HIPAA?

La règle de sécurité HIPAA exige que les entités couvertes établissent des mesures de sécurité des données uniquement pour les PHI qui sont maintenues au format électronique, appelées «informations de santé protégées électroniques» (ePHI). La règle de sécurité ne s’applique pas aux renseignements personnels sur la santé qui sont transmis oralement ou par écrit.

Pour en savoir plus sur la règle de sécurité HIPAA, consultez la fiche d’information 8d du centre d’échange de droits de confidentialité: Protection des informations de santé: la notification de sécurité et de violation HIPAA Règles.

6. Quelles informations ne sont pas couvertes par la règle de confidentialité HIPAA?

a. Informations relatives à la santé dans les dossiers d’emploi

La HIPAA ne s’applique pas aux dossiers d’emploi, même lorsque ces dossiers contiennent des informations médicales. inclut les dossiers d’emploi qu’une entité couverte détient dans son rôle d’employeur. Cependant, si un employé d’un fournisseur de soins de santé devient un patient de ce fournisseur, la loi HIPAA s’appliquera.

Pour en savoir plus sur les informations médicales sur le lieu de travail, voir le HHS «Les employeurs et l’information sur la santé sur le lieu de travail.

b. Informations sur la santé dans les dossiers scolaires (pour la plupart)

Les informations sur la santé dans les dossiers scolaires qui sont soumis à la loi FERPA (Family Educational Rights and Privacy Act) ne sont pas considérées comme des informations de santé protégées (PHI) en vertu de la HIPAA. Par exemple, les dossiers de la maternelle à la 12e année contenant des informations sur les visites d’infirmières à l’école ne sont pas soumis à la loi HIPAA.

Pour plus d’informations sur FERPA en ce qui concerne les informations sur la santé et la HIPAA, voir: Joint Guidance on the Application du Family Educational Rights and Privacy Act (FERPA) and the Health Insurance Portability and Accountability Act of 1996 (HIPAA) to Student Health Records and Student Privacy 101: Health Privacy in Schools –Quelle loi s’applique?

c. Informations sur la santé d’une personne décédée depuis plus de 50 ans

Les informations de santé protégées (RPS) ne comprennent pas les informations sur la santé d’une personne décédée il y a plus de 50 ans.

Pour plus d’informations sur les informations sur la santé des personnes décédées, consultez le site Web du HHS.

d. Données désidentifiées

Les données désidentifiées sont des informations sur la santé qui ont eu 18 identifiants supprimés et est donc considéré comme faisant de l’individu qui fait l’objet de l’information un dentifiable. Cela signifie que les données anonymisées ne sont pas protégées en vertu des règles de confidentialité HIPAA, car les PHI et les entités couvertes peuvent les utiliser et les divulguer plus largement.

Les données anonymisées font souvent l’objet de débats en raison de la possibilité de réidentifier un individu. Le professeur Latanya Sweeney, a effectué un travail important dans le domaine de la ré-identification.

Pour plus d’informations sur la désidentification, voir 45 CFR 164.514 et le Guide du HHS concernant les méthodes de désidentification des Informations de santé protégées conformément à la règle de confidentialité HIPAA.

7. Comment le HHS applique-t-il la loi HIPAA?

La règle d’application de la loi HIPAA permet au bureau des droits civils (OCR) du ministère américain de la Santé et des Services sociaux (HHS) d’enquêter sur les violations potentielles de la HIPAA et d’imposer des sanctions civiles pécuniaires (CMP) pour violations. Les procureurs généraux des États ont également le pouvoir d’appliquer les règles HIPAA. Les individus n’ont pas de droit privé d’action en vertu de la HIPAA et ne peuvent pas poursuivre en justice pour violation.

L’OCR démarre le processus d’application en ouvrant une enquête sur les violations potentielles des règles de confidentialité ou de sécurité HIPAA. L’OCR répond aux plaintes individuelles, mais peut également découvrir des violations de la HIPAA par d’autres moyens (comme la réalisation d’audits). Après l’enquête, l’OCR peut résoudre un problème en déterminant qu’il n’y a pas de violation, en concluant un accord de résolution avec la partie responsable ou en constatant que la partie est en violation et en imposant des sanctions.

Pour en savoir plus sur HIPAA application, voir Comment l’OCR applique les règles de confidentialité et de sécurité HIPAA, les données d’application, les points forts de l’application et l’application HIPAA.

a. Quand le HHS enquêtera-t-il sur une plainte?

Lorsque des personnes sont au courant d’une éventuelle violation de la loi HIPAA, elles peuvent déposer une plainte auprès du Bureau des droits civils (OCR) du HHS. Pour pouvoir faire l’objet d’une enquête, une plainte doit répondre aux critères de base suivants:

  • Si la plainte concerne une éventuelle violation des règles de confidentialité, l’action doit avoir eu lieu après avril 2003. Si la plainte concerne un potentiel Violation des règles de sécurité, l’action doit avoir eu lieu après avril 2005.
  • Une personne doit déposer une plainte contre une personne, une organisation ou une autre entité soumise à la loi HIPAA.
  • La plainte doit alléguer quelque chose qui enfreindrait les règles HIPAA.
  • Les personnes doivent déposer des plaintes dans les 180 jours suivant le moment où elles ont eu connaissance (ou auraient dû avoir connaissance) de la violation potentielle.

Si l’OCR estime que la plainte est fondée, l’agence contactera la personne qui a déposé la plainte ainsi que l’entité couverte impliquée pour essayer de parvenir à une résolution mutuelle.Certaines affaires peuvent être soumises à une audience devant un juge administratif.

b. Comment HHS détermine-t-il une pénalité pour une infraction?

Pour les violations survenues après 2009, HHS détermine les sanctions pour les violations HIPAA en fonction de la culpabilité du contrevenant. La peine minimale varie, mais la peine maximale est de 1,5 million de dollars par an pour les violations de la même disposition HIPAA.

La structure des sanctions civiles à quatre niveaux est la suivante:

Inconnu signifie que l’entité couverte n’était pas au courant de la violation et ne l’aurait pas su grâce à l’exercice d’une diligence raisonnable.

Une cause raisonnable signifie que l’entité couverte aurait eu connaissance de la violation en exerçant une diligence raisonnable.

La négligence volontaire corrigée signifie que l’entité couverte a intentionnellement enfreint la HIPAA ou a agi avec une indifférence téméraire mais a corrigé la violation dans les 30 jours suivant la découverte.

Négligence volontaire non corrigée signifie que l’entité couverte a intentionnellement enfreint la loi HIPAA ou a agi avec une indifférence téméraire mais n’a pas corrigé la violation dans les 30 jours suivant la découverte.

c . S’il existe une sanction pécuniaire, la personne qui a déposé la plainte recevra-t-elle de l’argent?

Non. Tout montant provenant des pénalités que HHS perçoit est versé au Trésor américain.

d. Peut les particuliers intentent des poursuites en vertu de la HIPAA?

Non. Les particuliers n’ont pas le droit de poursuivre en vertu de la HIPAA. Cependant, la HIPAA n’empêche pas les États d’adopter des lois offrant une protection renforcée. L’Université George Washington a un guide, des informations sur la santé et la loi, qui contient des informations sur les lois des États.

8. Ressources

Loi fédérale

Loi sur les technologies de l’information sanitaire pour la santé économique et clinique (HITECH), publique Loi 111-5, 2009

Loi de 2008 sur la non-discrimination des informations génétiques (GINA), (Loi publique 110-223, 122 Stat. 881)

Règlements fédéraux

Règle de confidentialité HIPAA de 2003 et modifications ultérieures

HHS Omnibus Rule, 78 Federal Register, 25 janvier 2013

Lois des États et protection de la santé

George Washington University, Health Information and the Droit

Association nationale des commissaires aux assurances

Département de la santé et des services sociaux, Bureau des droits civils

Documents d’orientation pour les consommateurs

Thèmes spéciaux relatifs à la confidentialité des informations sur la santé

Accords entre partenaires commerciaux

Autorisations

Entités couvertes

Les employeurs et les informations sur la santé sur le lieu de travail

Write a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *