HIPAA: CONFIDENTIALITÉ ET SÉCURITÉ DES INFORMATIONS DE SANTÉ PROTÉGÉES (PHI)

Notre équipe juridique HIPAA conseille nos clients sur la confidentialité des lois fédérales et étatiques, la confidentialité et la sécurité des besoins en matière de soins de santé. Nos services juridiques comprennent:

  • Personnaliser les Politiques et Procédures HIPAA Pour Votre Pratique ou Votre Entreprise
  • Déterminer Si HIPAA S’Applique à Votre Pratique
  • Développer des Politiques et Procédures HIPAA pour les Applications Mobiles ou la Télémédecine
  • Rédaction de Contrats d’associés commerciaux
  • Répondre aux plaintes HIPAA
  • Examiner les Dispositions relatives aux violations HIPAA

Contactez nos avocats HIPAA pour des questions concernant vos obligations en matière de confidentialité et de sécurité HIPAA, ou pour discuter de la conformité dans le cas d’une violation de la loi HIPAA qui pourrait entraîner une application de la loi fédérale et étatique et pénalités importantes. Ou en savoir plus sur la formation en ligne sur la conformité HIPAA.

Nos avocats HIPAA ont l’expertise de conseiller les clients pour mettre à jour leurs efforts de conformité HIPAA — y compris la mise à jour et la mise en œuvre des politiques, procédures et formulaires de confidentialité et de sécurité — à la fois à titre préventif et pour atténuer une violation de données imprévue.

Récemment, nos avocats ont conseillé deux clients, chacun développant une application médicale mobile, sur les questions de confidentialité et de sécurité HIPAA. La représentation de ces clients impliquait l’élaboration de solutions personnalisées pour s’assurer que le client était protégé de toute responsabilité injustifiée dans sa position de portail Web pour un professionnel de la santé. Dans chaque cas, nous avons conçu les Conditions d’utilisation et la Politique de confidentialité de la société, ainsi que son contrat avec les praticiens, pour se conformer à la HIPAA ainsi qu’aux règles de confidentialité et de confidentialité des lois de l’État et aux lois connexes régissant les pratiques de télémédecine.

Faites-nous savoir chaque fois que des problèmes HIPAA surviennent, que vous soyez une technologie de démarrage (et éventuellement un associé commercial sous HIPAA), un groupe ou un cabinet médical établi, ou un consultant ou un fournisseur impliqué dans la télémédecine ou une application mobile par laquelle des informations de santé protégées (PHI) sont transmises.

HIPPA et HITECH

En vertu de la loi fédérale, la Loi sur la portabilité et la responsabilité de l’assurance maladie (« HIPAA”) réglemente l’échange électronique de données d’informations sur les soins de santé. Le titre I de HIPAA protège la couverture d’assurance maladie des travailleurs et de leurs familles lorsqu’ils changent ou perdent leur emploi. Le titre II de l’HIPAA, connu sous le nom de dispositions relatives à la simplification administrative (AS), exige l’établissement de normes nationales pour les transactions électroniques de soins de santé et d’identifiants nationaux pour les prestataires, les régimes d’assurance maladie et les employeurs. Les dispositions relatives à la simplification de l’administration traitent également de la sécurité et de la confidentialité des données de santé.

Sous le Titre II de la Loi HIPAA, HHS a promulgué cinq ensembles de règlements d’application, qui sont diversement connus sous le nom de Règle de Confidentialité ; Règle de Sécurité; Règle des Identifiants Uniques (Identification Nationale du Fournisseur ( » NPI”)) ; la Règle des Transactions et des Ensembles de Codes ; et la Règle d’Application. Mais nos clients sont principalement concernés par la Règle de confidentialité et la Règle de sécurité, qui traitent toutes deux de la protection de la confidentialité et de la confidentialité des informations de santé des patients.

Certaines parties de l’HIPAA ont été modifiées par une loi fédérale ultérieure, la Health Information Technology for Economic and Clinical Health (” HITECH « ) Act, promulguée dans le cadre de l’American Recovery and Reinvestment Act de 2009.

HIPAA établit des sanctions civiles pécuniaires et des sanctions pénales pour les violations. Le HHS applique la disposition relative aux sanctions pécuniaires civiles, tandis que le département de la Justice des États-Unis applique les sanctions pénales. La disposition sur les pénalités civiles en argent de l’HIPPA autorise une pénalité civile pouvant aller jusqu’à 100 $ par violation, jusqu’à 25 000 $ par année. HIPAA autorise des sanctions pénales en fonction du niveau de culpabilité, jusqu’à 1,5 million de dollars.

Lois sur la protection de la vie privée et la confidentialité des États

Les États ont également leurs propres lois sur la protection de la vie privée et la confidentialité, dont certaines parties s’appliquent nonobstant les dispositions de préemption de la HIPAA. En outre, les fournisseurs qui ne relèvent pas de la loi HIPAA seront néanmoins liés par les lois et règlements de l’État.

Par exemple, en Californie :

Les normes de confidentialité de la Californie sont contenues dans la Loi sur la confidentialité des informations médicales (« CMIA”).

  • Le Code de sécurité de la santé & (sections 123100 et suivantes.) régissent l’accès des patients aux dossiers de santé. (Entre autres choses, des considérations particulières s’appliquent aux notes de psychothérapie et aux dossiers de santé mentale).
  • La loi californienne établit également un Bureau d’État de l’intégrité de l’information sur la santé, dédié à l’information sur les droits et les responsabilités liés à l’information sur la santé, ainsi que sur le rôle des échanges électroniques d’informations sur la santé (« HIEs”) dans la transmission des informations sur la santé des patients.
  • Le Département des Services de santé de Californie dispose également d’un Bureau de la protection de la vie privée, qui dépend du Bureau de la conformité HIPAA du Département, et travaille à la protection des renseignements personnels, notamment en enquêtant sur les atteintes à la vie privée et les plaintes concernant l’accès ou la divulgation non autorisés des renseignements personnels.
  • La Californie dispose en outre d’un Bureau de la protection de la vie privée qui fournit des informations sur des sujets liés à la vie privée aux particuliers et aux consommateurs.

Exigences HIPAA

La HIPAA s’applique aux  » Entités couvertes  » et à leurs  » Associés commerciaux. »

Les entités couvertes comprennent:

(1) Les régimes de santé, y compris les compagnies d’assurance maladie, les HMO, les régimes de santé d’entreprise et certains programmes gouvernementaux qui paient pour les soins de santé, tels que Medicare et Medicaid.

(2) La plupart des prestataires de soins de santé – qui transmettent toute information relative aux soins de santé sous forme électronique aux compagnies d’assurance maladie. Ces fournisseurs de soins de santé peuvent inclure des médecins, des cliniques, des hôpitaux, des psychologues, des chiropraticiens, des maisons de soins infirmiers, des pharmacies et des dentistes, ou toute autre personne ou organisation qui fournit, facture ou est payée pour des soins de santé dans le cours normal de ses activités.

(3) Centres d’information sur les soins de santé — entités qui traitent les informations de santé non standard qu’elles reçoivent d’une autre entité dans un format standard (c.-à-d. format électronique standard ou contenu de données), ou vice versa.

Un associé commercial est une personne qui ne fait pas partie du personnel d’une Entité couverte et qui utilise le traitement ou l’administration des demandes de renseignements médicaux identifiables individuellement; l’analyse, le traitement ou l’administration des données.

Le Département américain de la Santé des Services sociaux (HHS) résume les principales procédures administratives qu’une Entité couverte doit avoir en vertu de la loi HIPAA, comme suit:

  • Politiques et procédures de confidentialité. Une Entité couverte doit élaborer et mettre en œuvre des politiques et procédures de confidentialité écrites conformes à la loi HIPAA.
  • Personnel de protection de la vie privée. Une Entité visée doit désigner un responsable de la protection de la vie privée responsable de l’élaboration et de la mise en œuvre de ses politiques et procédures de protection de la vie privée, ainsi qu’une personne-ressource ou un bureau de contact chargé de recevoir les plaintes et de fournir aux personnes des informations sur les pratiques de protection de la vie privée de l’Entité visée.
  • Formation et gestion de la main-d’œuvre. Les membres du personnel comprennent les employés, les bénévoles, les stagiaires et peuvent également inclure d’autres personnes dont la conduite est sous le contrôle direct de l’entité (qu’elles soient rémunérées ou non par l’entité). Une Entité couverte doit former tous les membres du personnel à ses politiques et procédures de confidentialité, si nécessaire et approprié pour qu’ils puissent exercer leurs fonctions; et doit avoir et appliquer des sanctions appropriées contre les membres du personnel qui violent ses politiques et procédures de confidentialité ou HIPAA.
  • Atténuation. Une Entité couverte doit atténuer, dans la mesure du possible, tout effet néfaste qu’elle apprend avoir été causé par l’utilisation ou la divulgation d’informations de santé protégées par son personnel ou ses associés commerciaux en violation de ses politiques et procédures de confidentialité ou de la loi HIPAA.
  • Protection des données. Une Entité visée doit maintenir des mesures de protection administratives, techniques et physiques raisonnables et appropriées pour empêcher l’utilisation ou la divulgation intentionnelle ou non intentionnelle de renseignements médicaux protégés en violation de la Règle de confidentialité et pour limiter son utilisation et sa divulgation fortuites conformément à une utilisation ou à une divulgation autrement autorisée ou requise. Par exemple, de telles mesures de protection peuvent inclure le déchiquetage de documents contenant des informations de santé protégées avant de les jeter, la sécurisation des dossiers médicaux à l’aide d’un verrou et d’une clé ou d’un code d’accès, et la limitation de l’accès aux clés ou aux codes d’accès.
  • Plaintes. Une Entité visée doit avoir des procédures permettant aux particuliers de se plaindre de sa conformité à ses politiques et procédures de confidentialité et à la Règle de confidentialité. L’Entité visée doit expliquer ces procédures dans son avis sur les pratiques de confidentialité. Entre autres choses, l’Entité couverte doit identifier à qui les personnes peuvent soumettre des plaintes auprès de l’Entité couverte et informer que les plaintes peuvent également être soumises au Secrétaire du HHS.
  • Pas de représailles et de renonciation. Une Entité visée ne peut exercer de représailles contre une personne pour avoir exercé les droits prévus par la Règle de confidentialité, pour avoir aidé à une enquête menée par HHS ou une autre autorité appropriée, ou pour s’être opposée à un acte ou à une pratique que la personne estime de bonne foi enfreindre la Règle de confidentialité. Une Entité couverte ne peut exiger qu’une personne renonce à tout droit en vertu de la Règle de confidentialité comme condition pour obtenir un traitement, un paiement et l’admissibilité à l’inscription ou aux avantages.
  • Documentation et conservation des enregistrements. Une Entité visée doit conserver, jusqu’à six ans après la date de sa création ou la dernière date d’entrée en vigueur, la plus tardive des deux dates suivantes : ses politiques et procédures de confidentialité, ses avis sur les pratiques de confidentialité, le règlement des plaintes et les autres actions, activités et désignations que la Règle de confidentialité exige pour être documentées.

Contactez notre équipe juridique HIPAA pour obtenir des conseils juridiques relatifs à la vie privée, à la confidentialité et à la sécurité des données des patients.

California law has HIPAA-like privacy provisions for personal information

HIPAA Privacy Compliance and Enforcement website

Physician obligation regarding medical records

See also our full series of articles:

HIPAA Omnibus Rule: Part 1 (Overview)

HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)

HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)

HIPAA Omnibus Rule: Part 4 (Security Rule Changes)

HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)

HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)

HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)

HIPAA Omnibus Rule: Part 8 (Breach Analysis)

Or find out more about online HIPAA compliance training.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *