La création de l’HIPAA
La loi sur la portabilité et la responsabilité de l’assurance maladie, également connue sous le nom d’HIPAA, a été créée le 21 août 1996. L’HIPAA a été créée pour promouvoir la portabilité et la responsabilité de la couverture d’assurance maladie. Par conséquent, elle a affecté la manière dont les organisations de soins de santé gèrent toutes les facettes de la gestion de l’information, y compris le remboursement, le codage, la sécurité, les dossiers des patients et la gestion des soins. Chaque pratique aux États-Unis qui traite des informations de santé protégées est tenue de se conformer à ces règlements et à ceux qui ont été élaborés après l’annonce initiale.
L’importance de l’HIPAA aujourd’hui
L’HIPAA est une partie importante des soins de santé aujourd’hui car il assure la mise en œuvre de garanties pour protéger les informations personnelles et de santé sensibles. HIPAA One s’attache à comprendre chaque aspect de la réglementation HIPAA et à travailler avec ses clients pour atteindre une conformité complète. Chaque organisation qui manipule des ePHI doit avoir un plan de conformité en place qui donne la priorité à la protection et à la sécurité des données de santé et à la confidentialité des patients.
L’introduction des normes de confidentialité et de sécurité
Le 14 avril 2003, le ministère américain de la santé et des services sociaux a publié la première règle de confidentialité HIPAA qui définissait les informations de santé protégées (PHI) comme « toute information détenue par une entité couverte qui concerne l’état de santé, la fourniture de soins de santé ou le paiement des soins de santé et qui peut être liée à un individu ».
Les exigences de la réglementation de la confidentialité HIPAA ont été introduites plus tard pour illustrer la façon dont les PHI devaient être manipulés, transférés, reçus ou partagés. Les fournisseurs et les organisations de soins de santé, ainsi que leurs associés commerciaux, devaient faire respecter ces règles pour toutes les formes de PHI.
Le 21 avril 2005, la règle de sécurité HIPAA a été introduite. Cette règle traite directement des DPI stockés électroniquement (ePHI) par le biais de trois garanties de sécurité : physique, administrative et technique.
- Garanties physiques – Mesures, politiques et procédures physiques visant à protéger les systèmes d’information électroniques d’une entité couverte et les bâtiments et équipements connexes contre les risques naturels et environnementaux, ainsi que les intrusions non autorisées.
- Sauvegardes administratives – Politiques et procédures conçues pour gérer la sélection, le développement, la mise en œuvre et la maintenance des mesures de sécurité.
- Sauvegardes techniques – Politiques et procédures relatives à la technologie et à son utilisation qui protègent les ePHI et en contrôlent l’accès.
Mise en application du règlementHIPAA
En mars 2006, la règle de mise en application a été introduite. La Enforcement Rule a permis au Department of Health and Human Services d’enquêter sur les entités couvertes signalées pour ne pas avoir respecté la réglementation HIPAA. En plus d’une enquête, la Enforcement Rule permet à l’Office for Civil Rights d’appliquer des charges civiles aux entités qui ne se sont pas conformées.
L’ajout de l’ARRA et de HITECH
En 2009, l’American Recovery and Reinvestment Act (ARRA) a été mis en œuvre et dans celui-ci se trouvait un ajout essentiel à l’application de l’HIPAA, la Health Information Technology for Economic and Clinical Health Act (HITECH). La loi HITECH a introduit des dispositions relatives à la gestion des informations de santé, qui prévoient notamment que toutes les violations de données personnelles électroniques touchant plus de 500 personnes doivent être signalées à l’Office for Civil Rights (OCR) du Department of Health and Human Services (HHS). Outre la règle de notification des violations, la loi HITECH a introduit le programme d’incitation « Meaningful Use » pour encourager les organismes de soins de santé à dématérialiser leurs dossiers en mettant en place un dossier médical électronique (DME). Aujourd’hui, ce programme d’incitation s’appelle Promouvoir l’interopérabilité.
La Final Omnibus Rule
En mars 2013, la Final Omnibus Rule a été introduite et avec elle de nombreuses modifications finales. La Final Omnibus Rule a apporté des clarifications aux règlements tels que HIPAA et HITECH concernant l’application des ePHI, ainsi que la formulation au sein des lois elles-mêmes. Les règles de confidentialité et de sécurité ont également été amendées afin de modifier la durée appropriée pour obtenir les informations de santé d’un patient. Auparavant, ils étaient autorisés à conserver les informations pendant 50 ans, mais l’amendement a modifié cette règle pour la prolonger indéfiniment. Les modifications comprenaient des spécifications pour l’évolution des pratiques de travail dans les avancées technologiques qui n’étaient pas applicables en 1996, comme les appareils mobiles et la télésanté.
Etes-vous conforme à l’HIPAA ?
L’application de l’HIPAA est continue grâce aux enquêtes menées par le Bureau des droits civils. Lorsque les clients de HIPAA One sont audités, ils n’ont pas à s’inquiéter. Avec un taux de réussite de 100%, HIPAA One sera là à chaque étape du processus. Vérifiez que votre organisation respecte toutes les règles de conformité HIPAA en répondant à notre questionnaire de conformité gratuit.