Historique de HIPAA

  • Établissement de HIPAA
  • Règles de confidentialité et de sécurité
  • La Règle d’Application
  • La Loi HITECH et la Règle de Notification des violations
  • La Règle Finale Omnibus
  • Programme d’Audit HIPAA

Établissement de HIPAA

Le 21 août 1996, la Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie (en anglais) (en anglais) (en anglais HIPAA) a été promulguée. Le but de la législation était d ‘ »améliorer la portabilité et la responsabilité de la couverture d’assurance maladie” pour toute personne entre deux emplois. La loi a également mis l’accent sur la réduction du gaspillage, de la fraude et des abus dans le secteur de la santé.

HIPAA visait également à rationaliser l’administration des soins de santé, réduisant ainsi la charge administrative pesant sur les organisations de soins de santé. Cela a été réalisé grâce aux Règles de simplification administrative HIPAA, qui obligeaient les organisations de soins de santé à se conformer à un nouvel ensemble de normes pour les transactions de soins de santé et à l’adoption d’ensembles de codes standard.

Bien qu’il ne fasse pas partie de la législation originale en 1996, le HIPAA est devenu le véhicule utilisé pour améliorer la confidentialité et la sécurité des données de santé, en particulier en ce qui concerne la transition des copies papier des données médicales aux bases de données informatiques. Cela a eu des conséquences énormes et imprévues, nécessitant la création de la Loi sur les Technologies de l’Information Sanitaire pour la Santé économique et Clinique (HITECH) en 2009. Cela a conduit à la création du programme d’utilisation significative qui a incité les fournisseurs de soins de santé à adopter des dossiers médicaux électroniques.

Règles de confidentialité et de sécurité

Peu après la promulgation de la Loi HIPAA, le Ministère de la Santé et des Services sociaux a commencé à élaborer la Règle de confidentialité, qui est devenue applicable le 14 avril 2003. La Règle de confidentialité définit le terme ”Informations de santé protégées » (PHI) comme ”toute information détenue par une entité couverte qui concerne l’état de santé, la fourniture de soins de santé ou le paiement de soins de santé pouvant être liée à un individu ».

La Règle de confidentialité donne des instructions aux  » entités couvertes  » (CES) sur la meilleure façon de maintenir l’intégrité des données privées et stipule les utilisations et divulgations autorisées des informations de santé identifiables. La règle de confidentialité a également donné aux patients de nouveaux droits sur leurs données de santé, y compris le droit d’obtenir une copie de leur dossier de santé, le droit de modifier les dossiers de santé pour corriger les erreurs et le droit d’empêcher que les détails des traitements de santé privés ne soient divulgués aux assureurs maladie.

Deux ans plus tard est venue la Règle de sécurité. La Règle de sécurité a introduit des normes pour assurer la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ePHI) et oblige les entités couvertes à mettre en œuvre des mesures de protection administratives, techniques et physiques.

Les garanties administratives exigent que les SCé disposent de politiques et de procédures claires couvrant la sécurité des données de santé. Les garanties physiques protègent les endroits où le matériel contenant de l’ePHI est stocké, et les garanties techniques protègent les ePHI stockés et garantissent qu’ils sont protégés en transit.

La Règle d’application

Malgré les risques de confidentialité et de sécurité qui persistent si les organisations de soins de santé ne se conforment pas à la HIPAA, de nombreux CES n’ont pas mis en œuvre de programmes de conformité. Cela a conduit à l’introduction de la Règle d’application en 2006, qui a donné au Ministère de la Santé et des Services sociaux le pouvoir de faire respecter la loi HIPAA et les entités couvertes par des amendes jugées non conformes aux Règles de confidentialité et de sécurité de la loi HIPAA. Il a également donné à HHS le droit de poursuivre des poursuites pénales contre des entités et des individus couverts pour des violations graves des règles HIPAA.

La Loi HITECH et la Règle de notification des violations

La Loi HITECH a été promulguée en 2009, en partie pour introduire de nouvelles exigences pour les dossiers de santé électroniques (DSE) et pour encourager les fournisseurs de soins de santé à adopter les DSE. La loi HITECH a mené à la création du programme d’incitation à l’utilisation significative, qui a fourni des incitations financières aux organisations de soins de santé qui ont adopté les DSE.

La loi HITECH a conduit à la création de la Règle de notification des violations, qui exige que les violations des RPS soient signalées au Bureau des droits civils (OCR) du Ministère de la Santé et des Services sociaux et que toutes les personnes dont les RPS ont été exposées ou compromises soient informées de la violation dans les 60 jours suivant la découverte.

La Règle finale Omnibus

En 2013, le plus récent ajout à HIPAA est entré en vigueur – la Règle finale Omnibus. Bien qu’il ait ajouté beaucoup à la voie de la nouvelle législation, il a servi à resserrer le langage de la HIPAA et a comblé de nombreuses lacunes dans les lois originales. Par exemple, la Règle finale Omnibus stipulait que, selon les exigences de HITECH, tous les messages envoyés en dehors du pare-feu du CE doivent être cryptés.

La législation HIPAA d’origine était vague dans ses définitions, que la Règle finale Omnibus a rectifiée. Par exemple, la définition de  » main-d’œuvre ” a été modifiée pour indiquer clairement que le terme comprend les employés, les bénévoles, les stagiaires et les autres personnes dont la conduite, dans l’exécution du travail pour une entité ou un Associé couvert, est sous le contrôle direct de l’entité ou de l’Associé couvert.

La Règle finale Omnibus a également modifié les Règles de confidentialité et de sécurité. Les dossiers des patients pouvaient être conservés indéfiniment, plutôt que pendant les cinquante ans. La loi HITECH a également augmenté les sanctions pour les violations de la loi HIPAA afin d’encourager le respect des règles de la loi HIPAA.

La date limite pour l’utilisation de la modification clinique CIM-10-CM pour le codage du diagnostic et le système de codage de la procédure CIM-10-PCA pour le codage de la procédure hospitalière pour les patients hospitalisés a été fixée à octobre 2015.

Programme d’audit HIPAA

Pour s’assurer que les SCé se conformaient aux réglementations HIPAA, OCR a commencé à effectuer des audits de conformité en 2011. La première phase des audits, qui ont été achevés en 2012, a révélé que de nombreuses entités couvertes par la HIPAA n’étaient pas conformes à tous les aspects des règles de la HIPAA. De nombreuses violations de la Règle de confidentialité, de la Règle de sécurité et des Règles de notification des violations ont été enregistrées. Depuis, OCR a publié d’autres directives pour aider les organisations de soins de santé à améliorer leurs programmes de conformité.

L’OCR a également commencé à émettre des sanctions financières pour les manquements graves à la conformité et a intensifié ses activités d’application de la loi au cours des dernières années. Aujourd’hui, il est courant que des sanctions financières de plusieurs millions de dollars soient imposées pour des violations graves des règles HIPAA.

Laisser un commentaire