Formation annuelle à la conformité HIPAA

La loi sur la transférabilité et la responsabilité en matière d’assurance maladie a été promulguée en 1996. Elle est appliquée par le Bureau des droits civils du gouvernement des États-Unis. Il s'agit d'un ensemble de directives fédérales créées pour permettre aux employés de souscrire leur assurance médicale s'ils quittent un employeur, de permettre aux personnes d'accéder à l'assurance médicale malgré des conditions préexistantes (dans certaines conditions) et d'établir des normes de confidentialité pour la santé d'un patient. information. 

• La règle de confidentialité HIPAA protège la confidentialité des informations de santé identifiables individuellement.
• La règle de sécurité HIPAA établit des normes nationales pour la sécurité des informations de santé électroniques..

La loi oblige à fournir une formation HIPAA aux personnes travaillant dans le secteur de la santé afin de garantir la responsabilité en matière de confidentialité et de sécurité des informations de santé protégées. Les entités couvertes doivent former tous les membres du personnel aux politiques et procédures HIPAA.
1

Règle de confidentialité HIPAA

Les Normes pour la protection des informations personnelles identifiables sur la santé (la règle de confidentialité) ont été conçues pour traiter spécifiquement de la protection des informations personnelles sur la santé d'une personne. Il est important pour la vitalité de votre cabinet médical de maintenir la conformité HIPAA.

Qui est couvert par la règle de confidentialité?

• Plans de santé
• Les fournisseurs de soins de santé
• Centres d'information sur les soins de santé

 Une entité couverte, au sens de la HIPAA, peut être un régime d’assurance maladie, un centre d’échange de soins de santé ou un prestataire de soins de santé qui transmet électroniquement des informations de santé protégées, et peut être une organisation, des institutions ou des personnes.
Les médecins et autres professionnels de la santé travaillant avec des patients et leurs dossiers médicaux confidentiels doivent adhérer aux politiques, procédures et lois conçues pour protéger la vie privée des patients. Tous les fournisseurs de soins de santé ont la responsabilité de garder leur personnel formé et informé sur la conformité à la loi HIPAA. Qu'elle soit intentionnelle ou accidentelle, la divulgation non autorisée de PHI est considérée comme une violation de la HIPAA.

• Associés d'affaires

Un associé commercial, tel que défini par HIPAA, est une personne physique ou morale qui exploite une entreprise impliquant l'utilisation ou la divulgation d'informations de santé protégées pour le compte d'une entité couverte et qui n'est pas un employé de l'entité couverte.. 

Quelle information est protégée?

PHI ou informations de santé protégées se réfère à toute information d'identification individuelle incluse dans le dossier médical d'un patient qui est transmise ou conservée sous n'importe quelle forme. 
Utilisations et divulgations
Une entité couverte peut utiliser ou divulguer des informations de santé protégées (PHI) sans autorisation dans certaines conditions.

1. À l'individu
2. Opérations de traitement, de paiement et de soins de santé
3. Utilisations et divulgations avec possibilité d'accord ou d'objection
4. Utilisation accidentelle et divulgation.
5. Activités d'intérêt public et d'intérêt
6. Ensemble de données limité aux fins de la recherche, de la santé publique ou des opérations de soins de santé

Avis de pratiques de confidentialité

Les fournisseurs de soins de santé ont l'obligation de fournir à leurs patients un avis de pratiques de confidentialité. Cet avis, comme l'exige la règle de confidentialité HIPAA, donne aux patients le droit d'être informés de leurs droits à la vie privée en ce qui concerne leurs informations de santé protégées (PHI)..
L'avis doit décrire certaines informations en termes faciles à comprendre:

• Comment le fournisseur utilisera et divulguera ses renseignements personnels sur la santé
• Les droits des patients vis-à-vis de leur propre PHI
• Une déclaration informant le patient des lois obligeant le prestataire à préserver la confidentialité de ses renseignements médicaux personnels
• Qui les patients peuvent contacter pour plus d'informations concernant les politiques de confidentialité du fournisseur

Application et sanctions pour non-conformité

Sanctions de l'argent civil

• 100 $ par défaut de se conformer
• Maximum de 25 000 $ par an pour plusieurs violations de la même exigence

Sanctions pénales (pour avoir sciemment obtenu ou divulgué des renseignements personnels confidentiels en violation de la HIPAA)

• Amende de 50 000 $ et peine d'emprisonnement pouvant aller jusqu'à un an
• 100 000 dollars d'amende et cinq ans d'emprisonnement (si la violation implique de faux prétextes)
• Amende de 250 000 $ et peine d’emprisonnement pouvant aller jusqu’à dix ans (si la violation implique l’intention de vendre, de transférer ou d’utiliser des renseignements personnels sur la santé)

2

Règle de sécurité HIPAA

Normes de sécurité pour la protection des informations de santé protégées par l'électronique (règle de sécurité)
La sécurité HIPAA consiste à établir des garanties pour les renseignements personnels sur la santé dans n’importe quel format électronique. Cela inclut toute information utilisée, stockée ou transmise électroniquement. Tout établissement défini par HIPAA comme une entité couverte a la responsabilité de garantir la confidentialité et la sécurité des informations de ses patients, ainsi que de préserver la confidentialité de leurs renseignements médicaux personnels..

Qui est couvert par la règle de sécurité?

• Plans de santé
• Les fournisseurs de soins de santé
• Centres d'information sur les soins de santé

 Une entité couverte, au sens de la HIPAA, peut être un régime d’assurance maladie, un centre d’échange de soins de santé ou un prestataire de soins de santé qui transmet électroniquement des informations de santé protégées, et peut être une organisation, des institutions ou des personnes.

• Associés d'affaires

Un associé commercial, tel que défini par HIPAA, est une personne physique ou morale qui exploite une entreprise impliquant l'utilisation ou la divulgation d'informations de santé protégées pour le compte d'une entité couverte et qui n'est pas un employé de l'entité couverte..

Quelle information est protégée?

Les PHI électroniques ou informations de santé protégées désignent toute information d'identification individuelle incluse dans le dossier médical d'un patient qui est transmise ou conservée sous n'importe quelle forme. La règle de sécurité exclut les renseignements personnels sur la santé transmis oralement ou par écrit.

Simplification administrative

Les dispositions de la HIPAA relatives à la simplification administrative établissent des normes nationales pour la sécurité des informations de santé protégées de manière électronique. Cela inclut les règles et les normes pour les transactions, les ensembles de codes et les identifiants pour les employeurs et les fournisseurs..

Normes relatives aux transactions et aux codes

Les transactions standard pour l'échange de données informatisé (EDI) des données de soins de santé incluent les informations sur les réclamations et les rencontres, les avis de paiement et de versement, l'état des réclamations, l'admissibilité, l'inscription et la désinscription, les renvois et les autorisations, la coordination des prestations et le paiement des primes..
Les ensembles de codes standard pour les codes de diagnostic, de procédure et de médicament incluent les codes HCPCS (Services / procédures auxiliaires), CPT-4 (Procédures des médecins), CDT (Terminologie dentaire), CIM-9 (Procédures de diagnostic et hospitalisation des patients hospitalisés), CIM-10 ( 1er octobre 2015) et codes NDC (Codes nationaux des médicaments).

Normes d'identification pour les employeurs et les fournisseurs

Les identifiants standard comprennent le numéro d'identification d'employeur (EIN) et l'identifiant de fournisseur national (NPI). Le numéro EIN est utilisé pour identifier les employeurs sur les transactions standard. L'Identification nationale du fournisseur ou NPI est un numéro d'identification unique à 10 chiffres utilisé pour remplacer les identifiants de fournisseur, tels que le numéro d'identification unique du fournisseur (UPIN) dans les transactions standard HIPAA. La réglementation de la HIPAA oblige les prestataires de soins de santé à obtenir un NPI.
Les règles de maintien de la sécurité HIPAA incluent des sauvegardes pour trois domaines clés.
Sauvegardes administratives

1. Élaborer un processus formel de gestion de la sécurité, y compris l’élaboration de politiques et de procédures, des audits internes, un plan d’urgence et d’autres mesures de protection pour assurer la conformité du personnel du cabinet médical..
2. Attribuer la responsabilité de la sécurité à une personne désignée pour gérer et superviser l'utilisation des mesures de sécurité et la conduite du personnel.
3. Implémenter des fonctionnalités qui garantissent que le personnel a une formation et une autorisation appropriées pour accéder aux RPS.
4. Définir les niveaux d'accès pour tous les membres du personnel et la manière dont ils sont accordés
5. Exiger que tout le personnel du cabinet médical, y compris la direction, suive une formation en matière de sécurité et reçoive des rappels périodiques et informe les utilisateurs.

Sauvegardes physiques

1. Fichier PHI dans un emplacement sécurisé et un espace de travail pour les employés (ceci inclut l'utilisation de verrous, de clés et de badges qui déverrouillent les portes) qui limitent l'accès aux personnes non autorisées et aux intrus.
2. Élaborez des politiques de vérification des autorisations d'accès, du contrôle de l'équipement et du traitement des visiteurs. Développez et fournissez de la documentation comprenant des instructions sur la manière dont votre cabinet médical peut aider à protéger les RPS (par exemple, en se déconnectant de l'ordinateur avant de le laisser sans surveillance).
3. Fournir une protection contre le feu et autres dangers

Sauvegardes techniques

1. Établir une identification d'utilisateur unique, y compris des mots de passe et des numéros d'identification personnelle
2. Adopter un contrôle de déconnexion automatique
3. Enregistrer et examiner l'activité du système à des fins d'audit
4. Utiliser les contrôles de cryptage pour protéger les données transmises sur un réseau

 Application et sanctions pour non-conformité

Sanctions de l'argent civil

• 100 $ par défaut de se conformer
• Maximum de 25 000 $ par an pour plusieurs violations de la même exigence

Sanctions pénales (pour avoir sciemment obtenu ou divulgué des renseignements personnels confidentiels en violation de la HIPAA)

• Amende de 50 000 $ et peine d'emprisonnement pouvant aller jusqu'à un an
• 100 000 dollars d'amende et cinq ans d'emprisonnement (si la violation implique de faux prétextes)
• Amende de 250 000 $ et peine d’emprisonnement pouvant aller jusqu’à dix ans (si la violation implique l’intention de vendre, de transférer ou d’utiliser des renseignements personnels sur la santé)

3

Conseils pour éviter de violer HIPAA

1. Prenez les mesures nécessaires pour ne pas divulguer d'informations au cours d'une conversation de routine. Évitez la divulgation d'informations lors de conversations de routine; discuter des informations des patients dans les salles d'attente, les couloirs ou les ascenseurs; bonne élimination des PHI; et que l'accès à l'information soit strictement limité aux employés dont l'emploi requiert cette information. Les informations de base peuvent sembler si insignifiantes qu'elles peuvent facilement être mentionnées dans une conversation de routine, mais ne devraient être partagées que sur la base du besoin de savoir..
2. Évitez de discuter des informations des patients dans les salles d'attente, les couloirs ou les ascenseurs. Des informations sensibles peuvent être entendues par les visiteurs ou d’autres patients. Veillez également à conserver les dossiers des patients en dehors des zones accessibles au public. Les comptoirs d’enregistrement et les postes d’infirmières étant à l’air libre, faites des efforts supplémentaires pour garantir la sécurité des ordinateurs à tout moment. Les porte-cartes doivent être montés et le panneau avant recouvert conformément aux normes HIPAA.
3. Les renseignements personnels sur la santé ne devraient jamais être jetés à la poubelle. Tout document jeté à la poubelle est ouvert au public et constitue donc une violation de l’information. Il y a plusieurs façons de se débarrasser des RPS. L'élimination appropriée du papier PHI inclut le brûlage ou le déchiquetage. Les PHI électroniques peuvent être éliminés en effaçant, supprimant, reformatant, incinérant, fondant ou déchiquetant.
4. Il existe un certain nombre de technologies disponibles conçues pour sécuriser les données des patients. Choisissez des appareils et des logiciels sécurisant les données via une connexion sans fil, notamment des pare-feu, des anti-virus, des anti-logiciels espions et des technologies de détection des intrusions. Soyez extrêmement prudent lorsque vous accédez à des données via une connexion distante. Les spécialistes en informatique suggèrent d'utiliser un système d'authentification à deux facteurs avec des jetons de sécurité et des mots de passe..