outre la règle de confidentialité HIPAA, les entités couvertes sont également régies par la règle de confidentialité, qui établit des normes pour protéger les PHI, et la règle de sécurité, qui spécifie les garanties Toute violation des données de santé personnelles doit être notifiée au Département AMÉRICAIN de la santé & Human Services (HHS).

quelles entreprises sont exclues?,

La plupart des employeurs sont considérés comme des entités « non couvertes” et ne sont donc pas soumis aux règles et Règlements HIPAA. Même si un employeur fournit une couverture santé à son personnel, il est de la responsabilité de la compagnie d’assurance d’assurer la sécurité des données et la conformité HIPAA.

des exemples d’organisations qui n’ont pas à se conformer à la loi HIPAA sur la protection des renseignements personnels comprennent:

• assureurs-vie
• La plupart des employeurs, sauf ceux qui demandent l’accès aux dossiers médicaux pour les demandes d’indemnisation des accidents du travail, etc.,
• transporteurs d’indemnisation des travailleurs
• La plupart des écoles et des districts scolaires
• De nombreux organismes publics comme les agences de services de protection de l’enfance
• La plupart des organismes d’application de la loi
• De nombreux bureaux municipaux

bien que HIPAA ne s’applique pas aux entités non couvertes, ces entreprises ont toujours l’obligation légale de protéger concernant la protection des données., La California Consumer Privacy Act, par exemple, offre aux particuliers le droit de consulter, d’accéder et de refuser le traitement de leurs données personnelles par les entreprises à tout moment. Et dans le Massachusetts, le PATCH Act applique des mesures supplémentaires pour protéger l’accès aux informations confidentielles sur les soins de santé.

HIPAA pour les Employeurs

HIPAA peut être une source de confusion règlement pour les employeurs. Il est important d’établir si votre entreprise est ou non une entité couverte afin que vous puissiez mettre en œuvre les mesures nécessaires pour protéger vos données., La plupart des employeurs qui offrent des prestations d’assurance maladie pour les soins médicaux et/ou dentaires, par exemple, entrent dans la catégorie « Plans de santé”, bien que les exigences dépendent de la façon dont les RPS sont maintenues, transmises et reçues.

bien que l’échange d’informations médicales des employés avec une entreprise couverte par HIPAA, comme un assureur, ne signifie pas nécessairement que le règlement doit être appliqué, la loi s’applique à toute entreprise qui reçoit, traite, traite ou stocke les dossiers médicaux des employés aux fins de demandes d’indemnisation des employés ou relatives à des congés de maladie ou, Cela est particulièrement pertinent lors d’urgences de santé publique telles que la pandémie actuelle de COVID-19.

Les gestionnaires des ressources humaines doivent donc connaître les restrictions et les contrôles mis en œuvre par L’HIPAA pour s’assurer que les politiques et procédures nécessaires sont mises en place pour protéger les données des employés.,

HIPAA ne:

• empêche un employeur de demander une note de médecin pour une absence
• interdit à un employeur de demander des informations relatives aux programmes d’avantages sociaux, à l’indemnisation des personnes handicapées, aux programmes de bien-être ou à la couverture des soins de santé
• empêche un employeur de tenir,

bien que HIPAA puisse ne pas s’appliquer à votre entreprise, il est toujours important de protéger les dossiers des employés et d’organiser des sessions de formation périodiques pour créer une culture de confidentialité et de sécurité des données dans votre organisation.

qu’est Ce qu’une Violation?

une infraction HIPAA est un non-respect de tout aspect des normes et dispositions de la règle de sécurité HIPAA., Cela peut inclure l’utilisation et la divulgation non autorisées de L’ISP d’une personne; l’omission de mettre en œuvre des mesures de protection administratives, techniques et physiques pour assurer la confidentialité des ISP électroniques; les avis d’infraction retardés; et l’omission d’effectuer des analyses de risque régulières. Cela peut également inclure le défaut de fournir aux personnes l’accès à leur PHI ou de s’assurer que des accords conformes à la HIPAA sont conclus avec des associés commerciaux.,

Les infractions HIPAA sont généralement découvertes de l’une des trois manières suivantes:

• enquêtes sur une violation de données menées par le Bureau des droits civils (OCR) ou par le procureur général de l’état.
• enquêtes sur les plaintes concernant les entités couvertes et les associés
• Un audit externe de conformité HIPAA

Il est important que les entités couvertes effectuent un audit interne HIPAA régulier pour détecter et corriger toute violation potentielle avant qu’elles ne soient identifiées par les régulateurs et que des sanctions ne soient imposées. Plus un problème existe longtemps, plus la pénalité est élevée.,

Quelles sont les Conséquences d’une Violation?

la réglementation HIPAA est appliquée par le Bureau des droits civils (OCR) du Ministère américain de la santé et des Services sociaux (HHS). De nombreuses violations sont détectées par les entités couvertes lors d’audits internes de routine ou signalées en interne par les employés. Toutes les plaintes externes signalées par les travailleurs de la santé, les patients et les membres du régime de santé font l’objet d’une enquête par L’OCR.,

en vertu de la loi, L’OCR ne peut agir que si:

• l’action a eu lieu après la date de promulgation de la loi HIPAA (14 avril 2003)
• La plainte a été déposée contre une entité qui est tenue par la loi de se conformer aux règlements HIPAA (une entité couverte)
• elle viole spécifiquement les règlements HIPAA
• La plainte a été déposée dans les 180 jours suivant la détection de la violation

Les Enquêtes comprennent la réalisation d’examens de conformité et l’exécution de programmes d’éducation et de sensibilisation., Si une non-conformité est détectée, L’OCR tentera d’obtenir une conformité volontaire, des mesures correctives et/ou un accord de résolution. Les Violations peuvent également entraîner des sanctions civiles et pénales si la plainte est renvoyée au Ministère de la Justice.

amendes pour violation

Les amendes pour violation et les accusations pour violation des règlements HIPAA sont traitées par le Ministère de la Justice et divisées en deux catégories: cause raisonnable et négligence volontaire.

• Les amendes pour « cause raisonnable” varient de 100 $à 50 000$.,
• Les sanctions pour « négligence volontaire” peuvent aller de 10 000 $à 50 000 and et peuvent entraîner des accusations criminelles.
• Les accusations pour des infractions impliquant une fraude peuvent entraîner une amende de 100 000$, avec jusqu’à 5 ans de prison.
• Les infractions qui comprennent l’intention de vendre, de transférer ou d’utiliser des renseignements de santé identifiables individuellement pour un avantage commercial, un gain personnel ou un préjudice malveillant peuvent entraîner des amendes de 250 000 $et jusqu’à 10 ans de prison.
• la pénalité maximale pour une violation délibérée qui n’est pas corrigée dans le délai requis est fixée à 1,5 million de dollars par année.,

Comment déposer une plainte

dans le cas où vous êtes personnellement affecté par ou témoin d’une violation HIPAA, il doit être signalé à L’Office des droits civils. Des plaintes peuvent être déposées contre les entités couvertes et leurs associés.

Tout le monde peut signaler une violation de la sécurité des informations de santé avec L’OCR. Les plaintes doivent être déposées par écrit par la poste, par télécopieur, par courrier électronique ou via le portail des plaintes OCR dans les 180 jours suivant l’observation d’une violation et doivent préciser la mesure non conforme., Si une violation est détectée au cours de l’enquête, l’entité couverte ou l’associé commercial doit volontairement se conformer aux règles HIPAA, prendre des mesures correctives et/ou accepter un règlement. Si la violation n’est pas résolue, L’OCR peut imposer des amendes et des pénalités.

HIPAA Security: Best Practices

Si vous êtes une entité couverte ou l’associé d’une entité couverte, vous devez connaître et respecter les normes HIPAA. Vous devez également introduire une série de meilleures pratiques pour garantir la création d’une culture d’entreprise de sécurité, de confidentialité et de protection au sein de votre organisation., C’est une bonne idée d’inclure une liste de contrôle de conformité HIPAA dans vos politiques et procédures.

Voici quelques exemples de choses à faire et à ne pas faire:

Les Choses à faire

• offrent une formation régulière aux employés afin qu’ils soient au courant des règlements sur l’utilisation et la divulgation des RPS et des procédures générales de confidentialité en milieu de travail.
• créez un ensemble clair de politiques et de procédures HIPAA et assurez-vous qu’elles sont accessibles à tous les employés
• établissez un responsable de la protection de la vie privée dans votre service des ressources humaines pour traiter les plaintes et fournir des informations sur les procédures de confidentialité des données.,
• organiser des sessions de formation régulières pour s’assurer que les employés sont au courant des politiques et exigences HIPAA mises à jour

ne pas

• divulguer les mots de passe ou partager les identifiants de connexion
• laisser les appareils portables ou les documents sans surveillance
• accéder aux dossiers des patients par curiosité
• accéder ephi sur les réseaux sociaux

HIPAA: FAQ

pour terminer ce post, nous avons rassemblé quelques questions fréquemment posées supplémentaires., Si vous avez d’autres questions que nous n’avons pas inclus, n’hésitez pas à les laisser dans la section commentaires ci-dessous et nous reviendrons vers vous.

Quels sont les exemples courants d’Infractions HIPAA?,

des exemples de violations HIPAA courantes sont les suivants:

• défaut d’effectuer une analyse des risques
• défaut de communiquer rapidement des informations aux patients
• accès non autorisé aux dossiers médicaux (Espionnage d’initiés)
• signatures manquantes de patients
• divulgation d’informations à une partie non désignée
• distribution dispositifs pour stocker des informations de santé privées.,

cas célèbres de violations dont vous avez peut-être entendu parler:

• Le système de santé de L’Université de Californie à Los Angeles a été condamné à une amende de 865 000 when lorsque L’OCR a découvert qu’un médecin avait consulté les dossiers médicaux de célébrités et d’autres patients sans autorisation. Le médecin est devenu le premier employé de la santé à être emprisonné pour une violation HIPAA et il a été condamné à quatre mois de prison fédérale.
• plusieurs rapports de violation ont été déposés contre le centre médical de L’Université de Rochester après que des appareils portables contenant ePHI aient été confirmés comme perdus / volés., L’affaire a été réglée pour 3 millions de dollars.
• L’OCR a imposé une pénalité de 1,6 million de dollars à la Texas Health and Human Services Commission (TX HHSC) pour de multiples violations, notamment un échec d’analyse des risques, un échec de contrôle d’accès, un échec de surveillance de l’activité du système d’information et une divulgation inadmissible de l’ePHI du patient.

pouvez-vous Poursuivre pour une Violation HIPAA?

Il n’y a pas de cause d’action privée dans HIPAA, il n’est donc pas possible pour une personne de poursuivre en vertu des termes de la loi., Cependant, vous pouvez avoir le droit de poursuivre en justice en vertu de la loi de l’état si un préjudice a été causé à la suite directe d’une négligence ou d’une violation (bien que cela puisse être coûteux et qu’il n’y ait aucune garantie de succès).

parler D’un Patient est-il une violation HIPAA?

les fournisseurs de soins de santé sont autorisés à discuter des patients avec d’autres membres de l’équipe de soins, mais parler de patients spécifiques et divulguer leurs informations sur la santé à la famille, aux amis & collègues serait classé comme une violation HIPAA., Les fournisseurs doivent également « protéger raisonnablement » les RPS pour limiter la divulgation, par exemple ne pas discuter du cas d’un patient dans un espace public.

gérez vos congés de maladie des employés& d’autres documents en toute sécurité& en toute sécurité avec Factorial.

ecrit par Chat Symonds