La loi HIPAA (Health Insurance Portability and Accountability Act) de 1996 est une loi fédérale américaine destinée à protéger les informations sensibles relatives à la santé. Elle s'applique à :

- Entités couvertes : Les prestataires de soins de santé (hôpitaux, cliniques), les régimes de santé (compagnies d'assurance) et les centres d'échange d'informations sur les soins de santé.

- Associés commerciaux : Les fournisseurs ou sous-traitants tiers qui traitent des informations de santé protégées (PHI) pour le compte d'entités couvertes, tels que les sociétés de facturation ou les fournisseurs de services de stockage en nuage.

L'HIPAA régit les normes en matière de confidentialité, de sécurité et de notification des violations pour le traitement des PHI, en garantissant les droits des patients et la sécurité des données.

1. Les PHI désignent toute information permettant d'identifier un individu et relative à son état de santé, aux services de santé ou au paiement des soins de santé. Il s'agit notamment des éléments suivants : nom du patient, adresse, date de naissance et numéro de sécurité sociale : - Les noms, adresses, dates de naissance et numéros de sécurité sociale des patients. - Les dossiers médicaux, les résultats des tests et les plans de traitement. - Les informations relatives à la facturation et à l'assurance.

   Les PHI sont protégés par la HIPAA lorsqu'ils sont créés, conservés ou transmis par des entités couvertes ou leurs associés.

L'HIPAA comprend quatre règles essentielles :

1. Règle sur la protection de la vie privée : Réglemente l'utilisation et la divulgation des informations personnelles, en accordant aux patients des droits sur leurs données.

2. Règle de sécurité : Fixe des normes pour la protection des données personnelles électroniques (ePHI) par des garanties administratives, techniques et physiques.

3. Règle sur la notification des violations : Les entités couvertes et les associés commerciaux sont tenus d'informer les personnes concernées, le ministère de la santé et des services sociaux, et parfois les médias, en cas de violation de données.

4. Règle d'application : Il décrit les sanctions en cas de non-respect, qui vont des actions correctives à des amendes financières importantes.

Ensemble, ces règles créent un cadre complet pour la protection des informations sur la santé

Il y a violation de la loi HIPAA lorsqu'il y a manquement à l'une des exigences de la loi HIPAA, notamment - L'accès ou la divulgation non autorisés de PHI. - Absence de mesures de protection appropriées, telles que le cryptage ou les contrôles d'accès. - Le fait de ne pas informer les personnes concernées d'une violation de données dans les délais requis.

Les sanctions pour violation dépendent du niveau de négligence et peuvent aller de $100 par incident à plus de $1,5 million par an pour les violations graves ou délibérées.

Les organisations peuvent assurer la conformité à l'HIPAA en

1. Mener des actions régulières l'évaluation des risques d'identifier les vulnérabilités de leurs systèmes et d'y remédier.

2. Mise en œuvre garanties administratives comme la formation des employés et les plans d'intervention en cas d'incident.

3. Mise en œuvre garanties physiques comme l'accès sécurisé aux installations et la gestion des appareils.

4. Déploiement garanties techniques comme le cryptage, l'authentification multifactorielle et les pistes d'audit.

5. Maintien Accords d'association commerciale (BAA) avec tous les fournisseurs qui traitent des informations sur la santé publique.

Un contrôle et une documentation réguliers sont également essentiels pour assurer une conformité permanente.

Un BAA est un contrat juridiquement contraignant entre une entité couverte et un associé. Il garantit que l'associé commercial - n'utilise et ne divulgue les PHI que dans les limites autorisées par l'HIPAA - met en œuvre des mesures de sauvegarde pour protéger les RPS - signale les violations ou l'utilisation non autorisée de PHI.

En l'absence de BAA, l'entité couverte et l'associé commercial peuvent se voir infliger des sanctions en cas de non-conformité.

- Règle sur la protection de la vie privée : S'applique à toutes les formes de PHI (écrites, électroniques ou orales) et se concentre sur le contrôle de l'accès et de l'utilisation des PHI afin de protéger les droits des patients.

- Règle de sécurité : S'applique spécifiquement aux PHI électroniques (ePHI) et exige des garanties administratives, physiques et techniques pour protéger la confidentialité, l'intégrité et la disponibilité des ePHI.

Ensemble, ces règles garantissent une protection complète des informations sur la santé.

La règle de notification des violations de l'HIPAA exige des entités couvertes et des associés commerciaux qu'ils - Notifier les personnes concernées dans les 60 jours suivant la découverte de la violation. - Signaler les violations impliquant plus de 500 personnes au HHS et parfois aux médias. - mettre en œuvre des mesures visant à atténuer les dommages et à prévenir les violations futures.

Les organisations doivent documenter les violations et mener des enquêtes approfondies pour se conformer à l'HIPAA.

Oui, l'HIPAA exige que les entités couvertes et les associés commerciaux fournissent une formation régulière à leurs employés. La formation doit porter sur les points suivants - la manipulation correcte des PHI - Les politiques de sécurité et de protection de la vie privée. - l'identification des violations potentielles et les mesures à prendre pour y remédier. Les employés doivent suivre une formation lors de leur embauche et à intervalles réguliers par la suite.

Un audit HIPAA, mené par l'Office for Civil Rights (OCR), examine la conformité d'une organisation aux exigences HIPAA. Les auditeurs examinent - les évaluations des risques et les plans de gestion - Les politiques et procédures de protection des PHI. - Les mesures de sécurité, y compris le cryptage et les contrôles d'accès. - Les dossiers de formation et les accords d'association commerciale.

La non-conformité peut donner lieu à des sanctions, à des plans d'action correctifs et à la publication d'informations sur les violations.