À peine un jour se passe sans un reportage sur un hôpital, un plan de santé ou un professionnel de la santé enfreignant la loi HIPAA, mais quest-ce quune violation de la loi HIPAA et que se passe-t-il en cas de violation?
Quest-ce quune violation HIPAA?
La loi de 1996 sur la portabilité et la responsabilité de lassurance maladie est une loi historique qui a été introduite pour simplifier ladministration des soins de santé, éliminer le gaspillage, prévenir la fraude en matière de soins de santé et garantir que les employés pourraient maintenir une couverture de soins de santé entre les emplois.
Il y a eu des mises à jour notables de la loi HIPAA pour améliorer la protection de la vie privée des patients et des membres des régimes de santé au fil des ans, ce qui permet de garantir la protection des données de santé et la confidentialité des patients est protégé. Ces mises à jour incluent la règle de confidentialité HIPAA, la règle de sécurité HIPAA, la règle omnibus HIPAA et la règle de notification de violation HIPAA.
Une violation HIPAA est un non-respect de tout aspect des normes et dispositions HIPAA détaillées en détail dans 45 CFR Parties 160, 162 et 164.
Le texte combiné de tous les règlements HIPAA publiés par le Département de Le Bureau des droits civils de la santé et des services sociaux compte 115 pages et contient de nombreuses dispositions. Il existe des centaines de façons dont les règles HIPAA peuvent être violées, bien que les violations HIPAA les plus courantes soient:
- Divulgations non autorisées dinformations de santé protégées (PHI)
- Accès non autorisé aux PHI
- Élimination incorrecte des PHI
- Défaut de mener une analyse des risques
- Non-gestion des risques pour la confidentialité, lintégrité et la disponibilité des PHI
- Défaut de mettre en œuvre des mesures de protection pour garantir la confidentialité, lintégrité et la disponibilité des PHI
- Défaut de maintenir et de surveiller les journaux daccès PHI
- Défaut de conclure un accord dassocié commercial conforme à la HIPAA avec les fournisseurs avant de donner accès aux PHI
- Ne pas fournir aux patients des copies de leurs PHI sur demande
- Ne pas mettre en œuvre des contrôles daccès pour limiter qui peut consulter les PHI
- Défaut de résilier les droits daccès aux PHI lorsquils ne sont plus nécessaires
- La divulgation de plus de PHI que nécessaire pour quune tâche particulière soit effectuée
- Fai leurre à fournir une formation HIPAA et une formation de sensibilisation à la sécurité
- Vol de dossiers de patients
- Diffusion non autorisée de PHI à des personnes non autorisées à recevoir les informations
- Partage de PHI en ligne ou via les médias sociaux sans autorisation
- Mauvaise gestion et mauvaise utilisation des PHI
- Envoi de SMS aux PHI
- Défaut de crypter les PHI ou dutiliser une autre mesure équivalente pour empêcher laccès / la divulgation non autorisés
- Non-notification à une personne (ou au Bureau des droits civils) dun incident de sécurité impliquant des PHI dans les 60 jours suivant la découverte dune violation
- Non-documentation des efforts de conformité
Comment les violations HIPAA sont-elles découvertes?
De nombreuses violations HIPAA sont découvertes par des entités couvertes par la HIPAA grâce à des audits internes. Les superviseurs peuvent identifier les employés qui ont enfreint les règles HIPAA et les employés signalent souvent eux-mêmes les violations HIPAA et les violations potentielles par des collègues.
Le bureau des droits civils du HHS est le principal exécuteur des règles HIPAA et enquête sur les plaintes concernant Violations HIPAA signalées par les employés de la santé, les patients et les membres du régime de santé OCR enquête également sur toutes les entités couvertes qui signalent des violations de plus de 500 enregistrements et mène des enquêtes sur certaines violations plus petites. OCR mène également des audits périodiques des entités couvertes par la HIPAA et des associés commerciaux.
Les procureurs généraux des États ont également le pouvoir denquêter sur les violations et des enquêtes sont souvent menées en raison de plaintes concernant des violations potentielles de la HIPAA et lorsque des rapports de violation des dossiers des patients sont reçus.
Quelles sont les sanctions pour violation des règles HIPAA?
Les sanctions pour violation des règles HIPAA peuvent être sévères. Les procureurs généraux des États peuvent imposer des amendes jusquà un maximum de 25 000 dollars par catégorie dinfraction et par année civile. OCR peut imposer des amendes allant jusquà 1,5 million de dollars par catégorie dinfraction et par an. Des amendes de plusieurs millions de dollars peuvent être – et ont été – imposées.
Bien que les prestataires de soins de santé, les plans de santé et les associés commerciaux des entités couvertes puissent être condamnés à une amende, il existe également des amendes potentielles pour les personnes qui enfreignent les règles HIPAA et des sanctions pénales peuvent être appropriées. Une peine demprisonnement pour violation de la HIPAA est une possibilité, avec certaines violations passibles dune peine pouvant aller jusquà 10 ans de prison.
Vous pouvez en savoir plus sur les sanctions pour violations de la HIPAA sur cette page.
Les récentes sanctions pour infraction HIPAA et la structure des sanctions HIPAA sont détaillées dans linfographie ci-dessous.
Pénalités de violation HIPAA
FAQ
Comment savoir si une organisation enfreint la loi HIPAA?
Les entités couvertes et les associés commerciaux sont tenus par la HIPAA de mener régulièrement des analyses de risques. Les analyses des risques doivent identifier tous les domaines de non-conformité qui indiquent que lorganisation est en violation de la HIPAA. Le fait de ne pas mener et documenter une analyse des risques est une violation de la HIPAA elle-même, tout comme ne pas résoudre les problèmes identifiés par une analyse des risques.,
Quelle est la différence entre une évaluation des risques et une analyse des risques?
Alors que la plupart des entités considéreraient une évaluation des risques comme une enquête sur les menaces possibles, et une analyse des risques un calcul de la probabilité que ces menaces se produisent, il y a un manque de clarté dans la HIPAA. Par exemple, dans le cadre de la section danalyse des risques des garanties administratives des règles de sécurité (45 CFR § 164.308 (a)), lentité ou lassocié couvert doit: « Mener une évaluation précise et approfondie des risques et vulnérabilités potentiels en matière de confidentialité, dintégrité et disponibilité des informations de santé protégées électroniques détenues par lentité couverte ou lassocié commercial. »,
Lorsque des risques et vulnérabilités potentiels sont identifiés, que se passe-t-il ensuite?
Également en vertu de 45 CFR § 164.308 ( a), les entités couvertes et les entreprises associées sont tenues de mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié. Afin de déterminer ce qui constitue un « niveau raisonnable et approprié », les organisations devraient prendre en compte (selon 45 CFR § 164.306 (b)):
- La taille, la complexité et les capacités de lorganisation
- Les capacités de sécurité de linfrastructure technique, du matériel et des logiciels de lorganisation es
- Le coût des mesures de sécurité raisonnables et appropriées
- La probabilité et la criticité des risques potentiels pour lintégrité de lePHI »
Que signifie le « criticité des risques potentiels »?
Le terme criticité des risques potentiels fait référence à lampleur des blessures pouvant être causées par une violation de la loi HIPAA. Par exemple, un volume de stockage dans le cloud – contenant les détails de paiement et les numéros de sécurité sociale de milliers de patients – laissé ouvert au public Internet a le potentiel de causer plus de blessures que deux infirmières discutant des options de traitement pour le patient A à portée de voix du patient B.