Liste de contrôle ultime pour la conformité HIPAA : Étapes essentielles pour les prestataires de soins de santé

Image of Iron Brands

Publié le 22 juin 2023 et modifié le 15 août 2023 par Iron Brands

L'HIPAA est un texte législatif long et complexe. Tout ce que nous pouvons faire, c'est fournir des informations de très haut niveau. Cette liste de contrôle n'est qu'un point de départ pour vous aider à vous conformer à l'HIPAA. Si vous devez aller plus loin, vous devez faire appel à un professionnel du droit.

N'oubliez pas non plus que l'HIPAA ne concerne pas uniquement la protection de la vie privée. La loi comprend des règles de sécurité, des règles de transférabilité, des normes techniques pour les dossiers médicaux électroniques, et bien d'autres choses encore. En soi, le respect de la règle relative à la protection de la vie privée ne garantit pas le respect de la loi HIPAA dans son ensemble. N'oubliez pas le reste !

  1. L'HIPAA me concerne-t-elle ?
    1. Mon organisation ou mon client sont-ils des entités couvertes par l'HIPAA ?
    2. Mon organisation est-elle un associé commercial ou un sous-traitant ?
  2. Quelles sont les informations couvertes par la loi HIPAA ?
  3. Je suis une entité couverte ; et maintenant ?
  4. Je suis un associé ou un sous-traitant ; que faire ?
  5. Réflexions finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

L'HIPAA me concerne-t-elle ?

Tout d'abord, vous devez déterminer si l'HIPAA s'applique à votre organisation. Cela signifie que vous devez déterminer si vous êtes une entité couverte, un associé commercial ou un sous-traitant.

Si vous n'êtes ni l'une ni l'autre de ces entités, vous n'avez pas à vous préoccuper de l'HIPAA. Toutefois, d'autres règles relatives aux données de santé peuvent s'appliquer (par exemple, les règles de la CCPA relatives aux données sensibles).

Mon organisation ou mon client sont-ils des entités couvertes par l'HIPAA ?

Les entités couvertes (EC) appartiennent à trois catégories :

  • les prestataires de soins de santé. Il s'agit de personnes, de groupes ou d'organisations qui fournissent des services, des soins, des équipements ou des fournitures médicales dans le cadre de leurs activités habituelles.
  • Les plans de santé sont des plans individuels ou collectifs qui fournissent ou paient des soins médicaux.
  • les centres d'échange d'informations sur les soins de santé sont définis de manière très complexe, mais en termes pratiques, il s'agit généralement d'intermédiaires tels que des fournisseurs de paiements et des réseaux à valeur ajoutée.

Veuillez noter que ces définitions juridiques sont assorties de nombreuses exceptions. Il est impossible de les résumer toutes, aussi n'oubliez pas de consulter le § 160.103 dans le texte consolidé de la loi.

Mon organisation est-elle un associé commercial ou un sous-traitant ?

Lesassociés commerciaux (AC) ont également des obligations au titre de la loi HIPAA et des règles de protection de la vie privée. Un associé commercial est une personne qui fournit certains services à une entité couverte et reçoit des informations de santé protégées (PHI) de la part de l'entité couverte.

Les services fournis par les BA comprennent l'analyse, le traitement et l'administration des données. La définition légale couvre donc de nombreux intermédiaires offrant des services de la société de l'information tels que l'hébergement et l'analyse de sites web. La partie la plus délicate pour déterminer si vous êtes un BA est d'évaluer si votre client est une entité couverte par l'HIPAA (voir la section ci-dessus).

Veuillez noter que le fait de travailler pour une entité couverte par l'HIPAA et d'avoir accès à des informations sur la santé publique sont des exigences cumulatives. Si vous ne recevez pas de PHI, vous n'êtes pas un BA, quelle que soit l'entité avec laquelle vous travaillez. De même, si vous traitez des informations sur la santé mais que vous n'êtes pas une EC et que vous ne travaillez pas avec une EC, vous n'avez pas à vous préoccuper de la HIPAA (mais d'autres législations, telles que la CCPA, peuvent s'appliquer à vous).

La HIPAA couvre également les sous-traitants qui aident les agents de liaison à fournir leurs services. Vous pouvez considérer un sous-traitant comme l'associé d'un associé.

Quelles sont les informations couvertes par la loi HIPAA ?

Si vous êtes une entité certifiée, un associé commercial ou un sous-traitant, vous avez certaines obligations en vertu de la loi HIPAA. Mais cela ne signifie pas que ces obligations couvrent toutes les données que vous traitez ! L'étape suivante consiste donc à déterminer ce qui relève des PHI et ce qui n'en relève pas parmi les informations que vous traitez.

Trois critères cumulatifs définissent les informations de santé protégées :

  • a. elles sont collectées par une entité couverte
  • b. elles sont liées à la santé
  • c. elles sont personnellement identifiables

Si l'une de ces conditions n'est pas remplie, vous ne traitez pas d'ISP.

Supposons qu'un hôpital propose aux professionnels de la santé un séminaire sur un traitement nouveau et innovant et qu'il en fasse la publicité sur son site web. Le site web utilise Google Analytics sur la page du séminaire. Cela implique-t-il la divulgation de RPS ?

Voyons ce qu'il en est :

  • un hôpital est un prestataire de soins de santé, la condition a est donc remplie.
  • Google Analytics recueille des données qui peuvent être considérées comme des informations personnelles identifiables en vertu de la loi HIPAA (identifiants de cookies et éventuellement IP, en fonction des paramètres et de la version du logiciel). L'exigence c est satisfaite
  • le fait qu'une personne souhaite assister à un séminaire sur le sujet ne signifie pas qu'elle est atteinte de la maladie. En fait, le séminaire s'adresse à des professionnels de la santé susceptibles d'être professionnellement intéressés par le sujet. L'exigence b n'est PAS satisfaite

Dans ce cas, aucune PHI n'est divulguée. Mais la réponse pourrait être différente si la page fournissait des informations au grand public au lieu de promouvoir un séminaire.

En résumé, il n'est pas facile de déterminer quelles informations sont ou ne sont pas des PHI ! Il faut garder à l'esprit les trois exigences de l'HIPAA.

Mais c'est aussi très important ! Tenter de se conformer à la loi HIPAA pour toutes les données que vous traitez sera incroyablement lourd pour votre organisation. C'est pourquoi il est essentiel de déterminer quelles données relèvent de l'HIPAA et lesquelles n'en relèvent pas.

Rappelez-vous que si vous êtes un BA, toutes les informations que vous ne recevez pas d'un CE ne peuvent pas, par définition, être des PHI. D'autre part, le fait que vous receviez des informations d'un EC ne signifie pas, en soi, qu'il s'agit de RPS. Là encore, il convient d'examiner chaque catégorie de données sur la base de la définition des RPS de la HIPAA.

En ce qui concerne les analyses web, le site web du HHS fournit des informations utiles sur les divulgations de PHI. Si vous n'êtes toujours pas sûr à 100 % de ce qu'est une PHI et de ce qu'elle n'est pas, n'hésitez pas à demander un avis juridique - la réponse est vraiment importante pour la conformité !

Je suis une entité couverte ; et maintenant ?

Si vous êtes une entité couverte, vous devez vous conformer à des règles spécifiques concernant la divulgation des RPS.

Certaines divulgations sont toujours autorisées parce qu'elles sont nécessaires pour traiter le patient ou pour assurer le fonctionnement du système de santé dans son ensemble. Par exemple, vous pouvez divulguer le dossier médical électronique d'un patient à son nouvel hôpital ou transmettre les factures médicales à son assurance maladie.

Toute autre divulgation nécessite une autorisation écrite du patient. C'est très important, car les divulgations non autorisées sont punissables en vertu de la loi HIPAA !

La loi HIPAA contient des règles détaillées sur ce qui constitue une autorisation écrite. En règle générale, le patient doit être réellement libre de refuser l'autorisation. Vous n'avez pas le droit de refuser des soins de santé à un patient pour lui extorquer une autorisation !

Par ailleurs, le HHS a précisé que le fait de cliquer sur "ok" sur des bannières de cookies et des fenêtres pop-up similaires n'est pas considéré comme une autorisation écrite. Si vous utilisez un service en ligne tel qu'un service d'analyse web, vous ne pourrez pas compter sur les pop-ups pour recueillir le consentement.

En outre, si vous travaillez avec un BA, vous devez conclure un accord d'association commerciale (BAA). Un accord d'association commerciale est un contrat qui indique à l'organisme de certification ce qu'il peut et ne peut pas faire avec les renseignements personnels. Il contient des clauses standard détaillées par le ministère américain de la santé et des services sociaux (pour en savoir plus sur ces clauses, cliquez ici).

Je suis un associé ou un sous-traitant ; que faire ?

Si vous êtes un associé commercial ou un sous-traitant, vous devez conclure un accord d'association commerciale avec votre associé commercial ou l'entité couverte.

Les accords d'association commerciale obligent les associés commerciaux et les sous-traitants à respecter des normes de confidentialité et de sécurité similaires à celles des entités couvertes. La mise en place d'un BAA ne se limite donc pas à la signature d'un document papier. Vous devez examiner son contenu en détail et vous assurer que vous pouvez vous conformer à toutes les exigences qu'il contient. Il s'agit notamment de répondre aux demandes d'information des patients et de mettre à disposition certains documents.

Si vous signez un BAA, vous êtes responsable de toute violation de l'accord. Vous ne devez pas proposer de signer un BAA si vous n'êtes pas vraiment sûr que votre organisation peut traiter les informations conformément à l'HIPAA. C'est la raison pour laquelle de nombreux services, y compris des services très importants comme Google Analytics, ne sont pas disponibles pour signer un BAA ! En cas de doute, vous devriez consulter un professionnel du droit afin d'éviter toute responsabilité au titre de l'HIPAA.

Différentes certifications de conformité à l'HIPAA sont disponibles pour les prestataires de services, et elles peuvent constituer un atout lors de la négociation de contrats avec des entités couvertes. Sachez toutefois qu'aucune certification n'est légalement reconnue. L'utilité d'une certification dépend entièrement de sa reconnaissance dans le secteur. Il est conseillé de faire des recherches et de consulter un professionnel du droit avant de dépenser de l'argent pour une certification.

Enfin, il convient de noter que les BA et les sous-traitants n'ont généralement pas de relation directe avec les patients. Cela signifie que vous ne pourrez pas vous appuyer sur les autorisations des patients pour les divulgations.

Réflexions finales

La mise en conformité commence toujours par le fait de se poser les bonnes questions, et il en va de même pour la conformité à la règle de confidentialité de l'HIPAA. Voici quelques étapes utiles à suivre :

  1. déterminer si vous êtes une entité couverte, un associé commercial, un sous-traitant ou rien de tout cela
  2. déterminer quelles données relèvent de la HIPAA et lesquelles n'en relèvent pas
  3. assurez-vous que vous respectez la règle de confidentialité et les règles relatives à la limitation de la divulgation
  4. évaluer si tous les accords d'association commerciale dont vous avez besoin sont en place (et s'assurer que vous pouvez les respecter)
  5. (facultatif) Envisager une certification HIPAA auprès d'un organisme réputé
  6. n'oubliez pas toutes les autres règles de l'HIPAA !
  7. n'oubliez pas les autres lois sur les données de santé ! (CCPA, My Health My Data, etc.)

Encore une fois, l'HIPAA est une législation longue et complexe. Ce blog ne contient que des informations de très haut niveau et ne saurait remplacer l'avis d'un professionnel qualifié.

En fin de compte, la conformité n'est pas simple. Il convient donc de se poser la question suivante : ai-je vraiment besoin de divulguer ces données ? Il existe peut-être des solutions entièrement anonymes et respectueuses de la vie privée qui peuvent vous épargner bien des maux de tête en matière de conformité.

Simple Analytics peut être une telle solution pour votre analyse web. Nous ne suivons pas les visiteurs et ne collectons pas de données sensibles. Nous n'utilisons les adresses IP que pour la communication ; même cette divulgation minimale peut être évitée en mandatant l'adresse.

Simple Analytics peut être facilement mis en œuvre dans le respect de l'HIPAA et ne nécessite pas de BAA. Si cela vous convient, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours