Formation annuelle sur la conformité à la loi HIPAA

La Loi sur la transférabilité et la responsabilité en matière d'assurance maladie a été promulguée en 1996. Elle est appliquée par le Bureau des droits civils du gouvernement des États-Unis. Il s'agit d'un ensemble de lignes directrices fédérales qui permettent aux employés de souscrire une assurance médicale s'ils quittent un employeur, permettent aux personnes d'avoir accès à une assurance médicale malgré des conditions préexistantes (sous certaines conditions) et établissent des normes de confidentialité pour la santé du patient. information.

• La règle de confidentialité HIPAA protège la confidentialité des informations de santé identifiables individuellement.
• La règle de sécurité HIPAA établit des normes nationales pour la sécurité de l'information électronique sur la santé.

Il est requis par la loi de fournir une éducation et une formation HIPAA aux personnes travaillant dans l'industrie des soins de santé pour assurer la responsabilité de la confidentialité et la sécurité des informations de santé protégées. Les entités couvertes doivent former tous les membres du personnel sur les politiques et procédures HIPAA.

1 -

Règle de confidentialité HIPAA

Les Normes sur la protection de la vie privée des renseignements personnels sur la santé (la Règle sur la protection de la vie privée) ont été conçues expressément pour protéger les renseignements personnels sur la santé d'une personne. Il est important pour la vitalité de votre cabinet médical de maintenir la conformité HIPAA.

Qui est couvert par la règle de confidentialité?

• Plans de santé
• Les fournisseurs de soins de santé
• Centre d'information sur les soins de santé

Une entité couverte, telle que définie dans HIPAA, peut être un régime d'assurance maladie, un centre d'information sur la santé ou un fournisseur de soins de santé qui transmet des informations médicales protégées par voie électronique et peut être des organisations, institutions ou personnes.

Les médecins et autres professionnels de la santé qui travaillent avec les patients et leurs dossiers médicaux confidentiels doivent se conformer aux politiques, procédures et lois visant à protéger la vie privée et la confidentialité des patients. Tous les fournisseurs de soins de santé ont la responsabilité de garder leur personnel formé et informé en ce qui concerne la conformité HIPAA . Qu'elle soit intentionnelle ou accidentelle, la divulgation non autorisée de PHI est considérée comme une violation de HIPAA.

• Associés d'affaires

Un associé, tel que défini par HIPAA, est toute personne ou entité qui mène des affaires impliquant l'utilisation ou la divulgation d'informations de santé protégées pour le compte d'une entité couverte et n'est pas un employé de l'entité couverte.

Quelles informations sont protégées?

Les renseignements personnels sur la santé ou les renseignements sur la santé protégés désignent toute information d'identification individuelle incluse dans le dossier médical d'un patient transmise ou conservée sous quelque forme que ce soit.

Utilisations et divulgations

Une entité couverte peut utiliser ou divulguer des informations de santé protégées (PHI) sans autorisation dans certaines conditions.

1. À l'individu
2. Traitement, paiement et opérations de soins de santé
3. Utilisations et divulgations avec possibilité d'être d'accord ou d'objecter
4. Utilisation accidentelle et divulgation.
5. Activités d'intérêt public et de prestations
6. Ensemble de données limité à des fins de recherche, de santé publique ou de soins de santé

Avis de pratiques de confidentialité

Les fournisseurs de soins de santé ont l'obligation de fournir à leurs patients un avis de pratiques de confidentialité. Cet avis, tel que requis par la Règle de confidentialité HIPAA, donne aux patients le droit d'être informés de leurs droits à la vie privée en ce qui concerne leurs informations de santé protégées (PHI).

L'avis devrait décrire certaines informations dans des termes faciles à comprendre:

• Comment le fournisseur utilisera et divulguera son PHI
• Les droits des patients concernant leur propre PHI
• Une déclaration informant le patient des lois exigeant que le fournisseur maintienne la confidentialité de ses PHI
• Qui les patients peuvent contacter pour plus d'informations concernant les politiques de confidentialité du fournisseur

Application de la loi et pénalités pour non-conformité

Pénalités d'argent civil

• 100 $ par défaut de se conformer
• Maximum de 25 000 $ par année pour les violations multiples de la même exigence

Pénalités pénales (pour avoir sciemment obtenu ou divulgué des RPS en violation de la loi HIPAA)

• Amende de 50 000 $ et jusqu'à un an d'emprisonnement
• Amende de 100 000 $ et jusqu'à cinq ans d'emprisonnement (si la violation comporte de faux prétextes)
• Amende de 250 000 $ et jusqu'à dix ans d'emprisonnement (si la violation implique l'intention de vendre, de transférer ou d'utiliser des RPS)

2 -

Règle de sécurité HIPAA

Les normes de sécurité pour la protection de l'information de santé électronique protégée (la règle de sécurité)

La sécurité HIPAA se réfère à l'établissement de sauvegardes pour PHI dans n'importe quel format électronique. Cela inclut toute information utilisée, stockée ou transmise électroniquement. Toute installation définie par HIPAA comme une entité couverte a la responsabilité d'assurer la confidentialité et la sécurité des informations de ses patients ainsi que de maintenir la confidentialité de leurs PHI.

Qui est couvert par la règle de sécurité?

• Plans de santé
• Les fournisseurs de soins de santé
• Centre d'information sur les soins de santé

Une entité couverte, telle que définie dans HIPAA, peut être un régime d'assurance maladie, un centre d'information sur la santé ou un fournisseur de soins de santé qui transmet des informations médicales protégées par voie électronique et peut être des organisations, institutions ou personnes.

• Associés d'affaires

Un associé, tel que défini par HIPAA, est toute personne ou entité qui mène des affaires impliquant l'utilisation ou la divulgation d'informations de santé protégées pour le compte d'une entité couverte et n'est pas un employé de l'entité couverte.

Quelles informations sont protégées?

Les renseignements personnels sur la santé ou les renseignements médicaux protégés se rapportent à toute information d'identification individuelle incluse dans le dossier médical d'un patient qui est transmise ou maintenue sous quelque forme que ce soit. La règle de sécurité exclut les PHI transmis oralement ou par écrit.

Simplification administrative

Les dispositions de simplification administrative de HIPAA établit des normes nationales pour la sécurité de l'information de santé protégée électronique. Cela inclut les règles et les normes pour les transactions et les ensembles de codes et les identifiants pour les employeurs et les fournisseurs.

Transactions et normes de jeu de codes

Les transactions standard pour l'échange de données informatisé (EDI) des données de santé comprennent les informations sur les réclamations et les rencontres, les avis de paiement et de versement, le statut des réclamations, l'éligibilité, l'inscription et le désabonnement, les références et autorisations.

Les codes standard pour le diagnostic, la procédure et les codes de médicaments comprennent les HCPCS (services auxiliaires / procédures), CPT-4 (procédures médicales ), CDT (terminologie dentaire), CIM-9 (diagnostic et hospitalisation), CIM-10 ( En date du 1er octobre 2015) et les codes NDC (National Drug Codes).

Normes d'identification pour les employeurs et les fournisseurs

Les identifiants standard incluent le numéro d'identification de l'employeur (EIN) et l'identificateur du fournisseur national (NPI). L'EIN est utilisé pour identifier les employeurs sur les transactions standard. L'identification du fournisseur national ou NPI est un numéro d'identification unique à 10 chiffres utilisé pour remplacer les identifiants de fournisseur tels que le numéro d'identification unique du fournisseur (UPIN) dans les transactions standard HIPAA. Les fournisseurs de soins de santé sont tenus par la réglementation de HIPAA pour obtenir une NPI.

Les règles pour maintenir la sécurité HIPAA comprennent des garanties pour trois domaines clés.

Garanties administratives

1. Élaborer un processus officiel de gestion de la sécurité, y compris l'élaboration de politiques et de procédures, des vérifications internes, un plan d'urgence et d'autres mesures de protection pour assurer la conformité du personnel du cabinet médical.
2. Assigner la responsabilité de la sécurité à une personne désignée pour gérer et superviser l'utilisation des mesures de sécurité et la conduite du personnel.
3. Mettre en place des fonctionnalités qui garantissent que le personnel dispose d'une formation appropriée et d'une autorisation appropriée pour accéder aux RPS.
4. Définir les niveaux d'accès pour tout le personnel et comment il est accordé
5. Exiger que tous les membres du personnel médical, y compris la direction, suivent une formation sur la sécurité et reçoivent des rappels périodiques et une formation des utilisateurs.

Sauvegardes physiques

1. Fichier PHI dans un endroit sécurisé et espace de travail pour les employés (ce qui inclut l'utilisation de serrures, clés et badges qui déverrouillent les portes) qui restreignent l'accès aux personnes non autorisées et les intrus.
2. Élaborer des politiques pour vérifier les autorisations d'accès, contrôler l'équipement et gérer les visiteurs. Développer et fournir de la documentation, y compris des instructions sur la façon dont votre cabinet médical peut vous aider à protéger les RPS (par exemple, vous déconnecter de l'ordinateur avant de le laisser sans surveillance)
3. Fournir une protection contre le feu et d'autres dangers

Sauvegardes techniques

1. Établir une identification unique de l'utilisateur, y compris les mots de passe et les numéros d'identification
2. Adopter un contrôle de déconnexion automatique
3. Enregistrer et examiner l'activité du système à des fins d'audit
4. Utiliser des contrôles de cryptage pour protéger les données transmises sur un réseau

Application de la loi et pénalités pour non-conformité

Pénalités d'argent civil

• 100 $ par défaut de se conformer
• Maximum de 25 000 $ par année pour les violations multiples de la même exigence

Pénalités pénales (pour avoir sciemment obtenu ou divulgué des RPS en violation de la loi HIPAA)

• Amende de 50 000 $ et jusqu'à un an d'emprisonnement
• Amende de 100 000 $ et jusqu'à cinq ans d'emprisonnement (si la violation comporte de faux prétextes)
• Amende de 250 000 $ et jusqu'à dix ans d'emprisonnement (si la violation implique l'intention de vendre, de transférer ou d'utiliser des RPS)

3 -

Conseils pour éviter de violer HIPAA

1. Prenez les mesures nécessaires pour éviter de divulguer des informations grâce à une conversation de routine. Évitez la divulgation d'informations par le biais de conversations de routine; discuter des informations sur les patients dans les salles d'attente, les couloirs ou les ascenseurs; l'élimination appropriée des RPS; et l'accès à l'information soit strictement limité aux employés dont les emplois requièrent cette information. L'information de base peut sembler si insignifiante qu'elle peut facilement être mentionnée dans une conversation de routine, mais ne devrait être partagée que sur la base d'un besoin de savoir.
2. Évitez de discuter des informations sur le patient dans les zones d'attente, les couloirs ou les ascenseurs. Les informations sensibles peuvent être entendues par les visiteurs ou d'autres patients. Veillez également à conserver les dossiers des patients hors des zones accessibles au public. Puisque les comptoirs d'enregistrement et les postes d'infirmières sont ouverts, faites un effort supplémentaire pour vous assurer que les ordinateurs sont sécurisés en tout temps. Les supports de carte doivent être montés et le panneau avant couvert selon les normes HIPAA.
3. Le PHI ne doit jamais être éliminé dans la poubelle. Tout document jeté à la poubelle est ouvert au public et donc une violation de l'information. Il y a plusieurs façons de disposer des RPS. L'élimination appropriée du papier PHI comprend la combustion ou le déchiquetage. Le PHI électronique peut être éliminé en effaçant, supprimant, reformatant, incinérant, fondant ou déchiquetant.
4. Il existe un certain nombre de technologies disponibles conçues pour sécuriser les données des patients. Soyez sélectif dans le choix des périphériques et des logiciels qui sécurisent les données via une connexion sans fil, y compris les pare-feu, les anti-virus, les anti-spywares et la technologie de détection d'intrusion. Soyez extrêmement prudent lorsque vous accédez à des données via une connexion à distance. Les informaticiens proposent d'utiliser un système d'authentification à deux facteurs avec des jetons de sécurité et des mots de passe.