Conformité à l'HIPAA : Ce que votre organisation à but non lucratif doit savoir

Partager cette information :

Qu'est-ce que l'HIPAA ?

Le Health Insurance Portability and Accountability Act (HIPAA) établit la norme en matière de protection des données sensibles des patients. Les entreprises qui traitent des informations de santé protégées (PHI) doivent mettre en place des mesures de sécurité physique, de réseau et de processus et les respecter pour garantir la conformité à la loi HIPAA. Les entités couvertes (toute personne assurant le traitement, le paiement et les opérations dans le domaine des soins de santé) et les associés commerciaux (toute personne ayant accès aux informations relatives aux patients et apportant son soutien au traitement, au paiement ou aux opérations) doivent se conformer à l'HIPAA. D'autres entités, telles que les sous-traitants et tout autre associé commercial connexe, doivent également être en conformité.

HIPAA et les organisations à but non lucratif

L'HIPAA est le plus souvent évoquée dans le contexte des dossiers de données électroniques. C'est également dans ce contexte que les organisations à but non lucratif du secteur de la santé sont confrontées. Lorsque les médecins ont adopté les dossiers médicaux électroniques, il est devenu plus facile pour les patients de changer de médecin, de se rendre aux urgences et de consulter des spécialistes. Malheureusement, cela a également ouvert la porte à de nouveaux risques de sécurité.
Ce niveau de risque signifie qu'il y a un fort besoin de protection et de réglementation des informations électroniques protégées sur la santé, ou ePHI. Les organisations à but non lucratif qui ne s'y conforment pas s'exposent à des amendes de plusieurs milliers, voire millions, de dollars. Pour éviter cela, voici ce que votre association doit savoir sur l'HIPAA et les données électroniques protégées.

Comment identifier les données ePHI

Si vous détenez l'une des informations suivantes sur vos clients, membres ou bénéficiaires, vous devez vous conformer à la loi HIPAA :

  • Tout problème de santé passé ou présent - physique ou mental
  • Tout traitement médical passé, présent ou futur prévu
  • toute information relative au paiement passé, présent ou futur de soins médicaux

En plus de ces données, chaque patient est accompagné d'identifiants permettant de faire le lien entre le traitement et les individus. Il existe 18 caractéristiques que l'HIPAA recherche pour identifier une personne :

  • Nom
  • Adresse (toutes les subdivisions géographiques inférieures à l'État, y compris l'adresse, la ville, le comté et le code postal)
  • Tous les éléments (sauf les années) des dates relatives à un individu (y compris la date de naissance, la date d'admission, la date de sortie, la date de décès et l'âge exact s'il est supérieur à 89 ans).
  • Numéro de téléphone
  • Numéro de fax
  • Adresse électronique
  • Numéro de sécurité sociale
  • Numéro de dossier médical
  • Numéro de bénéficiaire du régime de santé
  • Numéro de compte
  • Numéro de certificat/licence
  • Tout numéro de série d'un véhicule ou d'un autre appareil
  • Identifiants ou numéros de série des appareils
  • URL du site web
  • Numéros d'adresse du protocole Internet (IP)
  • Empreintes digitales ou vocales
  • Images photographiques
  • Toute autre caractéristique permettant d'identifier l'individu de manière unique

Ce niveau de risque signifie qu'il existe un besoin important de protection et de réglementation des informations électroniques protégées sur la santé, ou ePHI. Les organisations à but non lucratif qui ne respectent pas ces règles s'exposent à des amendes de plusieurs milliers, voire millions, de dollars. Pour éviter cela, voici ce que votre association doit savoir sur l'HIPAA et les données électroniques protégées.

Qui sont les entités couvertes par l'HIPAA ?

L'Office of Civil Rights (OCR) est l'organe directeur de l'HIPAA. Il a créé un tableau qui explique qui est tenu de respecter les règles de l'HIPAA. Ces organisations se répartissent en trois grandes catégories.

  • Fournisseurs de soins de santé - médecins, dentistes, psychologues, cliniques, maisons de retraite ou soins palliatifs.
  • Les compagnies d'assurance maladie - y compris les HMO, les plans de santé d'entreprise et les plans gouvernementaux qui prennent en charge les soins de santé.
  • Centres d'échange d'informations sur les soins de santé

Non seulement l'organisation principale est tenue de respecter les lignes directrices de l'HIPAA, mais les associés commerciaux de l'organisation principale sont également responsables. En tant qu'organisation à but non lucratif, vous n'avez peut-être pas d'accès direct aux patients et à leurs informations de santé, mais si vous entrez en contact avec des données et des identifiants ePHI, vous pouvez être un associé commercial.

Quelles sont les conséquences d'une violation de la loi HIPAA ?

LuxSci a proposé une étude de cas intéressante qui prouve à quel point il est difficile d'identifier les violations de l'ePHI et de l'HIPAA. Supposons qu'une banque de sang envoie une lettre d'information proposant des conseils de traitement pour se rétablir après un don de sang. Si la lettre d'information est envoyée à l'ensemble de la liste de diffusion et fournit des conseils généraux à tous les patients, le HIPAA ne pose pas de problème. En revanche, si la lettre d'information est envoyée exclusivement aux patients qui ont donné du sang, l'association discute techniquement d'antécédents médicaux qui pourraient être utiles à un médecin ou que le patient est réticent à divulguer.
Comme pour la plupart des questions juridiques et d'assurance, il existe de nombreuses zones d'ombre lorsqu'il s'agit de sanctionner les contrevenants à la loi sur la protection des données personnelles. Dans la plupart des cas, le juge examinera l'intention et la connaissance qu'avait l'institution au moment où les informations ont été compromises. Il existe quatre niveaux de violation qu'une organisation à but non lucratif doit connaître.

  • L'organisation ne savait pas (et ne pouvait raisonnablement pas savoir) qu'elle avait enfreint la loi HIPAA. Cela entraîne une pénalité minimale de 100 dollars par infraction.
  • La violation de la loi HIPAA est due à un motif raisonnable et non à une négligence délibérée. La sanction minimale est de 1 000 dollars par infraction.
  • La violation de la loi HIPAA est due à une négligence délibérée, mais elle a été corrigée dans le délai imparti. La sanction minimale est de 10 000 dollars par infraction.
  • La violation de la loi HIPAA est due à une négligence délibérée et n'a pas été corrigée. La sanction minimale est de 50 000 dollars par infraction.

La peine maximale pour ces quatre sanctions est de 50 000 dollars par infraction et l'amende annuelle maximale est de 1,5 million de dollars.

Que peuvent faire les organisations à but non lucratif pour rester conformes à la loi HIPAA ?

Maintenant que vous savez quelles données vous devez protéger, suivez les étapes suivantes pour vous assurer que vous faites tout ce qui est en votre pouvoir pour garder les informations à l'abri des mains des pirates informatiques.

1. Discutez avec votre fournisseur de base de données et votre société de stockage en nuage de la conformité à la loi HIPAA. Ces professionnels doivent comprendre les exigences relatives au maintien de plateformes sécurisées pour les informations et s'efforcer de les sécuriser. N'oubliez pas que si vous traitez des informations médicales, ils sont considérés comme des associés et vous êtes tous deux responsables en cas de violation des données. (Sumac est l'une des bases de données conformes à la loi HIPAA).

2. Mettre en place un système de cryptage pour l'accès aux données ePHI. Cela signifie qu'il faut attribuer des noms d'utilisateur et des mots de passe uniques, n'autoriser le personnel à accéder aux données que sur un réseau sécurisé et investir dans une technologie de cryptage supplémentaire pour vos systèmes.

3. Restreindre l'accès aux informations relatives aux patients et aux bénéficiaires à un petit nombre d'employés. Il s'agit d'un accès numérique où seuls quelques employés disposent d'un identifiant et d'un mot de passe pour accéder aux données, ainsi que d'un accès physique aux salles de serveurs et à tous les fichiers imprimés.

4. Tenez un registre des accès aux fichiers et de leur suivi. En contrôlant ces dossiers, vous pouvez savoir qui a accédé aux informations des patients et quand, et identifier toute activité suspecte ou violation de la sécurité.

5. Créer un plan en cas de violation de la sécurité. Toute entreprise ayant accès à des données ePHI doit disposer d'un plan prévoyant tous les scénarios de défaillance potentiels et la manière d'y remédier. La création et l'exécution de ces plans peuvent faire la différence entre une violation de niveau quatre ou de niveau trois et permettre à votre association d'économiser des millions.
Les gens ont tendance à considérer les violations de l'HIPAA dans un sens grandiose où de grandes quantités d'informations sur les patients sont volées par un mystérieux hacker-mastermind. Cependant, une violation de l'HIPAA peut être aussi simple que l'envoi du dossier d'un patient à la mauvaise adresse électronique ou qu'un stagiaire jetant un coup d'œil à un dossier qu'il ne devrait pas consulter. Dans tous les cas, il incombe à l'organisation à but non lucratif d'agir rapidement pour remédier à la violation de la sécurité et faire en sorte qu'elle ne se reproduise plus jamais.

Qu'est-ce que l'HIPAA ?

Le Health Insurance Portability and Accountability Act (HIPAA) établit la norme en matière de protection des données sensibles des patients. Les entreprises qui traitent des informations de santé protégées (PHI) doivent mettre en place des mesures de sécurité physique, de réseau et de processus et les respecter pour garantir la conformité à la loi HIPAA. Les entités couvertes (toute personne assurant le traitement, le paiement et les opérations dans le domaine des soins de santé) et les associés commerciaux (toute personne ayant accès aux informations relatives aux patients et apportant son soutien au traitement, au paiement ou aux opérations) doivent se conformer à l'HIPAA. D'autres entités, telles que les sous-traitants et tout autre associé commercial connexe, doivent également être en conformité.

HIPAA et les organisations à but non lucratif

L'HIPAA est le plus souvent évoquée dans le contexte des dossiers de données électroniques. C'est également dans ce contexte que les organisations à but non lucratif du secteur de la santé sont confrontées. Lorsque les médecins ont adopté les dossiers médicaux électroniques, il est devenu plus facile pour les patients de changer de médecin, de se rendre aux urgences et de consulter des spécialistes. Malheureusement, cela a également ouvert la porte à de nouveaux risques de sécurité. Ce niveau de risque signifie qu'il y a un grand besoin de protection et de réglementation des informations électroniques protégées sur la santé, ou ePHI. Les organisations à but non lucratif qui ne s'y conforment pas s'exposent à des amendes de plusieurs milliers, voire millions, de dollars. Pour éviter cela, voici ce que votre association doit savoir sur l'HIPAA et les données électroniques protégées.

Comment identifier les données ePHI

Si vous détenez l'une des informations suivantes sur vos clients, membres ou bénéficiaires, vous devez vous conformer à la loi HIPAA :
  • Tout problème de santé passé ou présent - physique ou mental
  • Tout traitement médical passé, présent ou futur prévu
  • toute information relative au paiement passé, présent ou futur de soins médicaux
En plus de ces données, chaque patient est accompagné d'identifiants permettant de faire le lien entre le traitement et les individus. Il s'agit de 18 traits que l'HIPAA recherche pour identifier une personne :
  • Nom
  • Adresse (toutes les subdivisions géographiques inférieures à l'État, y compris l'adresse, la ville, le comté et le code postal)
  • Tous les éléments (sauf les années) des dates relatives à un individu (y compris la date de naissance, la date d'admission, la date de sortie, la date de décès et l'âge exact s'il est supérieur à 89 ans).
  • Numéro de téléphone
  • Numéro de fax
  • Adresse électronique
  • Numéro de sécurité sociale
  • Numéro de dossier médical
  • Numéro de bénéficiaire du régime de santé
  • Numéro de compte
  • Numéro de certificat/licence
  • Tout numéro de série d'un véhicule ou d'un autre appareil
  • Identifiants ou numéros de série des appareils
  • URL du site web
  • Numéros d'adresse du protocole Internet (IP)
  • Empreintes digitales ou vocales
  • Images photographiques
  • Toute autre caractéristique permettant d'identifier l'individu de manière unique

Qui sont les entités couvertes par l'HIPAA ?

L'Office of Civil Rights (OCR) est l'organe directeur de l'HIPAA. Il a créé un tableau qui explique qui est tenu de respecter les règles de l'HIPAA. Ces organisations se répartissent en trois catégories principales.
  • Fournisseurs de soins de santé - médecins, dentistes, psychologues, cliniques, maisons de retraite ou soins palliatifs.
  • Les compagnies d'assurance maladie - y compris les HMO, les plans de santé d'entreprise et les plans gouvernementaux qui prennent en charge les soins de santé.
  • Centres d'échange d'informations sur les soins de santé
Non seulement l'organisation principale est tenue de respecter les lignes directrices de l'HIPAA, mais les associés commerciaux de l'organisation principale sont également responsables. En tant qu'organisation à but non lucratif, vous n'avez peut-être pas d'accès direct aux patients et à leurs informations de santé, mais si vous entrez en contact avec des données et des identifiants ePHI, vous pouvez être un associé commercial.

Quelles sont les conséquences d'une violation de la loi HIPAA ?

LuxSci a proposé un étude de cas intéressante qui prouve à quel point il peut être difficile d'identifier les violations de l'ePHI et de l'HIPAA. Supposons qu'une banque de sang envoie une lettre d'information proposant des conseils de traitement pour se rétablir après un don de sang. Si la lettre d'information est envoyée à l'ensemble de la liste de diffusion et fournit des conseils généraux à tous les patients, le HIPAA ne pose pas de problème. En revanche, si la lettre d'information est envoyée exclusivement aux patients qui ont donné du sang, l'association discute techniquement d'antécédents médicaux qui pourraient être utiles à un médecin ou que le patient est réticent à divulguer. Comme pour la plupart des questions juridiques et d'assurance, il existe de nombreuses zones d'ombre lorsqu'il s'agit de sanctionner les contrevenants à la loi HIPAA. Dans la plupart des cas, le juge examinera l'intention et la connaissance qu'avait l'institution au moment où les informations ont été compromises. Il existe quatre niveaux de violation qu'une organisation à but non lucratif doit connaître.
  • L'organisation ne savait pas (et ne pouvait raisonnablement pas savoir) qu'elle avait enfreint la loi HIPAA. Cela entraîne une pénalité minimale de 100 dollars par infraction.
  • La violation de la loi HIPAA est due à un motif raisonnable et non à une négligence délibérée. La sanction minimale est de 1 000 dollars par infraction.
  • La violation de la loi HIPAA est due à une négligence délibérée, mais elle a été corrigée dans le délai imparti. La sanction minimale est de 10 000 dollars par infraction.
  • La violation de la loi HIPAA est due à une négligence délibérée et n'a pas été corrigée. La sanction minimale est de 50 000 dollars par infraction.
La peine maximale pour ces quatre sanctions est de 50 000 dollars par infraction et l'amende annuelle maximale est de 1,5 million de dollars.

Que peuvent faire les organisations à but non lucratif pour rester conformes à la loi HIPAA ?

Maintenant que vous savez quelles données vous devez protéger, suivez les étapes suivantes pour vous assurer que vous faites tout ce qui est en votre pouvoir pour garder les informations à l'abri des mains des pirates informatiques. 1. Discutez avec votre fournisseur de base de données et votre société de stockage en nuage de la conformité à la loi HIPAA. Ces professionnels doivent comprendre les exigences relatives au maintien de plateformes sécurisées pour les informations et s'efforcer de les sécuriser. N'oubliez pas que si vous traitez des informations médicales, ils sont considérés comme des associés et vous êtes tous deux responsables en cas de violation des données. (Sumac est l'une des bases de données conformes à la loi HIPAA). 2. Mettez en place un système de cryptage pour l'accès aux données ePHI. Cela signifie qu'il faut attribuer des noms d'utilisateur et des mots de passe uniques, n'autoriser le personnel à accéder aux données que sur un réseau sécurisé et investir dans une technologie de cryptage supplémentaire pour vos systèmes. 3. Restreindre l'accès aux informations relatives aux patients et aux bénéficiaires à un petit nombre d'employés. Il s'agit d'un accès numérique où seuls quelques employés possèdent les identifiants et les mots de passe nécessaires pour accéder aux données, ainsi qu'un accès physique aux salles de serveurs et à tous les fichiers imprimés. 4. Tenez un registre des accès aux fichiers et de leur suivi. En contrôlant ces dossiers, vous pouvez voir qui a accédé aux informations des patients et à quel moment, et identifier toute activité suspecte ou violation de la sécurité. 5. Élaborer un plan en cas de faille de sécurité. Toute entreprise ayant accès à des données ePHI devrait disposer d'un plan prévoyant tous les scénarios de défaillance potentiels et la manière dont ils seront résolus. La création et l'exécution de ces plans peuvent faire la différence entre une violation de niveau 4 et une violation de niveau 3, et permettre à votre association de réaliser des économies de plusieurs millions d'euros. Les gens ont tendance à considérer les violations de l'HIPAA dans un sens grandiose où de grandes quantités d'informations sur les patients sont volées par un mystérieux pirate informatique. Cependant, une violation de l'HIPAA peut être aussi simple que l'envoi du dossier d'un patient à la mauvaise adresse électronique ou qu'un stagiaire jetant un coup d'œil à un dossier qu'il n'est pas censé consulter. Dans tous les cas, il incombe à l'organisation à but non lucratif d'agir rapidement pour remédier à la violation de la sécurité et faire en sorte qu'elle ne se reproduise plus jamais.

Recevez plus de blogs comme celui-ci dans votre boîte de réception !

Caché
Caché
Caché
Caché
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

De quoi votre association a-t-elle besoin ?

CRM pour les organisations à but non lucratif

Attendez, ne partez pas les mains vides.

Rejoignez 50 000 autres organisations à but non lucratif et recevez les MEILLEURS conseils, outils et guides pratiques pour les organisations à but non lucratif directement dans votre boîte de réception !

S'abonner à notre lettre d'information :

Caché
Caché
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Cliquez ici