Qu'est-ce qui rend la conformité HIPAA si difficile ?

Les conséquences de ne pas déployer et maintenir des mesures de conformité HIPAA efficaces ont été très claires ces dernières années. Semi-lié est également le problème des hôpitaux et des cabinets médicaux utilisant des technologies et des solutions obsolètes qui rendent difficile le respect de la conformité en matière de santé dans son ensemble.

Les violations de données qui exposent massivement les informations de santé des patients, et les attaques de ransomware qui compromettent sérieusement la capacité des organisations de santé à fournir des services, sont deux des exemples les plus récents de technologies obsolètes causant des problèmes. En mettant de côté les dommages monétaires que le non-respect entraîne pour une organisation de santé, l'impact que ces événements ont sur sa réputation est encore plus préoccupant.

Ne pensez-vous pas que votre organisation doit se conformer à HIPAA ? Quatre types d'entreprises de santé doivent être conscientes et respecter la réglementation HIPAA : les régimes de santé, les centres de traitement des données de santé, les prestataires de soins de santé et les partenaires commerciaux. (Ne pas réaliser que votre entreprise n'est pas conforme ou que cette réglementation existe même ne peut plus être utilisé comme une défense raisonnable si votre entreprise est sanctionnée.)

Toute entreprise qui entre dans ces quatre types collecte, traite et stocke régulièrement des données médicales et financières des patients. Déjà submergée par d'énormes quantités de données, l'une de ces entreprises peut involontairement compromettre les données des patients ou le réseau de santé sans l'aide d'un logiciel de conformité spécifique à HIPAA ou d'une agence de conseil.  

Cependant, ce n'est pas parce qu'une organisation ou une entreprise de santé a décidé de faire des efforts sérieux vers la conformité HIPAA que c'est un processus facile. Et donc, nous avons compilé une liste de contrôle que vous pouvez utiliser pour transformer votre organisation en une organisation délibérément et résolument conforme.  

Liste de contrôle de conformité HIPAA

Il y a quatre composants de cette liste de contrôle :

1. Effectuer une évaluation complète des risques de votre organisation — Tout d'abord, vous devez comprendre comment HIPAA s'applique à votre pratique, établissement ou entreprise spécifique. Vous le faites en effectuant une évaluation des risques pour comprendre les faiblesses, les vulnérabilités potentielles et les lacunes dans les mesures existantes. Vous pouvez effectuer des auto-audits réguliers ou vous pouvez engager une agence de conseil pour auditer votre organisation. L'objectif final est d'identifier quels éléments de HIPAA vous risquez de ne pas respecter.
2. Remédiation — Une fois que vous avez identifié les lacunes et les risques de conformité, vous devez créer des plans pour vous assurer que ces problèmes sont résolus. À noter : les plans de remédiation ne peuvent pas être génériques. Les plans doivent être adaptés aux différentes règles HIPAA qui existent ; les politiques et procédures varient selon que vous respectez la règle de confidentialité HIPAA, la règle de sécurité HIPAA ou la règle de notification de violation HIPAA. (Nous discuterons de ces différentes règles et sauvegardes plus bas.)
3. Surveiller, rapporter et former — Les solutions de conformité HIPAA offrent des rapports de conformité automatisés, ce qui est utile pour des tâches telles que l'identification, le suivi, l'enquête et le rapport des incidents. Les différentes règles HIPAA nécessitent soit des sauvegardes administratives, physiques ou techniques, toutes rendues beaucoup plus faciles avec des outils qui automatisent les responsabilités de surveillance et de rapport. De plus, la conformité en matière de santé de tout type n'est efficace que si chaque membre du personnel et employé participe. La formation est cruciale et essentielle pour s'assurer que vos efforts de conformité soigneusement préparés sont maintenus.
4. Gestion continue — La documentation est nécessaire pour prouver que votre organisation suit les efforts de conformité. Des organisations comme les Centers for Medicare & Medicaid Services (CMS), l'ONC (Office of the National Coordinator for Health Information Technology), et le HHS (U.S. Department of Health and Human Services) auditent régulièrement les prestataires de soins de santé et les partenaires commerciaux pour s'assurer qu'ils restent en conformité, année après année. De plus, gérer et évaluer continuellement les risques aidera à garder vos sauvegardes en parfait état.

Règles à suivre (toujours)

Il y a quatre règles de HIPAA que les organisations de santé suivent, quel que soit le type d'entreprise. Les règles de confidentialité et de sécurité doivent être respectées à tout moment. Elles sont accompagnées de trois sauvegardes. Les règles d'application et de notification de violation établissent des cadres post-incidents.

1. Règle de confidentialité HIPAA — La règle de confidentialité protège toutes les informations de santé identifiables individuellement qui sont partagées avec ou stockées par des organisations ou des entreprises. La règle de confidentialité protège les informations de santé protégées (PHI), à la fois électroniquement (ePHI) et sur papier, et donne également aux patients des droits sur l'accès et le partage de leurs propres informations de santé personnelles. Les types d'organisations qui prennent un soin particulier de la règle de confidentialité sont : les prestataires de soins de santé, les centres de traitement des données de santé, et toute entreprise qui utilise les données des patients.
2. Règle de sécurité HIPAA — La règle de sécurité protège les ePHI des individus ; la règle fixe spécifiquement des paramètres autour de la création, du partage et du stockage de ces informations de santé. Maintenir la confidentialité tout en régulant l'accès à ces données sont des aspects cruciaux que la règle de sécurité s'assure que les organisations de santé ont. La règle de sécurité aide les organisations à identifier les lacunes de sécurité qui peuvent ensuite être abordées via diverses sauvegardes adaptées aux normes différentes des organisations.

Sauvegardes

Les sauvegardes existent pour prévenir le partage non autorisé ou illégal de PHI, que ce partage ait été fait intentionnellement ou non. En fin de compte, ces sauvegardes existent pour protéger les informations des patients, mais elles sont également destinées à protéger l'organisation de santé de compromettre leurs efforts de conformité.

• Sauvegardes administratives — Les sauvegardes administratives aident à établir des politiques et procédures internes via des processus de gestion de la sécurité, une formation à la sensibilisation à la sécurité, et une planification de la continuité. Le personnel médical et les employés doivent pouvoir se référer à ces politiques pour réduire toute violation involontaire de la confidentialité des patients. La documentation est essentielle pour mettre en œuvre des sauvegardes administratives efficaces ; tout comme l'accès facile à cette documentation par les employés.
• Sauvegardes techniques — Les sauvegardes techniques aident à formuler la règle de sécurité HIPAA via le contrôle d'accès, le contrôle d'audit et l'authentification des entités. Avec les sauvegardes techniques, les organisations de santé peuvent assurer la sécurité et l'intégrité des ePHI. De plus, les sauvegardes techniques surveillent l'accès des utilisateurs aux systèmes de stockage des ePHI.  
• Sauvegardes physiques — Les sauvegardes physiques comme les contrôles ordonnant l'accès aux installations et l'utilisation des appareils et des médias aident à guider la création des politiques qui protègent les systèmes électroniques qui hébergent les ePHI. Avec les sauvegardes physiques, à la fois l'établissement de santé et les employés peuvent comprendre et prévenir les menaces potentielles et les actions non autorisées qui compromettront le maintien de la confidentialité des patients.  

Règles à suivre après un incident 

1. Règle d'application HIPAA — La règle d'application établit et applique les procédures qui doivent être suivies une fois qu'une possible violation HIPAA est déterminée. La règle d'application fournit les procédures qui aident les organisations de santé à naviguer dans les amendes et pénalités qui peuvent leur être infligées si cette violation nécessite une conséquence après enquête. La règle d'application n'est mise en mouvement que lorsque le département de la Santé et des Services sociaux décide d'enquêter sur votre organisation.
2. Règle de notification de violation HIPAA — La règle de notification de violation s'assure que les organisations de santé informent les patients après que les PHI ont été compromises. Une violation de PHI ne devrait se produire que si votre organisation n'est pas conforme à la règle de confidentialité HIPAA, par exemple, vous n'avez pas réussi à sécuriser les informations de vos patients.

Équiper votre établissement de santé avec les outils et ressources pour maintenir la conformité HIPAA est une mesure difficile mais nécessaire. Employer des solutions comme des systèmes de messagerie conformes à HIPAA peut protéger l'hôpital ou le cabinet médical de s'ouvrir accidentellement à la responsabilité alors qu'ils ne font qu'envoyer un e-mail de confirmation de rendez-vous à leur patient. Les organisations doivent considérer les avantages et les inconvénients de maintenir la sécurité et la confidentialité des patients par rapport à suivre la technologie qui permet aux patients d'avoir un accès régulier à leurs propres informations de santé. Avec des applications mobiles comme Apple Health Records et des gestionnaires de diabète ou des traceurs de glucose créant ce qui est essentiellement de nouvelles technologies médicales et DME, la ligne entre le partage et l'accès aux données de santé des patients, par rapport au respect des lois sur la divulgation médicale, est devenue floue.

Comment respecter la conformité HIPAA

Maintenant que vous connaissez les différents composants qui entrent dans la conformité HIPAA, comment allez-vous la respecter ?

Voici quatre règles qui vous aideront à créer et à cocher une liste de contrôle de conformité HIPAA :

1. Standardiser la documentation et la communication cliniques — Le codage est crucial pour que les professionnels de la santé documentent et transmettent les notes des patients. Des ensembles de codes spécifiques existent pour rationaliser la cartographie, unifier la communication en matière de santé et encoder les transmissions. Quelques exemples courants de codes médicaux incluent : NDC (National Drug Codes) pour l'identification et la distribution des médicaments ; ICD-10-CM (International Classification of Diseases, Tenth Revision, Clinical Modification) pour le diagnostic des symptômes ; et HCPCS (Healthcare Common Procedure Coding System/CPT (Current Procedural Terminology) pour la facturation médicale. La plupart des DME automatisent le formatage de l'encodage. Assurez-vous que votre établissement est à jour dans les meilleures pratiques de codage.
2. Enregistrement NPI — NPI (National Provider Identifier) est un numéro à 10 chiffres utilisé par les régimes de santé, les prestataires de soins de santé et les centres de traitement des données de santé pour vérifier et valider les transactions financières. HIPAA impose l'utilisation de NPI uniques lors de la transmission de données de santé, donc votre pratique doit obtenir et utiliser des NPI pour se différencier d'autres praticiens portant des noms similaires.  
3. Meilleures pratiques de confidentialité des patients — Développez des procédures de confidentialité pour votre établissement, et désignez soit une personne de référence pour surveiller leur mise en œuvre, soit créez une base de données facilement accessible de ces politiques. Maintenez un enregistrement des PHI de votre établissement, en particulier les scénarios d'utilisation et de divulgation autorisés des PHI, et assurez-vous que votre organisation exige à la fois une formation continue sur ces procédures de confidentialité et des évaluations régulières des risques sur l'intégrité de vos sauvegardes de sécurité.
4. Planification de la continuité — Votre organisation de santé doit être prête à faire face à tout incident ou violation qui enfreint HIPAA. Que votre pratique viole réellement ou non HIPAA, il est préférable d'établir des procédures qui s'alignent sur les règles d'application et de notification de violation HIPAA. Plus votre organisation est préparée, plus elle sera équipée pour faire face aux enquêtes.