Notre examen de l’historique de l’HIPAA commence le 21 août 1996, lorsque la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) a été promulguée, mais pourquoi la loi HIPAA a-t-elle été formulée ?
La loi HIPAA a été formulée pour » améliorer la portabilité et la responsabilité de la couverture d’assurance maladie » pour les travailleurs qui changent d’emploi. Les autres objectifs de la loi étaient de lutter contre le gaspillage, la fraude et les abus dans l’assurance maladie et la prestation des soins de santé. La loi comprenait également des passages visant à encourager l’utilisation de comptes d’épargne médicale en créant des allégements fiscaux, à fournir une couverture aux employés souffrant de conditions médicales préexistantes et à simplifier l’administration de l’assurance maladie.
Les processus de simplification de l’administration de l’assurance maladie sont devenus un moyen d’encourager l’industrie des soins de santé à informatiser les dossiers médicaux des patients. Cette partie spécifique de la loi a donné naissance à la loi sur les technologies de l’information sur la santé pour la santé économique et clinique (HITECH) en 2009, qui a ensuite abouti à l’introduction du programme d’incitation Meaningful Use – décrit par les dirigeants du secteur des soins de santé comme « le plus important texte de loi sur les soins de santé à être adopté au cours des 20 à 30 dernières années ».
Les règles de confidentialité et de sécurité de l’HIPAA commencent à évoluer
Une fois que l’HIPAA a été promulguée en tant que loi, le département américain de la santé et des services sociaux a entrepris d’élaborer les premières règles de confidentialité et de sécurité de l’HIPAA. La règle de confidentialité avait une date de conformité effective le 14 avril 2003, et elle faisait référence aux informations de santé protégées (PHI) comme « toute information détenue par une entité couverte qui est liée à l’état de santé, à la fourniture de soins de santé, ou au paiement de soins de santé qui peuvent être liés à un individu ».
Des instructions ont été mises à disposition sur la façon dont les PHI doivent être partagés et que la permission doit être reçue des patients avant d’utiliser leurs données personnelles pour le marketing, la collecte de fonds ou la recherche. Il a également donné aux patients la permission de ne pas divulguer les informations sur leurs soins de santé aux prestataires d’assurance maladie lorsque leur traitement est financé par des fonds privés.
La règle de sécurité HIPAA est devenue applicable deux ans après la législation initiale, le 21 avril 2005. Se référant spécifiquement aux PHI stockés électroniquement (ePHI), la règle de sécurité a défini trois mesures de sécurité – administrative, physique et technique – qui doivent être respectées intégralement pour se conformer à l’HIPAA. Les mesures de sécurité avaient ces objectifs :
- Administratif – développer des politiques et des processus mis en place pour indiquer clairement comment l’entité se conformera à la loi.
- Physiques – gérer l’accès physique aux zones de stockage des données pour les protéger contre tout accès inapproprié
- Techniques – sauvegarder les communications, y compris les RPS, lorsqu’elles sont envoyées électroniquement sur des réseaux ouverts
Quand l’HIPAA est-il devenu exécutoire ?
En quelle année l’HIPAA a-t-il été promulgué ? L’HIPAA a été promulgué en tant que loi le 21 août 1996, mais des modifications importantes ont été apportées à l’HIPAA au cours des 20 dernières années : L’introduction de la règle de confidentialité, de la règle de sécurité, de la règle de notification des brèches et de la règle finale omnibus.
Les dates d’entrée en vigueur les plus importantes sont : Le 14 avril 2003 pour la règle de confidentialité HIPAA, bien qu’il y ait eu une extension de 12 mois pour les petits plans de santé, qui devaient adhérer aux dispositions de la règle de confidentialité HIPAA avant le 14 avril 2004.
La date de conformité effective pour la règle de sécurité HIPAA était le 21 avril 2005. Comme pour la règle de confidentialité de l’HIPAA, les petits plans de santé ont bénéficié d’une année supplémentaire pour adhérer aux dispositions de la règle de sécurité de l’HIPAA et ont eu une date de conformité effective le 21 avril 2006.
La règle de notification des violations de l’HIPAA est devenue exécutoire le 23 septembre 2009 et la règle finale omnibus est devenue exécutoire le 26 mars 2013.
La promulgation de la règle d’application
L’échec de nombreuses tenues couvertes à adhérer pleinement aux règles de confidentialité et de sécurité de l’HIPAA a conduit à l’introduction de la règle d’application en mars 2006. Cette règle a donné au ministère de la santé et des services sociaux le pouvoir d’examiner les plaintes déposées contre les entités couvertes pour non-respect de la règle de confidentialité, et d’infliger des amendes aux entités couvertes pour des violations évitables des données personnelles électroniques dues au non-respect des mesures de sécurité établies par la règle de sécurité.
Le bureau des droits civils du ministère a également reçu le pouvoir d’engager des poursuites pénales contre les récidivistes qui ne prennent pas de mesures correctives dans les 30 jours. Les personnes ont également le droit d’intenter une action en justice civile contre l’entité couverte si leurs informations personnelles sur les soins de santé ont été partagées sans leur permission si cela leur cause un « préjudice grave ».
HITECH 2009 et la Breach Notification Rule
L’histoire de l’HIPAA s’est accélérée en 2009 avec l’introduction de la loi sur les technologies de l’information sur la santé économique et clinique (HITECH). HITECH avait pour objectif principal de contraindre les autorités de santé à mettre en place l’utilisation des dossiers médicaux électroniques (DME) et a promulgué le programme incitatif Meaningful Use. La première étape de Meaningful Use a été introduite l’année suivante, incitant les groupes de soins de santé à conserver les informations de santé protégées des patients au format électronique, au lieu des fichiers papier.
Avec le programme d’incitation, il y a également eu une extension des règles HIPAA aux associés commerciaux et aux fournisseurs tiers du secteur des soins de santé, ainsi que l’introduction de la règle de notification des violations – qui stipule que toutes les violations des ePHI affectant plus de 500 personnes doivent être portées à la connaissance de l’Office for Civil Rights du Department of Health and Human Services. Les critères de notification des brèches d’ePHI ont ensuite été étendus dans la Final Omnibus Rule de mars 2013.
La Final Omnibus Rule de 2013
Le dernier acte législatif de l’histoire de l’HIPAA a été la Final Omnibus Rule de 2013. Cette règle n’a pas vraiment introduit de nouvelle législation, mais a comblé les lacunes des réglementations HIPAA et HITECH existantes – par exemple, en précisant les normes de cryptage qui doivent être appliquées pour rendre les ePHI inutilisables, indéchiffrables et illisibles en cas de survenance d’une violation.
Plusieurs définitions ont été modifiées ou étendues afin d’aborder les zones grises – par exemple, la définition de la « main-d’œuvre » a été modifiée afin de préciser que le terme inclut les employés, les bénévoles, les stagiaires et les autres personnes dont la conduite, dans l’exécution d’un travail pour une entité couverte ou un associé commercial, est sous la gestion directe de l’entité couverte ou de l’associé commercial.
Les règles de confidentialité et de sécurité ont également été modifiées pour permettre de conserver indéfiniment les informations de santé des patients (la législation précédente stipulait qu’elles devaient être conservées pendant 50 ans), tandis que de nouvelles procédures ont été ajoutées à la règle de notification des violations. De nouvelles pénalités ont également été appliquées – comme dicté par HITECH – aux tenues couvertes qui ne respectaient pas la règle d’application de l’HIPAA.
Des modifications ont également été incluses pour prendre en compte l’évolution des pratiques de travail induite par les avancées technologiques, couvrant notamment l’utilisation des appareils mobiles. Un nombre important de professionnels de la santé utilisent désormais leurs propres appareils mobiles pour consulter et partager les ePHI, et la Final Omnibus Rule a inclus de nouvelles procédures et politiques administratives pour en tenir compte, et pour inclure des scénarios qui n’auraient pas pu être prévus en 1996. Le texte complet de la Final Omnibus Rule peut être consulté ici.
Après un certain nombre de retards, la date limite pour l’utilisation par les États-Unis de la Clinical Modification ICD-10-CM pour le codage des diagnostics et du Procedure Coding System ICD-10-PCA pour le codage des procédures hospitalières des patients hospitalisés a finalement été fixée au 1er octobre 2015. Toutes les tenues couvertes par l’HIPAA doivent utiliser l’ICD-10-CM. Une autre exigence est celles de la version 5010 de l’EDI.
Historique de l’HIPAA Dates importantes
- Août 1996 – HIPAA promulgué par le président Bill Clinton.
- Avril 2003 – Date d’entrée en vigueur de la règle de confidentialité de l’HIPAA.
- Avril 2005 – Date d’entrée en vigueur de la règle de sécurité de l’HIPAA.
- Mars 2006 – Date d’entrée en vigueur de la HIPAA Breach Enforcement Rule.
- Septembre 2009 – Date d’entrée en vigueur de HITECH et de la Breach Notification Rule.
- Mars 2013 – Date d’entrée en vigueur de la Final Omnibus Rule.
Certains CE et BA ont bénéficié d’un délai pour adhérer aux dispositions de chaque règle. Par exemple, malgré le fait que la date d’entrée en vigueur de la règle omnibus finale était mars 2013, les EC et les BA ont eu 180 jours pour se conformer.
L’impact de la règle omnibus finale
Ce que la règle omnibus finale a accompli plus que toute législation antérieure, c’est de rendre les entités couvertes plus conscientes des mesures de protection HIPAA auxquelles elles devaient se conformer. De nombreuses entités de soins de santé – qui étaient en infraction avec l’HIPAA depuis près de 20 ans – ont mis en œuvre un certain nombre de mesures pour se conformer à la réglementation, comme l’utilisation du cryptage des données sur les appareils portables et les réseaux informatiques, l’utilisation de solutions de messagerie sécurisées pour les communications internes avec les équipes de soins, la mise en place de filtres web et un plus grand soin apporté à l’archivage sécurisé des e-mails.
Les pénalités financières désormais sanctionnées pour les violations de données ainsi que les coûts énormes liés à l’émission de notifications de violation, à la fourniture de services de surveillance du crédit et à la conduite de la réduction des dommages font que l’investissement dans les nouvelles technologies pour protéger les données semble bon marché en comparaison.
Le programme d’audit de conformité HIPAA
En 2011, le Bureau des droits civils a commencé une série d’audits de conformité pilotes pour examiner dans quelle mesure les fournisseurs de soins de santé se conformaient aux règles de confidentialité et de sécurité HIPAA. Le premier trouvé des audits a été terminé en 2012 et a mis en évidence l’état choquant de la conformité des soins de santé.
Les groupes audités ont enregistré de nombreuses violations de la règle HIPAA Breach Notification, de la règle de confidentialité et de la règle de sécurité, cette dernière entraînant le plus de violations. L’OCR a publié des plans d’action pour aider ces organisations à se mettre en conformité ; cependant, pour la deuxième phase d’audits, on ne s’attend pas à ce qu’il soit aussi indulgent.
Les audits devraient se concentrer sur des domaines spécifiques qui se sont avérés problématiques pour tant de prestataires de soins de santé, tandis qu’un plan d’audit permanent est prévu pour assurer une conformité HIPAA permanente. L’ère des normes de sécurité laxistes est désormais révolue et l’arène des soins de santé, comme le secteur financier avant elle, doit améliorer les normes pour garantir que les données confidentielles restent privées.
Toute entité couverte qui n’adapte pas les contrôles nécessaires risque des pénalités financières, des sanctions, une perte potentielle de licence et même des condamnations pénales pour ne pas avoir sécurisé les ePHI.
Comment assurer une conformité totale à l’HIPAA
Notre « liste de contrôle de conformité à l’HIPAA » couvre les facettes de la loi sur la portabilité et la responsabilité en matière d’assurance santé relatives au stockage, à la transmission et à l’élimination des informations de santé protégées électroniques, les actions que les tenues doivent prendre pour traiter une violation et les politiques et procédures qui doivent être utilisées pour atteindre une conformité totale.
Les réglementations de l’HIPAA peuvent être strictes, pourtant les tenues couvertes ont droit à une certaine flexibilité sur les mesures de confidentialité et de sécurité utilisées pour protéger les données. Le cryptage des données, par exemple, doit être abordé mais pas nécessairement mis en œuvre si d’autres contrôles permettent d’assurer la protection requise.