La Health Insurance Portability and Accountability Act est en vigueur depuis 1996. Elle exigeait l'élaboration de normes nationales pour protéger la vie privée des patients. En vertu de cette loi fédérale, les renseignements médicaux protégés (PHI) d'un patient ne peuvent être partagés ou utilisés à son insu ou sans son consentement.

Des lois aussi vastes et complexes que la HIPAA rencontreront des problèmes. Non-respect de la loi HIPAA sont attendus et inévitables. Même l'établissement le plus compétent ou le personnel hautement qualifié commettra des erreurs. Les violations mineures sont normales pour le parcours et résolues rapidement.

Une violation de données est une autre affaire. Un rapport indique qu'environ 250 millions d'Américains ont été touchés par des failles de sécurité de 2005 à 2019. Les violations dues à l'erreur humaine et au manque de formation peuvent également causer de graves problèmes aux organisations de soins de santé et aux patients.

Non-respect de la loi HIPAA peut être évité. Cet article traitera des questions fréquemment posées sur les violations HIPAA. Les informations fournies aideront, espérons-le, les entreprises à se conformer à la loi HIPAA.

Qu'est-ce qu'une infraction HIPAA ?

Une violation HIPAA est un manquement d'une entité couverte ou d'un associé commercial à suivre les règles HIPAA. Les normes et les dispositions de cette loi sont expliquées dans les parties 45, 160 et 162 du 164 CFR.

Les violations de la loi HIPAA se produisent essentiellement lorsque la collecte, l'accès, l'utilisation, le partage ou la discussion d'informations de santé protégées met le patient en danger.

L'HIPAA a plusieurs règles spécifiques que chaque organisation de soins de santé, travailleur et partenaire commercial doit apprendre et respecter. Ceux-ci sont:

• Règle de confidentialité HIPAA
• Règle de sécurité HIPAA
• Règle d'application HIPAA
• Loi HITECH
• Règle omnibus HIPAA

Quelles sont les infractions les plus courantes ?

Les violations HIPAA varient. La plus courante implique l'utilisation et la divulgation de RPS. Mais il existe d'autres infractions qu'un associé commercial ou une entité couverte peut commettre. Voici des exemples de violations courantes de la loi HIPAA :

• Accès, divulgation ou utilisation inappropriés de renseignements personnels sur la santé
• Accès non autorisé aux RPS
• Mauvaise élimination des RPS
• Ne pas effectuer d'analyses de risques appropriées
• Ne pas surveiller les risques pour la disponibilité, la confidentialité et l'intégrité des RPS
• Ne pas mettre en œuvre des mesures préventives pour assurer la disponibilité, la confidentialité et l'intégrité des RPS
• Ne pas surveiller et maintenir les journaux d'accès aux PHI
• Ne pas obtenir un accord d'associé commercial (BAA) conforme à la HIPAA avant de partager les PHI
• Ne pas rendre compte aux patients des divulgations demandées
• Ne pas mettre fin aux droits d'accès des travailleurs aux RPS lorsqu'ils ne font plus partie de l'entreprise
• Ne pas fournir la formation obligatoire de sensibilisation à la sécurité
• Partager le PHU sur les réseaux sociaux sans l'autorisation écrite du patient
• Envoyer des SMS non cryptés PHI
• Échec du chiffrement des PHI

Que se passe-t-il lorsqu'une entreprise ou des individus enfreignent les règles HIPAA ?

Ce qui se passe lorsqu'une personne enfreint les règles HIPAA dépend du type de violation et de sa gravité. Il y a quatre conséquences possibles :

• L'entreprise traitera la violation en interne.
• Le contrat du contrevenant sera résilié.
• L'entreprise ou l'employé sera sanctionné par des commissions professionnelles.
• L'entreprise ou l'employé fera face à des accusations criminelles. L'enquête sur l'infraction peut entraîner des amendes ou des peines d'emprisonnement.

Plusieurs facteurs détermineront les conséquences des violations de la loi HIPAA. L'organisation concernée, les régulateurs fédéraux, les commissions professionnelles, le Bureau des droits civils (OCR) et le ministère de la Justice prendront en considération les éléments suivants :

• Nature de la violation HIPAA
• S'il y a une indication claire que les règles HIPAA ont été violées ou que des recherches menées ont révélé qu'une infraction s'est produite
• Une action est entreprise pour corriger l'erreur
• Preuve que la violation des règles HIPAA a été commise avec une intention malveillante ou pour un gain personnel
• Preuve du préjudice causé par l'infraction
• Nombre de personnes concernées par la violation de la loi HIPAA
• Preuve de la violation des dispositions pénales de l'HIPAA

En tant qu'organisme chargé de l'application de la loi HIPAA, l'OCR enquêtera sur les violations présumées de la loi HIPAA telles que signalées par les organisations de soins de santé et les patients. Le département enquête également sur les plaintes contre les entités couvertes. Les procureurs généraux des États peuvent également enquêter sur les rapports de violation de données.

Quelles sont les sanctions pour les violations HIPAA ?

Non-respect de la loi HIPAA relèvent de deux catégories – civiles ou pénales. Chaque catégorie a sa structure de pénalité.

• Sanctions civiles : elles s'appliquent aux cas où la violation s'est produite sans intention malveillante. Par exemple, l'employé ne savait pas que son action était mauvaise. Les erreurs causées par l'inattention ou la négligence relèvent également de cette structure de sanctions. Cela peut coûter à l'individu entre 100 $ et 50,000 XNUMX $ en amendes.
• Sanctions pénales : les violations de la loi HIPAA commises avec une intention malveillante entrent dans cette catégorie. Une personne qui accède et partage sciemment des RPS peut être condamnée à une amende de 50,000 250,000 $ et à une peine d'emprisonnement d'un an. La pénalité pour les violations commises pour des gains personnels, comme la vente de PHI, peut être de 10 XNUMX $ en amendes et une peine de prison de XNUMX ans.

Source : Platon Data Intelligence : PlatoData.io