La loi sur la portabilité et la responsabilité en matière d’assurance maladie de 1996 (HIPAA)

La loi sur la portabilité et la responsabilité en matière d’assurance maladie de 1996 (HIPAA) est une loi fédérale qui a exigé la création de normes nationales pour protéger les informations sensibles sur la santé des patients contre la divulgation sans le consentement ou la connaissance du patient. Le ministère américain de la santé et des services sociaux (HHS) a publié la règle de confidentialité HIPAA pour mettre en œuvre les exigences de l’HIPAA. La règle de sécurité de l’HIPAA protège un sous-ensemble d’informations couvertes par la règle de confidentialité.

Règle de confidentialité de l’HIPAA

Les normes de la règle de confidentialité traitent de l’utilisation et de la divulgation des informations de santé des individus (appelées « informations de santé protégées ») par les entités soumises à la règle de confidentialité. Ces personnes et organisations sont appelées « entités couvertes ». La règle de confidentialité contient également des normes relatives aux droits des personnes à comprendre et à contrôler la manière dont leurs informations de santé sont utilisées. L’un des principaux objectifs de la règle de confidentialité est de garantir que les informations de santé des individus sont correctement protégées tout en permettant la circulation des informations de santé nécessaires pour fournir et promouvoir des soins de santé de haute qualité et pour protéger la santé et le bien-être du public. La règle de confidentialité établit un équilibre qui permet des utilisations importantes des informations tout en protégeant la vie privée des personnes qui recherchent des soins et la guérison.

Haut de la page

Entités couvertes

Les types de personnes et d’organisations suivants sont soumis à la règle de confidentialité et considérés comme des entités couvertes :

  • Fournisseurs de soins de santé : Tout prestataire de soins de santé, quelle que soit la taille de son cabinet, qui transmet par voie électronique des informations de santé dans le cadre de certaines transactions. Ces transactions comprennent les demandes de remboursement, les demandes d’admissibilité aux prestations, les demandes d’autorisation d’aiguillage et d’autres transactions pour lesquelles le HHS a établi des normes en vertu de la règle sur les transactions de l’HIPAA.
  • Plans de santé : Entités qui fournissent ou paient le coût des soins médicaux. Les plans de santé comprennent les assureurs de soins de santé, de soins dentaires, de soins de la vue et de médicaments sur ordonnance ; les organisations de maintien de la santé (HMO) ; les assureurs Medicare, Medicaid, Medicare+Choice et Medicare supplement ; et les assureurs de soins de longue durée (à l’exclusion des politiques d’indemnisation fixe des maisons de soins infirmiers). Les plans de santé comprennent également les plans de santé collectifs parrainés par l’employeur, les plans de santé parrainés par le gouvernement et l’église, et les plans de santé multi-employeurs.
    • Exception : Un plan de santé collectif comptant moins de 50 participants qui est administré uniquement par l’employeur qui a établi et maintient le plan n’est pas une entité couverte.
  • Centres d’échange de soins de santé : Entités qui traitent les informations non standard qu’elles reçoivent d’une autre entité pour en faire une norme (c’est-à-dire un format ou un contenu de données standard), ou vice versa. Dans la plupart des cas, les chambres de compensation de soins de santé recevront des informations de santé identifiables individuellement uniquement lorsqu’elles fournissent ces services de traitement à un plan de santé ou à un prestataire de soins de santé en tant qu’associé commercial.
  • Associés commerciaux : Une personne ou une organisation (autre qu’un membre du personnel d’une entité couverte) utilisant ou divulguant des informations de santé identifiables individuellement pour exécuter ou fournir des fonctions, des activités ou des services pour une entité couverte. Ces fonctions, activités ou services comprennent le traitement des demandes, l’analyse des données, l’examen de l’utilisation et la facturation.

Haut de la page

Utilisations et divulgations autorisées

Une entité couverte est autorisée, mais non tenue, d’utiliser et de divulguer des renseignements médicaux protégés, sans l’autorisation d’une personne, aux fins ou dans les situations suivantes :

  • Divulgation à la personne (si l’information est requise pour l’accès ou la comptabilité des divulgations, l’entité DOIT divulguer à la personne)
  • Traitement, paiement et opérations de soins de santé
  • Opportunité d’accepter ou de s’opposer à la divulgation des RPS (Une permission informelle peut être obtenue en demandant carrément à la personne, ou par des circonstances qui donnent clairement à l’individu la possibilité d’accepter, d’acquiescer ou de s’opposer)
  • Incident d’une utilisation et d’une divulgation autrement autorisées
  • Activités d’intérêt et de bénéfice publics-La règle de confidentialité permet l’utilisation et la divulgation d’informations de santé protégées, sans l’autorisation ou la permission d’un individu, pour 12 objectifs prioritaires nationauxicône externe :
  1. Lorsque la loi l’exige
  2. Activités de santé publique
  3. Victimes d’abus ou de négligence ou de violence domestique
  4. Activités de surveillance de la santé
  5. Procédures judiciaires et administratives
  6. Application de la loi
  7. Fonctions (telles que l’identification) concernant les personnes décédées
  8. Don d’organes, des yeux ou des tissus
  9. La recherche, dans certaines conditions
  10. Pour prévenir ou atténuer une menace grave pour la santé ou la sécurité
  11. Fonctions gouvernementales essentielles
  12. Indemnisation des travailleurs
  • Ensemble de données limité pour la recherche, la santé publique, ou les opérations de soins de santé
Haut de la page

Règle de sécurité HIPAA

Alors que la règle de confidentialité HIPAA protège les informations de santé protégées (PHI), la règle de sécurité protège un sous-ensemble d’informations couvertes par la règle de confidentialité. Ce sous-ensemble est constitué de toutes les informations de santé identifiables individuellement qu’une entité couverte crée, reçoit, conserve ou transmet sous forme électronique. Ces informations sont appelées « informations sanitaires protégées électroniques » (e-PHI). La règle de sécurité ne s’applique pas aux PHI transmises oralement ou par écrit.

Pour se conformer à la règle de sécurité HIPAA, toutes les entités couvertes doivent faire ce qui suit :

  • Assurer la confidentialité, l’intégrité et la disponibilité de toutes les informations de santé protégées électroniques
  • Détecter et protéger contre les menaces anticipées à la sécurité des informations
  • Protéger contre les utilisations ou divulgations inadmissibles anticipées
  • Certifier la conformité de leur personnel

Les entités couvertes doivent s’appuyer sur l’éthique professionnelle et le meilleur jugement lors de l’examen des demandes pour ces utilisations et divulgations permissives. Le bureau des droits civils du HHS fait respecter les règles de l’HIPAA, et toutes les plaintes doivent être signalées à ce bureau. Les violations de l’HIPAA peuvent entraîner des sanctions pécuniaires civiles ou pénales.

Pour plus d’informations, visitez le site Web HIPAA du ministère de la Santé et des Services sociauxIcône externe.

Haut de la page
Learn More

HHIPAA EnforcementIcône externe. Département américain de la santé et des services sociaux.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *