L’histoire de HIPAA

Introduction à HIPAA

La conformité HIPAA est une cible en mouvement. Pour comprendre où se déplace HIPAA, vous devez d’abord comprendre pourquoi il a commencé et comment il s’est développé. Si vous êtes intéressé à apprendre une (brève) histoire de HIPAA, lisez la suite!

Le Healthcare Insurance Portability and Accountability Act (HIPAA) a été promulgué en 1996 et est depuis connu comme l’une des lois de santé les plus influentes aux États-Unis. La loi HIPAA a été modifiée à de nombreuses reprises au cours des 23 dernières années, chaque amendement l’élargissant lentement à la loi qui nous est reconnaissable aujourd’hui.

Chronologie de l’adoption

La loi a été adoptée sous la présidence de Bill Clinton, le 21 août 1996, avec pour principaux objectifs d’aider plus d’Américains à obtenir une couverture d’assurance maladie et de garantir que les employés ne perdraient pas leur couverture d’assurance maladie pendant qu’ils changeaient d’emploi. Le passage de HIPAA est également considéré comme le début de la modernisation du flux d’informations au sein de l’industrie de la santé. La loi chargeait le Secrétaire à la Santé et aux Services sociaux (SSH) d’établir des normes réglementaires pour la confidentialité des renseignements importants sur la santé, ce qui jetait les bases de la Règle de sécurité et de la Règle de confidentialité.

L’historique de la Règle de sécurité

Seulement 2 ans après la promulgation de la loi HIPAA, HHS a proposé la Règle de sécurité. Le but de cette modification était d’améliorer la protection des renseignements sur la santé d’une personne qui sont partagés entre les fournisseurs de soins de santé, les régimes de soins de santé et d’autres organisations. Bien que cette règle ait été proposée en 1998, ce n’est que 5 ans plus tard qu’elle a été finalisée, ce qui a donné aux organisations le temps de se conformer.

La Règle de confidentialité et PHI

Une autre étape importante dans l’histoire de HIPAA, a été la proposition puis la finalisation de la Règle de confidentialité. Cette règle, qui a été proposée pour la première fois en 1999, s’articule autour des normes de protection de la vie privée liées à la protection des renseignements médicaux protégés (RPS).

Les informations de santé protégées (RPS), qui ont été définies par la règle de confidentialité, sont toutes les informations contenues dans le dossier médical d’une personne qui peuvent l’identifier et qui sont détenues par une entité couverte. En vertu de la Loi HIPAA et de la Règle de confidentialité, il y a 18 identifiants spécifiques qui doivent être traités avec certaines garanties.

Voici les 18 types d’informations considérées comme des informations de santé protégées (RPS) en vertu de la loi HIPAA:

  1. Nom
  2. Adresse (Y compris toute information plus localisée que l’état)
  3. Toutes les dates (sauf les années) liées à la personne, y compris les anniversaires, la date de décès, la date d’admission / de sortie, etc.
  4. Numéro de téléphone
  5. Numéro de fax
  6. Adresse e-mail
  7. Numéro de sécurité sociale
  8. Numéro de dossier médical
  9. Numéro de bénéficiaire du régime de santé
  10. Numéro de compte
  11. Numéro de certificat / de licence
  12. Identificateurs de véhicule, numéros de série, numéros de plaque d’immatriculation
  13. Identificateurs d’appareil / numéros de série
  14. Url Web
  15. IP adresse
  16. Identificateurs biométriques tels que les empreintes digitales ou les empreintes vocales
  17. Photos intégrales
  18. Tout autre numéro, caractéristique ou code d’identification unique

La Règle de confidentialité a également examiné donnez aux patients un accès plus facile à leurs propres données de santé personnelles. Après sa proposition en 1999, la Règle de confidentialité a été finalisée le 28 décembre 2000 dans les dernières semaines du deuxième mandat du président Clinton. Le lendemain, HHS a fait quelques révisions, exigeant surtout que le Bureau des droits civils, qui est une agence au sein de la Santé et des Services sociaux, soit le groupe qui appliquera la HIPAA.

Comme dernière étape du processus d’élaboration de la réglementation, les Services de santé et les services sociaux ont sollicité l’avis du public sur les ajustements à apporter à la Règle sur la protection de la vie privée. À la suite de l’examen des commentaires qui ont été faits, le HHS a annoncé une Proposition de Modification de la Règle de confidentialité en 2002. La Règle sur la protection de la vie privée, adoptée en 2003, a été ajustée pour améliorer son utilité et prévenir les conséquences inattendues.

La Règle d’application HIPAA

Au début de 2005, la Règle d’application HIPAA a été introduite après que de nombreuses entités couvertes ne se sont pas pleinement conformées aux Règles de confidentialité et de sécurité. Cette règle permet aux Services de santé et de services sociaux (HHS) d’enquêter sur les plaintes déposées au sujet d’entités couvertes qui ne respectent pas la loi HIPAA. Cette règle a également donné à HHS le pouvoir d’infliger des amendes à ces entités pour des violations des Informations électroniques de santé protégées (ePHI) qui étaient évitables si elles avaient suivi les mesures de protection requises en vertu de la Règle de sécurité.

Toujours en vertu de la Règle d’exécution, le Bureau des droits civils (OCR) était habilité à appliquer des sanctions financières contre les entités qui restaient non conformes. Si les renseignements personnels sur les soins de santé d’une personne ont été partagés sans sa permission et que cela lui cause un « préjudice grave”, cette personne peut intenter une action en justice civile contre l’entité fautive.

La Loi « HITECH”

Juste après le début de sa présidence, le président Obama a adopté la Loi sur les Technologies de l’Information Sanitaire pour la Santé Économique et clinique, ou Loi HITECH. HITECH avait pour but d’encourager les fournisseurs de soins de santé à commencer à utiliser les dossiers de santé électroniques (DSE).

Plus tard en 2009, la règle d’application de la loi HITECH a été publiée qui a créé un système de sanctions financières pour violation de la loi HIPAA avec des amendes potentielles beaucoup plus élevées qui ont considérablement augmenté le coût de la non-conformité à la loi HIPAA.

La Règle de notification de violation

En septembre 2009, la Règle de notification de violation a été adoptée qui exige que toute violation de l’ePHI par une entité couverte qui affecte plus de 500 personnes soit signalée à l’OCR et un avis doit être envoyé à toute personne qui pourrait être touchée par la violation.

La Règle HIPAA Omnibus

La Règle HIPAA Omnibus, qui a été finalisée en 2012 et est entrée en vigueur en 2013, contenait des modifications et des mises à jour de toutes les règles que nous avions mentionnées. Les modifications apportées aux Règles de sécurité, de confidentialité, de notification des violations et d’application visaient à renforcer la confidentialité et la sécurité du partage des données. Les changements les plus importants en vertu de la Règle Omnibus ont été qu’il est devenu obligatoire pour les associés commerciaux de se conformer à la Règle de confidentialité et aux Règles de sécurité et que ces associés étaient directement responsables de toute violation de la HIPAA.

Résumé des dates clés de l’histoire de la HIPAA

  • 21 août 1996: Le président Clinton signe la loi HIPAA
  • Avril 2003: La Règle de confidentialité de la HIPAA entre en vigueur
  • Avril 2005: La Règle de sécurité HIPAA entre en vigueur
  • Mars 2006: Date d’entrée en vigueur de la Règle d’application HIPAA
  • Février 2009: Loi HITECH Signée par le Président Obama
  • Septembre 2009: La Règle de notification de violation entre en vigueur
  • Mars 2013: Date d’entrée en vigueur de la Règle Omnibus Finale

admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.