Nous sommes en 1996. Le lieu : le Congrès des États-Unis.
Face aux préoccupations croissantes concernant la portabilité de l’assurance maladie, le Congrès américain a décidé de créer une réglementation légale afin d’aider les patients américains à conserver leur couverture d’assurance, quel que soit leur statut professionnel. Le 21 août 1996, ce règlement a été introduit pour la première fois sous le nom de Health Insurance Portability and Accountability Act (loi sur la portabilité et la responsabilité en matière d’assurance maladie).
Il s’agissait de l HIPAA ensuite. Depuis que les organismes de soins de santé sont entrés dans le monde de la gestion électronique des données des patients, la nécessité de protéger ces informations sensibles sur la santé dans le cadre de lignes directrices clairement définies est devenue encore plus primordiale.
Aujourd'hui, l'HIPAA est une réglementation américaine complète en matière de sécurité des soins de santé, qui vise à.. :
👌 Protéger la santé et les informations personnelles des patients
👌 Promouvoir l’échange sécurisé d’informations sur la santé par voie électronique
👌 Permettre aux patients de conserver leur assurance maladie lorsqu’ils changent d’emploi
👌 Lutter contre la fraude, les violations et l’utilisation abusive des informations sur les soins de santé
👌 Simplifier les processus administratifs dans le secteur des soins de santé
Pour votre spa médical ou votre cabinet privé, il est aussi important de comprendre l’HIPAA que de s’y conformer. Il est tout aussi important de se conformer à la loi HIPAA que de la maintenir.
Voyons comment fonctionne l’HIPAA, à qui elle s’applique et comment votre cabinet peut y parvenir, sans violations ni amendes. Dans le même temps, nous démystifierons dix des plus grands mythes de l’HIPAA qui pourraient avoir un impact sur votre conformité.
Vous voulez commencer par le début ? Cliquez ci-dessous pour télécharger la liste de contrôle GRATUITE sur la conformité HIPAA!
Un glossaire pratique de la conformité HIPAA pour les prestataires de soins de santé
La terminologie de l’HIPAA peut être technique, mais il est essentiel de la comprendre pour s’y retrouver dans la conformité. Pour vous aider à mieux comprendre le langage de l’HIPAA et de la conformité, nous avons créé un glossaire pratique des termes les plus couramment utilisés.
Qui doit se conformer à la loi HIPAA ?
La conformité HIPAA s’applique aux entités couvertes et aux associés commerciaux aux États-Unis.
Les entités couvertes comprennent –
- Les plans de santé – comme les compagnies d’assurance maladie, les organismes de maintenance sanitaire (HMO), les plans de santé d’entreprise et les programmes gouvernementaux de soins de santé, comme Medicare et Medicaid.
- Prestataires de soins de santé – organismes de soins de santé qui traitent des informations protégées sur les patients (PHI et ePHI). Les médecins, les praticiens, les cliniques, les cabinets, les entreprises de spas médicaux, les chiropracteurs, les psychologues, les médecins généralistes, les cliniques de physiothérapie et les pharmacies doivent tous se conformer à la loi HIPAA.
- Centres d’échange d’informations sur les soins de santé – organisations qui convertissent les processus de soins de santé, comme les informations de facturation, dans des formats standardisés, pour un échange électronique efficace de données entre les prestataires de soins de santé, les patients et d’autres entités.
Les associés commerciaux (AC ) comprennent –
- Prestataires de services tiers qui aident à gérer les informations personnelles d’une entreprise de soins de santé . Les BA comprennent généralement des organisations telles que des sociétés de facturation médicale, des fournisseurs de services informatiques, des logiciels en nuage, des cabinets comptables, des sociétés de traitement des demandes et de stockage des données, des avocats et des gestionnaires de prestations pharmaceutiques (PBM).
Quel type d'informations sanitaires protégées l'HIPAA couvre-t-elle ?
L’HIPAA vise à protéger diverses informations relatives à la santé des patients (PHI), notamment
- Dossiers médicaux des patients, données relatives à l’assurance maladie et informations personnelles
- Communications entre les patients et les médecins, praticiens ou infirmières
- Données de facturation des patients et des cliniques
- Dossiers de santé électroniques (DSE)
- Résultats de laboratoire du patient, images du traitement, consentement et autres formulaires
- Ordonnance du patient et informations sur les médicaments
- Autres informations de santé identifiables
Comment l'HIPAA protège-t-elle ces informations ?
L’une des façons dont l’HIPAA protège les PHI consiste à appliquer diverses exigences que les organisations de soins de santé – comme votre clinique – doivent respecter. Il s’agit notamment de
1. Contrôles d’accès – vous devez contrôler qui peut consulter et utiliser les PHI en limitant l’accès autorisé au seul personnel nécessaire.
2. Formation HIPAA – les employés du secteur de la santé et les agents d’exécution ont tous deux besoin d’une formation approfondie sur la conformité HIPAA afin de pouvoir protéger les informations personnelles en conséquence et d’éviter les sanctions.
3. Documentation sur la conformité HIPAA – Pour que l’HIPPA protège efficacement les PHI, vous devez préparer une documentation complète sur la conformité. Cela comprend également les accords d’association commerciale (BAA), les dossiers de formation à la conformité, les plans d’urgence, les preuves d’évaluation des risques, les politiques de sécurité et de protection de la vie privée, etc .
4. Les 5 règles de l’HIPAA – Lorsqu’elles sont appliquées, ces règles vous aident à prévenir les problèmes liés à la sécurité, à la protection de la vie privée et aux infractions, tout en évitant les violations de la conformité.
L’HIPAA n’est pas un règlement autonome. Bien qu’elle prévoie certaines règles à respecter, il incombe à votre cabinet de les mettre en œuvre et de les contrôler en permanence.
Comprendre les 5 règles de l'HIPAA
L’HIPAA a créé un ensemble de 5 règles que tous les organismes de soins de santé et leurs BA doivent suivre pour garantir une conformité totale.
Bien que bénéfique pour votre cabinet, le respect de ces règles est également bénéfique pour vos patients :
- Apprendre comment leurs informations de santé sont utilisées lorsqu’ils cherchent à obtenir des soins de santé
- Consulter et obtenir des copies de leurs dossiers médicaux, et demander des corrections
- Contrôler certaines utilisations de leurs informations de santé, en donnant leur consentement
- Être informé en cas de violation de données susceptible de compromettre leurs informations
Voyons ce que chaque règle de l’HIPAA exige des entités couvertes.
1. La règle de confidentialité de l’HIPAA –
La règle de confidentialité de l’HIPAA agit comme un gardien des informations de santé des patients. Il fixe des limites quant aux personnes qui, au sein de la clinique, peuvent accéder aux informations de santé protégées des patients et les partager.
Il garantit également que seul le personnel autorisé, comme un médecin ou un praticien, peut le faire.
Pendant ce temps, les équipes d’accueil, les infirmières et le personnel médical ne peuvent pas accéder à ces informations.
Ce règlement demande également aux prestataires de soins de santé d’obtenir le consentement du patient avant de divulguer ses PHI. Cette approche favorise une culture de respect de la vie privée des patients et renforce l’importance de la sécurisation des données médicales au sein de votre clinique.
2. La règle de sécurité HIPAA –
La règle de sécurité de l’HIPAA protège les dossiers médicaux ordinaires et électroniques (PHI et ePHI). Il garantit que les informations sur les patients restent confidentielles, exactes et accessibles en cas de besoin. Elle encourage également les cliniques à évaluer les risques et à mettre en place des mesures de sécurité, telles que des serrures numériques, pour empêcher tout accès non autorisé.
En suivant ces lignes directrices, les cliniques peuvent mieux protéger les informations des patients, réduire les risques de violation des données et maintenir la confiance avec leurs patients.
3. La règle de notification des violations de l’HIPAA –
La règle HIPAA Breach Notification Rule vous oblige à signaler tout incident de sécurité susceptible de compromettre la sécurité des données de santé non protégées des patients. Cette règle garantit également que les patients sont informés de toute violation de l’information.
En vertu de cette règle, vous serez tenu d’enquêter sur les violations de données, de réduire les risques qui y sont associés et de tenir des registres détaillés de vos actions. Non seulement vous sécurisez les données des patients, mais vous vous engagez également à assurer leur bien-être et leur sécurité.
4. La règle HIPAA Omnibus –
La règle HIPAA Omnibus est la dernière mise à jour de cette réglementation. Elle s’applique essentiellement à vos associés commerciaux et à leurs sous-traitants, en leur demandant de prendre les mesures nécessaires pour protéger les données des patients. Les patients ont également davantage de contrôle sur leurs données de santé, en particulier sur leurs informations génétiques, comme leur ADN.
Pour vous assurer que les BA et votre cabinet sont conformes à la loi HIPAA, vous devrez signer un accord d’association commerciale (Business Associate Agreement). Il en résulte une approche plus diligente et plus axée sur le patient en ce qui concerne la conformité HIPAA.
5. La règle d’application de la HIPAA –
La HIPAA Enforcement Rule fixe les règles relatives aux sanctions et aux amendes en cas d’infraction à la HIPAA. En vertu de cette règle, le ministère de la santé et des services sociaux (HHS) peut enquêter sur les plaintes pour violation, partager les plans d’action correctifs pour l’amélioration et décider des sanctions à appliquer en fonction de la violation.
Qu'est-ce qui est considéré comme une violation de la loi HIPAA ?
Les violations de la loi HIPAA peuvent être intentionnelles ou accidentelles, ce qui peut avoir une incidence sur le montant de la sanction.
Une violation de la loi HIPAA peut se produire si votre cabinet ou vos associés commerciaux :
⛔ Partager des informations sur les patients sans leur consentement
⛔ Ne pas éliminer les données des patients en toute sécurité
ne pas protéger la confidentialité, l’intégrité et l’accès aux RPS
ne pas appliquer de mesures de protection pour garantir la confidentialité, l’intégrité et l’accès aux données
⛔ Ne pas signer d’accord avec les BA avant de leur donner accès aux PHI
Ne pas fournir aux patients des copies de leur dossier médical, à leur demande
Les enquêtes HIPAA sont menées par l’Office for Civil Rights (OCR), qui fait partie du ministère américain de la santé et des services sociaux (HHS).
L’OCR veille à l’application de la réglementation HIPAA et enquête sur les violations potentielles afin de garantir le respect des règles de confidentialité et de sécurité des soins de santé.
Cliquez ici
pour en savoir plus sur les violations spécifiques de la loi HIPAA et les amendes !
À quoi ressemble une enquête HIPAA ?
Les enquêtes HIPAA ne sont généralement pas menées de manière régulière et routinière. L’Office for Civil Rights (OCR) enquêtera principalement sur votre clinique si quelqu’un, comme un patient, signale une infraction ou se plaint que ses droits en matière de protection de la vie privée ont été violés. Une enquête HIPAA peut également avoir lieu si l’OCR détecte une faille dans votre conformité, ou si une certaine menace pour vos PHI s’est déjà produite et a affecté plus de 500 personnes.
Les enquêtes HIPAA peuvent se dérouler en clinique ou numériquement, en fonction de la nature de la violation. En général, l’OCR vous informe à l’avance de la tenue d’une enquête, mais il peut arriver qu’il se présente à l’improviste, en particulier en cas de violations graves.
Une enquête HIPAA peut durer plusieurs mois, au cours desquels l’OCR :
- Enquête sur la plainte signalée
- Détecte les problèmes existants
- informe votre clinique des résultats finaux de l’enquête
- propose une amende et une liste de mesures à prendre pour remédier au problème
En cas d’inculpation, les sanctions prévues par la loi HIPAA peuvent aller de 100 à 50 000 dollars par infraction. Toutefois, pour les cliniques qui ne coopèrent pas. Les amendes HIPAA peuvent s’alourdir, voire conduire à une peine d’emprisonnement.
Ce que vous pouvez faire lors d'une enquête HIPAA
La meilleure façon d’aborder une enquête HIPAA dans votre clinique est de travailler avec eux, de ne pas les retarder et de répondre à toutes les questions de l’OCR.
En outre, vous pouvez facilement éviter ou réduire les pénalités HIPAA en –
✔️ Réviser vos politiques HIPAA et s’assurer qu’elles sont à jour
✔️ Révision des règles relatives au droit d’accès du patient
✔️ Analyser les risques, créer des étapes de gestion des risques et tout documenter
✔️ Former à nouveau vos employés à l’HIPAA
✔️ Veiller à ce que vos agents de liaison comprennent leur rôle dans la mise en conformité avec la loi HIPAA
Étapes recommandées pour la mise en conformité avec la loi HIPAA
Le HHS émet plusieurs recommandations dont chaque entité couverte et chaque associé a besoin pour rester conforme à la loi HIPAA. Voici à quoi ressemblent ces étapes pour votre pratique.
1. Établir un ensemble de mesures de protection de la vie privée
Tout d’abord, vous devez nommer un responsable de la conformité – ou un comité – qui sera chargé d’assurer la conformité à l’HIPAA à toutes les étapes. Vous devez également former les employés, y compris les agents d’exécution, à la conformité à la loi HIPAA afin qu’ils sachent comment traiter et sécuriser les informations personnelles.
2. Obtenir le consentement du patient pour gérer ses PHI
Ensuite, vous devrez obtenir le consentement de vos patients chaque fois que vous recueillerez, utiliserez et divulguerez leurs informations médicales. Vous devez créer un ensemble de politiques et de procédures expliquant comment les données d’un patient seront ou ne seront pas gérées, et comment l’accès à ces données sera autorisé pour ce patient.
3. Créer un plan d’urgence
L’élaboration d’un plan d’urgence permet de protéger la sécurité et la confidentialité de vos PHI en cas d’incident. Ce plan doit tout prévoir, des contrôles d’accès à la sauvegarde des données, en passant par les procédures de récupération et les protocoles de communication.
Par exemple, un plan d’urgence doit comporter les éléments suivants
- La personne qui s’occupe des questions liées à l’HIPAA en cas d’urgence, et ses coordonnées en cas d’urgence
- Détails sur la façon dont vous pouvez assurer la sauvegarde des données et la récupération des PHI en cas de violation ou d’incidents
- Détails sur les personnes qui peuvent et ne peuvent pas accéder aux PHI en cas d’urgence, et comment.
- Informations sur la manière et le moment où vous communiquerez les violations de PHI en cas d’urgence – aux BA, à votre personnel, aux patients concernés et, si nécessaire, à l’OCR.
Le plan doit également désigner une équipe d’intervention en cas d’incident qui conservera une documentation détaillée sur les mesures prises en cas d’urgence.
4. Permettre aux patients d’accéder à leur dossier
Conformément aux règles de l’HIPAA, lorsqu’un patient demande l’accès à son dossier, votre clinique dispose de 30 jours à compter de la réception de la demande écrite du patient pour y donner suite. Les patients devraient également avoir le droit de corriger les informations contenues dans leur dossier médical. Mais il ne faut pas oublier que les patients n’ont pas toujours accès à leur dossier – nous démystifions ce mythe ci-dessous.
5. Garantir la sécurité des appareils, des sites web et des réseaux
Pour éviter l’exposition des PHI à travers différents canaux, vous devrez sécuriser votre site web, vos dispositifs de données et vos réseaux. Voici quelques-unes des protections que vous pouvez appliquer ici :
- Connexion protégée par un mot de passe et temporisation automatique de l’appareil
- Authentifier l’accès des employés et des agents d’exécution qui gèrent les PHI
- Crypter les transmissions de données contenant des PHI
- Effectuer une analyse régulière des risques pour maintenir la conformité
- Maintenir un site web sécurisé et le faire fonctionner sur un réseau sécurisé
- Mettre en place une formation approfondie des employés sur la manière de manipuler les DSE
6. Réfléchir aux options de stockage et d’élimination des PHI
Lorsque vous stockez les informations sur la santé de votre clinique, vous devez envisager différentes options, comme des copies papier, votre serveur ou un logiciel de gestion de cabinet basé sur l’informatique, comme Pabau.
Cette solution de stockage doit s’aligner sur les exigences du flux de travail quotidien tout en garantissant la conformité à la loi HIPAA. Si nécessaire, vous pouvez même envisager une combinaison de ces méthodes de stockage”.
Outre le stockage, vous devez également réfléchir à la manière dont vous vous débarrasserez des PHI. Vous jetez des documents papier à la poubelle ou vous vendez de vieux appareils sans avoir effacé les données qu’ils contiennent ? Si c’est le cas, vos informations personnelles risquent toujours d’être exposées. Au lieu de cela, lorsque vous détruisez de vieilles données, pensez à déchiqueter les documents papier et à effacer toutes les PHI stockées dans vos appareils.
7. Signer un accord d’association commerciale (BAA)
L’HIPAA exige la signature d’un contrat écrit entre votre clinique (l’entité couverte) et vos associés, comme tout avocat avec lequel vous travaillez ou tout logiciel de gestion de la relation client (CRM) que vous utilisez, comme Pabau. Cela garantit la sécurité du traitement des PHI par votre cabinet et vos BA.
La signature d’un BAA signifie que votre clinique et vos BA (et leurs sous-traitants) seront en mesure de protéger les informations des patients et de respecter les règles de sécurité et de confidentialité de l’HIPAA.
Dans le même temps, cet accord vous rend, vous et vos agents de liaison, responsables de toute violation de la conformité.
8. Se tenir au courant des lois sur la protection de la vie privée
Pour garantir la conformité à l’HIPAA, vous devez vous tenir au courant des lois et réglementations en constante évolution. Veillez à ce que votre responsable ou votre comité de conformité soit au courant de tous les changements et les mette en œuvre correctement. En outre, vous pouvez également créer une stratégie spéciale pour vous assurer que votre cabinet reste informé des réglementations HIPAA à tout moment.
Veillez à la conformité HIPAA avec notre guide HIPAA étape par étape – ou téléchargez notre
liste de contrôle et guide HIPAA
!
Démystifier 10 mythes courants sur l'HIPAA
Aussi claire qu’elle puisse paraître, la réglementation HIPAA est souvent source de confusion et d’incertitude. Cela peut malheureusement conduire les pratiques à commettre des violations indésirables de la conformité.
La loi HIPAA s’applique-t-elle aux courriels et aux textes ? Pouvez-vous partager vos informations personnelles avec tous vos employés ou seulement avec certains d’entre eux ? La loi HIPAA s’applique-t-elle uniquement aux informations électroniques sur la santé ?
Il s’agit là de points valables que vous devez connaître pour établir une conformité viable avec l’HIPAA.
Cessez de chercher les bonnes réponses – nous démystifions ci-dessous dix des plus grands mythes de l’HIPAA.
1. Le mythe – L’HIPAA interdit l’envoi de courriels entre les praticiens et les patients
Les courriels sont réputés pour augmenter le risque d’escroquerie, de piratage et de violation de données. Ce risque peut facilement compromettre le processus de partage de données sensibles avec les patients.
La vérité – En vertu de la règle de confidentialité HIPAA, lorsque vous communiquez avec des patients, vous pouvez utiliser différents canaux de communication, y compris les courriels. Cependant, l’HIPAA exige que toutes les pratiques appliquent les garanties nécessaires, par exemple afin de garantir une sécurité maximale des données des patients pendant cette correspondance.
2. Le mythe: l’HIPAA s’applique aux courriels, mais pas aux textes
Les messages textuels sont régis par la loi sur la protection des consommateurs de services téléphoniques (Telephone Consumer Protection Act – TCPA). Les cabinets font donc souvent l’erreur de croire que l’HIPAA ne s’applique pas aux textes.
La vérité – L’HIPAA considère les courriels et les textes comme des communications électroniques. Ainsi, les messages textuels, tout comme les courriels, sont soumis aux règles de l’HIPAA. Et ce n’est pas tout, car, en plus de la conformité à la HIPAA, les messages textuels DOIVENT également être conformes à la TCPA.
💡 La conformité HIPAA s’étend également à vos médias sociaux – découvrez comment et pourquoi.
ICI
!
3. Le mythe – Les prestataires de soins peuvent partager des informations sur les patients avec les employeurs
Les employeurs peuvent accéder à toutes les informations dont ils disposent sur leurs employés. Il est donc presque naturel pour eux d’avoir accès aux informations de santé des patients. C’est vrai ? Pas vraiment.
La vérité – La loi HIPAA interdit aux prestataires de soins de santé de révéler ou de partager des informations personnelles sur la santé avec leur employeur, sans le consentement du patient.
La plupart du temps, les employeurs, comme le directeur général ou le propriétaire d’une clinique, ne sont pas autorisés à accéder aux données médicales des patients. En fait, un employeur ne peut accéder au dossier médical d’un patient que si ce dernier donne son consentement explicite par écrit.
Cependant, il faut tenir compte du fait que toute information sur la santé qui a été collectée individuellement, par exemple dans le cadre d’enquêtes sur les ressources humaines, n’est pas couverte par la HIPAA.
4. Le mythe: l’HIPAA ne s’applique qu’aux organismes de soins de santé
L’HIPAA est une obligation pour les entités couvertes. Il s’agit de tous les prestataires de soins de santé, des plans de santé et des centres d’échange d’informations sur les soins de santé. Les centres d’échange de soins de santé sont des organisations qui traitent et transfèrent des données sur les soins de santé, comme les demandes de remboursement électroniques et les transactions administratives, dans un format standardisé.
Cependant, les entités couvertes ne sont pas les seules à être concernées par la loi HIPAA.
La vérité – Si l’HIPAA s’applique à tous les organismes de soins de santé, elle concerne également vos associés commerciaux et leurs sous-traitants. Les associés commerciaux, comme les comptables ou les avocats, ont accès à vos PHI et sont tout aussi responsables de leur protection que les organismes de soins de santé.
Tout comme les organismes de soins de santé, les associés commerciaux peuvent faire l’objet d’infractions à la loi HIPAA et d’amendes si la conformité n’est pas respectée. Pour garantir la conformité à l’HIPAA et la sécurité des données dans les deux sens, les entités couvertes et leurs BA doivent conclure un accord légal d’association commerciale (BAA) et contrôler régulièrement leurs efforts de conformité.
5. Le mythe – HIPAA interdit l’utilisation de feuilles d’émargement
Les feuilles d’émargement permettent d’accélérer le processus d’enregistrement des patients et aident votre personnel à mieux gérer les rendez-vous. Mais comme les feuilles d’émargement peuvent contenir des informations sensibles sur les patients, certaines menaces, comme un accès non autorisé, peuvent facilement compromettre ces données.
La vérité – L’HIPAA autorise les cliniques à utiliser des feuilles d’émargement pour les patients, à une condition : que toutes les informations de santé figurant sur ces feuilles soient restreintes. Ainsi, lorsque vous utilisez des feuilles d’émargement pour les patients, vous ne pouvez pas inclure d’informations relatives à la santé, comme la raison de la visite. Vous pouvez toutefois indiquer les noms du patient et du praticien, ainsi que la date de la visite.
6. Le mythe – Les informations sur la santé des patients ne peuvent pas être utilisées à des fins de marketing
L’utilisation des données de santé des patients à des fins de marketing est strictement interdite par la loi HIPAA. A moins que le patient ne donne son consentement explicite à l’avance.
La vérité – certaines activités de type marketing peuvent être autorisées par l’HIPAA. Par exemple, vous pouvez envoyer aux patients des plans de santé dans lesquels vous suggérez d’autres services ou produits qu’ils peuvent utiliser. Bien que cela encourage l’utilisation de nouveaux produits ou services, ce n’est pas vraiment considéré comme un stratagème de marketing. Pourquoi ? Parce que les produits et services suggérés sont strictement choisis pour améliorer le parcours de traitement du patient, et non pour promouvoir une offre.
7. Le mythe – Les patients ne peuvent pas être appelés par leur nom dans la salle d’attente
Êtes-vous autorisé à appeler les patients par leur nom ? Comment s’adresser correctement à un patient ? Ce débat courant laisse de nombreux prestataires de soins de santé perplexes quant à la manière de gérer les interactions avec les patients en clinique – sans enfreindre les directives HIPAA.
La vérité – L’HIPAA ne considère pas comme une violation le fait d’appeler les patients par leur nom dans la salle d’attente. Après tout, le nom d’un patient ne révèle aucune information sur sa santé. Toutefois, l’HIPAA interdit aux prestataires de soins de santé d’indiquer des détails relatifs au traitement du patient dans la salle d’attente. Ainsi, si l’on peut dire “Mme Smith, c’est à vous”, “Mme Smith, c’est à vous pour votre prise de sang” est considéré comme une violation de la loi HIPAA.
8. Le mythe – Conserver les dossiers des patients sur papier n’est pas contraire à la conformité HIPAA
Vous pourriez supposer que la conformité HIPAA ne s’applique qu’aux données des patients qui sont stockées et envoyées électroniquement, mais pas aux dossiers des patients qui sont conservés sur papier.
La vérité – L’HIPAA s’applique aux données des patients gérées sur papier et par voie électronique, également appelées PHI et ePHI. Ainsi, TOUTES les informations relatives à la santé que votre clinique traite, stocke ou envoie sont soumises à la loi HIPAA. Que les informations sur les patients soient faxées, copiées ou partagées numériquement, l’HIPAA oblige légalement chaque cabinet à protéger tous les dossiers médicaux en conséquence.
9. Le mythe – L’HIPAA interdit le partage des informations sur les patients avec les membres de la famille
Les membres de la famille accompagnent souvent un patient lors de son traitement ou doivent obtenir des résultats d’analyse ou de laboratoire au nom de ce patient. Le fait de partager les informations relatives à un patient avec sa famille constitue-t-il une violation de la loi HIPAA ? Pas nécessairement.
La vérité – L’HIPAA autorise les prestataires de soins de santé à partager les informations relatives à un patient avec les membres de sa famille – si le patient est présent et n’y voit pas d’objection. Toutefois, si un patient ne peut pas être physiquement présent, il peut toujours donner son accord à son praticien pour qu’il partage les informations relatives à sa santé avec les membres de sa famille. Parfois, si un praticien estime que c’est dans l’intérêt de son patient, il peut divulguer des informations sur sa santé à sa famille.
Enfin, si un patient est mineur, le praticien peut être obligé de partager des informations sur sa santé avec ses parents, en particulier si le consentement au traitement est nécessaire.
10. Le mythe – Les patients peuvent poursuivre les prestataires de soins de santé pour violation de la loi HIPAA
La violation de la conformité HIPAA peut entraîner des sanctions juridiques et des amendes. Mais la vraie question est la suivante : vos patients peuvent-ils intenter une action en justice contre votre clinique pour violation de la loi HIPAA ?
La vérité – les patients ne peuvent pas poursuivre les prestataires de soins de santé, même en cas de violation de la loi HIPAA. Toutefois, les patients ont le droit de déposer une plainte officielle auprès du secrétaire d’État à la santé et aux services sociaux (HHS). Le ministère de la santé et des services sociaux examinera alors la plainte et y donnera suite s’il existe des motifs raisonnables d’engager une action en justice.
Soutenez votre conformité HIPAA avec Pabau
Avez-vous pris toutes les mesures nécessaires pour garantir la conformité à la loi HIPAA – de l’analyse des risques à l’établissement de rapports ?
Il est temps de faire en sorte que cela compte. Pabau a développé un certain nombre de fonctionnalités qui vous aideront à vous conformer à la loi HIPPA, qu’il s’agisse du cryptage des données, du stockage sécurisé, des contrôles d’accès ou des journaux d’audit. Découvrez comment Pabau vous aide soutenir votre conformité HIPAA – ou téléchargez notre liste de contrôle de la conformité HIPAA, étape par étape, pour commencer !