Overview

Contents

    Conformité HIPAA et médias sociaux : ce qu’il faut savoir

    Parlons de la conformité à la loi HIPAA.

    Il s’agit d’un petit acronyme, d’une énorme boîte de Pandore dont il faut s’imprégner.

    Ce blog se penche sur un domaine dans lequel les entreprises médicales peuvent, par inadvertance, rencontrer des problèmes : la conformité HIPAA et les médias sociaux. En effet, alors que les cabinets privés disposent généralement de procédures strictes en matière de sécurité des données et de confidentialité des patients dans d’autres domaines de l’entreprise, les médias sociaux sont parfois le lieu où les choses passent à travers les mailles du filet.

    Aujourd’hui, nous allons vous présenter quelques-uns des pièges les plus courants et des lacunes en matière de connaissances que les praticiens peuvent rencontrer lorsqu’il s’agit de la conformité HIPAA et des médias sociaux.

    Car vous ne voulez absolument pas briser la confiance de vos clients, perdre la réputation que vous avez mis des années à bâtir et vous voir infliger une amende colossale. Vous risquez même de vous retrouver sur le mur de la honte de l’HIPAA, qui existe bel et bien.

    Voici notre guide sur la conformité HIPAA et les médias sociaux.

    Qu’est-ce que la conformité HIPAA ?

    HIPAA signifie Health Insurance Portability and Accountability Act (loi sur la portabilité et la responsabilité en matière d’assurance maladie).

    L’HIPAA est une loi qui protège les informations personnelles relatives à la santé. Il garantit que les prestataires de soins médicaux, tels que les médecins et les hôpitaux, préservent la confidentialité des données de santé des patients et ne les communiquent qu’au personnel autorisé. Si quelqu’un ne respecte pas ces règles et partage des informations confidentielles, il s’expose à de graves conséquences – il s’agit d’amendes importantes, voire d’une peine d’emprisonnement.

    Que disent les directives HIPAA sur les médias sociaux ?

    C’est une bonne question. Les directives HIPAA ont été adoptées en 1996. C’était au tout début de l’internet et bien avant que Facebook, Instagram ou Tik Tok n’existent.

    Bien que les règles de l’HIPAA ne mentionnent pas directement les médias sociaux, les protections de la vie privée concernant les informations de santé personnelles (PHI) s’appliquent – et peuvent être violées – par le contenu de vos médias sociaux.

    Principes clés de l’HIPAA liés aux médias sociaux

    Le cœur du problème, ce sont les PHI : les informations de santé protégées. Selon la
    Département américain de la santé et des services sociaux
    e, les PHI sont toutes les informations qui se rapportent à un :

    • La santé ou l’état physique ou mental passé, présent ou futur de l’individu
    • la fourniture de soins de santé à l’individu, ou
    • Le paiement passé, présent ou futur pour la fourniture de soins de santé à l’individu
    • Les identifiants communs tels que le nom, l’adresse, la date de naissance et le numéro de sécurité sociale, lorsqu’ils peuvent être associés aux informations sur la santé énumérées ci-dessus.

    Le partage des informations de santé protégées des patients est strictement interdit et les employés du secteur de la santé doivent être vigilants quant aux violations potentielles – sur les médias sociaux et de manière plus générale.

    Exemples d’erreurs commises sur les médias sociaux ayant entraîné des violations de la loi HIPAA

    Les erreurs commises dans les médias sociaux peuvent conduire à des violations de la loi HIPAA de nombreuses manières.

    Imaginons par exemple qu’un employé d’hôpital publie sur son compte personnel de médias sociaux des informations sur un patient qu’il a traité au travail ce jour-là. Vous pouvez penser que c’est acceptable parce que le message est générique et que le patient n’a pas été nommé. Toutefois, le patient peut rester identifiable si, par exemple, le nom de l’hôpital dans lequel l’employé travaille figure sur son profil.

    Voici quelques autres exemples de violations de la loi HIPAA sur les médias sociaux :

    • Partager des photos du patient sans son consentement
    • Se plaindre d’un patient en ligne, même si vous ne l’identifiez pas.
    • Répondre à des commentaires ou à des critiques et divulguer des informations sur les patients
    • Partage d’informations sur un patient dans un message sans s’en rendre compte

    Conséquences des violations de la loi HIPAA sur les médias sociaux

    Voici quelques exemples de violations de la loi HIPAA et de leurs conséquences…

    • A
      Infirmière dans un hôpital pour enfants au Texas
      a été licenciée après avoir publié sur les médias sociaux un message concernant un enfant atteint d’un cas rare de rougeole à l’hôpital où elle travaillait. L’infirmière était une anti-vaxxiste, mais elle a publié sur Facebook un message expliquant qu’il était “dur” de voir le garçon souffrir de la rougeole, une maladie qui pourrait être évitée grâce à la vaccination.
    • A
      cabinet dentaire
      a fait l’objet d’une violation de la loi HIPAA pour avoir divulgué des informations personnelles sur un site d’évaluation des médias sociaux. Le cabinet a enfreint la loi HIPAA en raison de la manière dont il a répondu aux critiques sur Yelp. Alors que les patients s’étaient affichés sous un pseudonyme Yelp, l’auteur de la réponse a utilisé des noms complets et a également divulgué des informations sur les visites des patients et leur assurance.

    💡Le saviez-vous ?

    Les entreprises du secteur de la santé ne sont pas les seules à avoir des problèmes avec la conformité HIPAA et les médias sociaux. Meta a fait l’objet d’une action en justice pour violation de la vie privée des patients.

    Cette décision a été prise à la suite d’une
    enquête
    qui a révélé que 33 des 100 plus grands hôpitaux des États-Unis utilisaient le Meta Pixel sur leur site web. Dans sept hôpitaux, ce pixel envoyait des informations confidentielles sur les patients à Facebook et les patients recevaient ensuite des publicités liées à ces informations.

    Picture of Jennifer Ellis-Wilson, FACMPE

    Jennifer Ellis-Wilson, FACMPE

    Consultant, formateur et conférencier
    Conseils pratiques en matière de gestion et de leadership

    👉En tant qu’ancienne responsable de la protection de la vie privée dans le cadre de la loi HIPAA, la consultante et conférencière Jennifer Ellis-Wilson, FACMPE, était chargée de protéger les informations protégées et de former tous les employés aux meilleures pratiques en matière de conformité. Elle nous fait part des principaux signaux d’alerte qu’elle voit dans les cliniques concernant l’HIPAA et les médias sociaux… 

    “La plus grande erreur que je vois est que les organisations n’organisent pas de formation appropriée à la loi sur la protection de la vie privée pour les personnes responsables de l’engagement dans les médias sociaux.

    “Qu’elles fassent appel à des stagiaires, au personnel en place ou qu’elles embauchent du personnel spécialisé dans les médias sociaux ou le marketing – ou qu’elles fassent appel à des sociétés de gestion des médias sociaux – il y a souvent un décalage entre la compréhension qu’ont ces personnes de l’HIPAA et d’autres lois applicables en matière de protection de la vie privée, et ce qu’elles doivent faire. Les pratiques de marketing et d’engagement sont considérées comme les meilleures.

    “C’est une bonne chose d’avoir une présence solide sur les médias sociaux – cela permet un engagement plus organique avec les patients et les patients potentiels, et peut être utilisé pour éduquer et informer votre public sur des questions importantes liées à la santé d’une manière non identifiable.

    “Cependant, il est facile de franchir la ligne qui mène à des activités inadmissibles. Ii un patient commente ou pose une question sur l’une de vos publications sur les médias sociaux, par exemple, vous devez vous assurer que la réponse ne viole pas la loi HIPAA ou d’autres réglementations relatives à la protection de la vie privée.

    Conseils de Jennifer sur la façon de NE PAS enfreindre la loi HIPAA sur les médias sociaux

    1. Attention aux erreurs de photographie : “Si vous publiez des photos de votre cabinet, de vos employés ou de vos cliniciens, il est évident que vous devez obtenir une autorisation de publier des photos si des patients sont représentés. Mais il est facile de prendre quelques photos d’employés souriants et d’oublier de zoomer sur chaque partie de l’image pour s’assurer qu’aucune information sur les patients n’est visible !
    2. Adoptez des politiques claires que vous communiquez à votre personnel : “Assurez-vous d’avoir des politiques claires en matière d’HIPAA et de protection de la vie privée qui sont communiquées à votre personnel, et veillez à ce qu’elles incluent des éléments tels qu’une politique en matière de téléphone portable, des politiques d’enregistrement de la voix et de l’image, des politiques de contenu pour les médias sociaux de l’entreprise et personnels, etc.
    3. N’oubliez pas les comptes de médias sociaux personnels : “Un employé qui publie une photo de son bureau fraîchement nettoyé sur son propre compte de média social peut involontairement violer l’HIPAA si vous pouvez zoomer et lire l’écran de son ordinateur. ou des informations sur un patient sur une note autocollante. Vérifiez deux fois et trois fois que vous avez dépersonnalisé les informations ou les graphiques que vous souhaitez publier !
    4. Vérifiez votre logiciel : “Avec l’essor de la télésanté depuis le début de la pandémie de COVID-19, de nombreux cabinets médicaux ont adopté des systèmes de téléconférence virtuelle, de courrier électronique, de textos et de messagerie privée/directe. Tous les systèmes ne sont pas conformes à la HIPAA en termes de cryptage ou d’autres caractéristiques de sécurité, et encore moins de systèmes sont conformes à certaines des réglementations les plus strictes en matière de protection de la vie privée et de sécurité au niveau de l’État. Vérifiez que les plates-formes de messagerie et de connexion que vous avez adoptées sont conformes !

    Les choses à faire et à ne pas faire pour éviter les violations de la loi HIPAA sur les médias sociaux

    • Tenez compte de vos comptes personnels

    Il ne s’agit pas seulement de vos comptes officiels sur les médias sociaux. Ce que vous – et votre personnel – publiez sur vos comptes personnels est peut-être encore plus important. Les gens peuvent se sentir plus à l’aise lorsqu’ils publient sur un compte personnel de médias sociaux, mais c’est souvent là que se posent les problèmes.

    • Ne publiez pas de “ragots” en ligne

    Il est arrivé à plusieurs reprises que des personnes publient des informations sur des cas de patients dans des groupes Facebook ou simplement sur leur fil d’actualité. Mais ce n’est pas parce que vous publiez dans un groupe fermé, que vos paramètres sont réglés sur “privé” ou que vous ne nommez pas le patient, que c’est acceptable.

    • Toujours demander d’abord le consentement de l’intéressé

    Si un client est ravi des résultats de son traitement, il est logique que vous souhaitiez inclure des photos dans votre marketing – sur vos médias sociaux ou même sur votre site web. Si vous souhaitez partager des photos d’un patient, demandez toujours, toujours, toujours la permission – assurez-vous d’avoir un consentement écrit avant de publier.

    • Ne répondez pas aux commentaires de manière inconsidérée

    Cette question est intéressante car elle montre qu’il ne s’agit pas seulement de ce que vous publiez sur les médias sociaux, mais aussi de la manière dont vous y répondez. Par exemple, un patient peut vous taguer sur les médias sociaux parce qu’il est satisfait de son traitement, mais si vous reconnaissez ce message, vous risquez d’enfreindre la loi HIPAA.

    • Attention aux critiques

    Faites attention à la manière dont vous répondez aux commentaires en ligne. Nous avons mentionné plus haut un exemple où un cabinet a partagé des informations personnelles en répondant à des critiques. Veillez à ce que votre équipe soit informée de la manière dont elle doit ou ne doit pas répondre aux critiques.

    Comment établir une présence sur les médias sociaux conforme à la loi HIPAA ?

    Il est essentiel d’informer vos équipes sur ce qui est conforme à la loi HIPAA… et ce qui ne l’est pas. Voici cinq conseils pour responsabiliser vos équipes et vous permettre d’avoir confiance en votre contenu sur les médias sociaux.

    1. Établir les rôles et les responsabilités

    Vos comptes de médias sociaux ne doivent pas être un espace de liberté où tout le monde dispose d’informations de connexion et où il n’y a pas de chaîne de commandement claire. Nommez un responsable de vos comptes de médias sociaux, par exemple le directeur de votre cabinet, et veillez à ce qu’il y ait un processus d’approbation clair pour le contenu.

    2. Créer des processus et des politiques documentés

    La documentation est essentielle. Il ne sert à rien d’avoir une politique en matière de médias sociaux qui reste dans votre tête – en cas d’infraction, vous devez être en mesure de prouver que vous avez mis en place des politiques. Détaillez vos politiques et processus à l’aide d’exemples, de canaux, de choses à faire et à ne pas faire.

    3. Veiller à ce que votre équipe soit parfaitement formée

    Vous ne devez pas remettre les clés de vos comptes sans avoir reçu une formation appropriée. Veillez à former tous les nouveaux employés et à organiser des sessions de remise à niveau à intervalles réguliers afin que chacun sache ce qui est approprié et ce qui ne l’est pas – sur les comptes professionnels et personnels.

    4. Rester à l’affût des tendances et des canaux

    Il y a toujours de nouveaux canaux de médias sociaux qui apparaissent et il est donc important de mettre à jour vos politiques et processus en conséquence. Si les plateformes comme Tik Tok sont souvent l’occasion pour les marques et les entreprises d’assouplir les formalités, cela peut présenter un risque. Préparez-vous à cela.

    5. Toujours être prêt pour les audits

    Si vous avez besoin d’un audit de vos comptes de médias sociaux, vous devez être prêt. Au lieu de devoir extraire des données de plusieurs sources, l’utilisation d’un outil de gestion des médias sociaux, qui vous permettra de suivre et d’exporter vos publications antérieures, vous sera utile.

    Une dernière chose

    Si cela n’enfreint pas la loi HIPAA, c’est bon, n’est-ce pas ? Ce n’est pas aussi évident que cela.

    Même si vous n’enfreignez pas directement les règles de l’HIPAA, il y a toujours une limite à ne pas franchir. Une vidéo diffusée sur les médias sociaux n’enfreint peut-être pas la loi fédérale, mais cela ne signifie pas pour autant qu’il faille la publier.

    La question de l’éthique des médecins et des infirmières devenus influenceurs sur TikTok a fait couler beaucoup d’encre ces derniers temps. Si le contenu peut être captivant – “un nouveau médium pour les drames médiatiques” – il n’est pas sans controverse. Ce qui peut être considéré comme un message ludique ou humoristique peut tout simplement ne pas passer auprès d’un public plus large. Et cela peut avoir des conséquences potentiellement graves.

    Ainsi, même au-delà de la conversation sur l’HIPAA, il convient d’être prudent. Si vous avez le moindre doute quant à l’opportunité de publier quelque chose, vérifiez-le d’abord. Si vous pensez que cela pourrait offenser vos clients ou avoir un impact négatif sur votre marque, ne le publiez pas.

    L’essentiel à retenir

    En matière de conformité HIPAA, il est important d’adopter une approche globale.

    Peut-être parce qu’il s’agit d’un mode de communication plus informel, les médias sociaux font souvent trébucher les gens par inadvertance – et ils publient sans même se rendre compte qu’ils pourraient enfreindre les réglementations. C’est pourquoi des mesures solides ne sont pas négociables pour les entreprises de soins de santé.

    Toute autre solution ne vaut tout simplement pas la peine d’être envisagée.

    What you should do now

    1. Schedule a Demo to see how Pabau can help your team.
    2. Read more clinic management articles in our blog.
    3. If you know someone who’d enjoy this article, share it with them via Facebook, Twitter, LinkedIn, or email.

    See Pabau in action

    Schedule a free demo with one of our team today.

    Book a demo

    Related Articles: