Comment garantir la conformité HIPAA?
La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale qui exige que les informations médicales sensibles soient protégées et privées. Les méthodes que vous utilisez pour organiser et suivre les informations médicales des patients doivent être conformes à la HIPAA, ou vous pourriez faire face à de lourdes amendes ou même à la perte de licences professionnelles. Les particuliers et les associés peuvent également avoir besoin de se conformer à la loi HIPAA dans certaines circonstances.
Partie 1 sur 4: sécurisation des données
- 1Installez des programmes antivirus. Disposer d'une protection antivirus active et à jour sur vos réseaux et tous les ordinateurs qui s'y trouvent contribuera à sécuriser les données médicales du patient.
- La sécurité informatique protège non seulement la confidentialité de vos patients ou clients, elle vous protège également de toute responsabilité légale si ces informations sont volées ou divulguées par votre organisation.
- Les programmes antivirus garantissent que vos données sont protégées contre la corruption ou la destruction par des virus informatiques ou des logiciels malveillants.
- Si vos ordinateurs sont livrés avec des programmes antivirus préinstallés, assurez-vous qu'ils sont régulièrement mis à jour. Vous devez également vous assurer que tout réseau que vous avez créé pour vos bureaux dispose d'une sécurité et d'une protection antivirus suffisantes.
- Si vous avez déjà été victime d'un virus informatique, vous savez comment ils peuvent détruire des fichiers et corrompre des données dans votre système. Si les fichiers et données concernés contenaient des données médicales privées protégées par HIPAA, vous violeriez la loi.
- 2Sauvegardez régulièrement les données médicales. L'enregistrement de toutes les données dans un emplacement hors site garantit la sécurité et la protection des données en cas de panne du disque dur ou du serveur.
- HIPAA couvre toutes les informations de santé sous quelque forme que ce soit qui identifie personnellement le patient. Les directives de sécurité HIPAA garantissent que les informations sur la santé des patients ne tombent pas entre de mauvaises mains et ne sont pas accidentellement modifiées ou détruites.
- La sauvegarde de vos données à un emplacement hors site garantit que les informations médicales privées seront protégées contre la perte ou la corruption en cas de catastrophe telle qu'une inondation ou un incendie dans le bureau.
- Les sauvegardes garantissent également que tous les fichiers ou données supprimés accidentellement peuvent être récupérés.
- Envisagez également de créer un plan d'urgence pour récupérer les données en cas d'urgence ou de suppression accidentelle. Tout plan de ce type doit être écrit pour pouvoir être facilement mis en œuvre si nécessaire.
- 3Contrôlez l'accès aux ordinateurs. Toutes les machines contenant des informations médicales privées doivent être protégées par mot de passe et conservées dans des endroits sécurisés.
- Par exemple, vous ne devriez pas placer un ordinateur dans un couloir ou dans une zone très fréquentée où toute personne autre que le personnel y aurait accès.
- Les ordinateurs doivent expirer après une brève période d'inactivité et les mots de passe doivent être protégés. Le personnel doit mémoriser les mots de passe de l'ordinateur plutôt que de les afficher sur ou à proximité de l'ordinateur lui-même.
- Assurez-vous que les employés ne laissent pas de documents contenant des données médicales privées du patient dans des scanners, des imprimantes ou des télécopieurs.
- Votre système informatique doit avoir une fonction de piste d'audit en place, afin que vous puissiez consulter l'historique d'un fichier particulier et avoir un enregistrement de chaque employé qui a accédé au fichier, quand ils y ont accédé et quelles modifications ont été apportées.
- 4S'assurer que le nouvel équipement est compatible avec les systèmes existants. Si vous achetez de nouveaux ordinateurs ou d'autres équipements, vous devez vous assurer qu'ils ont les mêmes niveaux de protection en place.
- Vous devez également vous assurer que tout nouvel équipement ou toute nouvelle machine que vous mettez en service possède lui-même des fonctions de sécurité suffisantes.
- Gardez à l'esprit qu'une machine peut avoir une sécurité appropriée mais ne pas être compatible avec votre système actuel. De même, un nouvel équipement compatible avec votre système existant peut nécessiter des mises à niveau pour garantir la sécurité des données.
- 5Crypter les courriels et les communications électroniques. L'utilisation du cryptage sur les e-mails et les appareils mobiles peut aider à empêcher la divulgation accidentelle des données médicales du patient.
- La HIPAA n'interdit pas l'utilisation du courrier électronique ou des appareils mobiles pour transmettre des informations sur les patients, ni n'exige spécifiquement que les e-mails soient cryptés. Cependant, le cryptage peut être mis en place assez facilement et constitue une méthode rentable pour garantir la sécurité des données.
- Même si vous ne cryptez pas vos e-mails, vous devez mettre en place une politique sur la manière dont les informations privées des patients sont traitées dans les e-mails et les appareils mobiles.
- Pour déterminer si vous devez utiliser le cryptage pour vous conformer à la HIPAA, vous devez effectuer une évaluation des risques pour analyser si les informations privées des patients risquent d'être consultées par des utilisateurs non autorisés. Si le risque est relativement élevé, vous devez généralement utiliser le cryptage.
- Dans la plupart des cas, il est préférable de faire preuve de prudence et de crypter les données électroniques, même si cela n'est pas spécifiquement requis par la HIPAA.
- Si vous autorisez les patients à demander ou à accéder à leurs informations médicales par courrier électronique ou via une application mobile, incluez une déclaration de divulgation et assurez-vous qu'ils comprennent les risques encourus en accédant à leurs informations de cette manière.
- Si votre organisation autorise le stockage d'informations médicales privées sur des appareils mobiles, vous devez avoir des politiques pour protéger ces informations et réglementer le retrait de ces appareils de votre bureau.
- Les informations de contact des patients doivent également être sécurisées, y compris les listes de diffusion ou autres programmes qui pourraient relier des noms ou des adresses électroniques à des médicaments ou types de traitement particuliers.
- 6Exigez la conformité des fournisseurs informatiques. Si vous avez des sous-traitants ou des entreprises de technologie qui entretiennent ou maintiennent vos systèmes, vous devez vous assurer qu'ils comprennent la sécurité requise par HIPAA.
- Gardez une liste de tous les composants matériels, logiciels et réseau tels que les routeurs que votre organisation utilise. Assurez-vous que tous ont une sécurité adéquate en place, comme un cryptage ou des pare-feu, lorsqu'ils sont installés.
- Vous devez également vous assurer que tous les fournisseurs de technologie avec lesquels vous passez un contrat comprennent les exigences HIPAA et sont prêts à travailler avec vous pour garantir que chacun des composants séparés de vos systèmes informatiques est coordonné pour répondre aux normes de sécurité.
Partie 2 sur 4: élaboration de politiques de conformité
- 1Créez des politiques et des procédures de confidentialité et de sécurité. Pour garantir au mieux la conformité HIPAA, assurez-vous que vos politiques sont universellement applicables à tous les membres de votre organisation qui traitent ou ont accès aux données médicales des patients.
- La HIPAA exige des politiques écrites qui incluent la formation obligatoire des employés et des sanctions en cas de violation de la politique.
- Toutes les politiques et procédures doivent être soigneusement documentées par écrit et généralement accessibles à tous les employés.
- Tous les accords que vous avez avec d'autres associés commerciaux qui peuvent traiter des données médicales doivent également refléter un engagement à la conformité HIPAA. Si vous avez des accords existants exécutés avant l'entrée en vigueur de la loi, assurez-vous qu'ils sont mis à jour afin que la relation continue reflète les exigences de la HIPAA.
- Gardez à l'esprit qu'il n'y a pas de politique universelle prescrite par la HIPAA. Vous devez plutôt créer des politiques et des procédures qui répondent aux besoins particuliers de confidentialité et de sécurité de votre organisation.
- 2Nommez des responsables de la confidentialité et de la sécurité pour faire respecter la conformité. Vos agents doivent bien comprendre et être à jour sur tous les aspects de la HIPAA.
- Les normes de sécurité HIPAA exigent que vous nommiez au moins une personne pour travailler en tant que responsable de la sécurité. Cette personne a non seulement besoin d'une compréhension des exigences légales, mais également des systèmes de votre organisation et de la manière dont ils fonctionnent ensemble.
- 3Fournissez un avis de vos politiques de confidentialité et de sécurité à tous les patients. Chaque patient doit généralement signer un document écrit accusant réception des politiques de votre organisation.
- Votre avis écrit doit expliquer aux patients leurs droits concernant leurs informations de santé et leur dire comment leurs informations de santé seront utilisées ou partagées.
- En plus de donner aux patients leur propre copie de l'avis, assurez-vous que l'avis est affiché à un endroit bien en vue dans votre bureau afin que tout le monde puisse s'y référer au besoin.
- Les patients ne sont pas tenus par la loi de signer le formulaire, mais si un patient refuse de signer, vous devez faire un enregistrement indiquant que vous n'avez pas reçu sa signature.
- Si vous devez partager les informations médicales privées d'un patient pour une raison autre que le traitement ou le paiement d'une facture, vous devez d'abord obtenir l'autorisation du patient.
- 4Documentez toutes les violations. Si un employé ne suit pas les politiques ou procédures de votre organisation, il doit être sanctionné en conséquence et la violation consignée.
- Gardez à l'esprit que si vous ne documentez pas quelque chose, vous ne pourrez pas le prouver plus tard. Si une violation du protocole ou une lacune de sécurité est révélée, vous devez documenter en détail comment le problème a été détecté et quelles mesures ont été prises pour éliminer ou atténuer le risque.
- En cas de violation de la sécurité, vous devez également informer tous les patients dont les informations étaient impliquées.
- Si la violation affecte plus de 500 patients, vous devez également en informer les principaux médias de l'État ou de la région où ces personnes vivent.
Partie 3 sur 4: former les employés
- 1Fournir des copies des directives et politiques écrites aux employés. Chaque employé doit avoir sa propre copie de la politique pour référence.
- HIPAA exige une politique écrite, et celle-ci doit être partagée avec tous les employés qui ont accès à des informations médicales privées.
- Vous devez revoir et mettre à jour vos politiques régulièrement pour vous conformer aux réglementations ou aux opinions HHS.
- Tous les employés doivent être formés et interrogés sur la politique et sur les exigences HIPAA avant de commencer à travailler avec des informations médicales privées.
- Gardez à l'esprit que d'autres personnes qui peuvent avoir accès à des informations médicales privées, y compris des bénévoles ou des stagiaires, doivent également suivre une formation sur les exigences de la HIPAA, même si vous ne les payez pas ou ne les considérez pas comme des employés.
- 2Organisez régulièrement des cours de recyclage. La formation continue garantit que vos employés n'oublient pas les bonnes procédures.
- La loi HIPAA est appliquée par le Bureau des droits civils (OCR) du Département américain de la santé et des services sociaux (HHS). Vous pouvez demander à un conférencier OCR de discuter de la confidentialité des informations de santé avec votre personnel en remplissant le formulaire sur le site Web du HHS.
- Documentez vos efforts de formation afin que vous puissiez démontrer au HHS que la formation est en place et que les employés qui traitent des informations privées sur les patients comprennent les exigences de la HIPAA.
- 3Exiger une formation sur les nouvelles politiques. Si vos politiques changent, vous devez vous assurer que vos employés sont informés des exigences supplémentaires ou des nouvelles procédures.
- Le personnel doit être régulièrement testé pour s'assurer qu'il comprend les normes de confidentialité et de sécurité de la HIPAA. Conservez les tests notés dans le dossier personnel de chaque employé afin que des copies soient disponibles pour votre auditeur OCR.
- 4Appliquer les procédures standard pour les violations de politique. Les employés doivent comprendre les conséquences des violations et la discipline doit être appliquée de manière cohérente et universelle.
- Les employés qui enfreignent vos politiques de confidentialité devraient être sanctionnés et il ne devrait y avoir aucune exception à vos procédures. Faire une exception crée une zone grise concernant la façon dont les données du patient sont sécurisées et ne sera pas tolérée par HHS.
Partie 4 sur 4: réalisation d'évaluations des risques
- 1Contrat avec une entreprise extérieure. Faites appel à une entreprise non liée à votre organisation pour effectuer vos évaluations des risques.
- L'entreprise doit être familiarisée avec les exigences HIPAA et exécuter des tests en utilisant les normes et directives fédérales HIPAA.
- Étant donné que vous serez soumis à des audits réguliers de l'OCR, vous devez conserver les registres de l'entreprise avec laquelle vous passez un contrat et les résultats de l'évaluation des risques pour examen par l'auditeur.
- 2Planifiez des évaluations des risques annuelles. Vous devez demander à l'entreprise d'effectuer des évaluations des risques au moins une fois par an pour vous assurer que vos systèmes sont conformes.
- Les évaluations des risques sont particulièrement importantes si vous utilisez des systèmes informatiques qui ont été installés avant l'entrée en vigueur de la loi HIPAA. Les systèmes plus récents sont plus susceptibles d'être conformes que les systèmes existants qui n'étaient pas tenus de sécuriser les données d'une manière particulière.
- L'évaluation des risques doit comparer vos systèmes informatiques au type de système requis par HIPAA, et identifier les lacunes non couvertes par votre système que la loi exige.
- Même si votre organisation a un haut niveau de conformité, les meilleures sociétés d'évaluation des risques découvriront toujours les domaines où votre système peut être amélioré.
- 3Mettez à jour les systèmes pour faire face aux risques découverts. Si des risques de sécurité sont découverts par l'évaluation, prenez les mesures nécessaires pour remédier au problème.
- Lorsque des révisions sont apportées à HIPAA ou que de nouvelles réglementations sont émises par HHS, vous devez examiner vos systèmes et déterminer les modifications à apporter pour vous assurer de rester en conformité.
- Si une violation de votre protocole de sécurité s'est produite, vous devez enquêter immédiatement et documenter les résultats de cette enquête. Selon le type de violation qui s'est produite, il peut être nécessaire d'informer les patients concernés ou d'informer le HHS ou d'autres autorités.
- 4Réviser les politiques pour minimiser les risques. Certains risques découverts dans votre évaluation des risques peuvent nécessiter l'élaboration de nouvelles procédures pour mieux sécuriser les données médicales du patient.
- Si des changements sont nécessaires pour assurer la conformité HIPAA, assurez-vous de communiquer avec les employés qui seront touchés par le changement et assurez-vous qu'ils sont à bord.
- La communication au sein de certains services est essentielle, d'autant plus que les employés qui travaillent régulièrement au sein du système peuvent avoir de meilleures idées sur la manière de mettre en œuvre le changement plus efficacement.
- Si vous ne savez pas si vous devez vous conformer à la loi HIPAA, HHS a un tableau disponible sur son site Web qui peut vous aider à décider si vous êtes considéré comme une «entité couverte» en vertu de la loi.
Lisez aussi:
Avertissement légal Le contenu de cet article est pour votre information générale et n'est pas destiné à se substituer à des conseils professionnels en droit ou en finance. De plus, il n'est pas destiné à être utilisé par les utilisateurs pour prendre des décisions d'investissement.
En parallèle