Comment éviter le vol de dossier médical?
Environ 5 à 10 millions de personnes sont victimes chaque année d'usurpation d'identité médicale. Pour cette raison, il est essentiel que les bureaux de santé et les particuliers prêtent une attention particulière à la manière dont ils protègent les informations et les dossiers médicaux. En Europe, les prestataires de soins de santé doivent se conformer aux exigences de la loi HIPAA (Health Insurance Portability and Accountability Act), qui définit les normes d'accès aux dossiers médicaux. En tant que fournisseur de soins médicaux, vous bénéficierez grandement du respect de ces normes, qu'elles soient légalement requises ou non. En tant qu'individu, vous pouvez protéger vos dossiers médicaux en les conservant en toute sécurité et en vous attaquant à tout vol d'identité médicale dès qu'il survient.
Méthode 1 sur 3: protéger les dossiers des patients dans un cabinet médical
- 1Sécurisez vos données électroniques. Vos données doivent être sécurisées, ce qui signifie que vous devez stocker des données électroniques derrière un pare-feu et utiliser des mots de passe pour y accéder. Si vous ne le faites pas, vous êtes vulnérable aux violations de la confidentialité.
- Vous pouvez sécuriser les enregistrements papier de la même manière. Enfermez-les dans des classeurs et assurez-vous que seul le personnel agréé possède une clé.
- 2Vérifier qui accède aux dossiers des patients. Vous devez suivre de près qui, dans votre cabinet, accède aux dossiers des patients et les raisons de cet accès. Si vous conservez des dossiers médicaux électroniques, vous devez créer des noms d'utilisateur et des mots de passe pour quiconque a besoin d'accéder aux informations. Vous devez conserver un journal d'audit et suivre les éléments suivants:
- l'enregistrement auquel un utilisateur a accédé
- quand l'enregistrement a été consulté
- ce que l'utilisateur a fait avec l'enregistrement (comme mettre à jour les informations)
- 3Développez des niveaux d'accès. En vertu de la loi HIPAA, un employé ne peut voir que le «minimum nécessaire» d’informations qui lui permet d’exécuter son travail. Pour limiter l'accès, vous devez décider qui a besoin de voir quelles informations. Par exemple, une réceptionniste n'a besoin que de voir le nom du patient et les informations de facturation, alors qu'une infirmière aurait besoin de plus d'informations.
- Si un employé ne travaille qu'avec certains patients, il ne devrait avoir accès qu'à ces informations.
- La création de niveaux est probablement plus facile lorsque vous avez des enregistrements électroniques. Cependant, vous pouvez également restreindre l'accès aux enregistrements physiques. Par exemple, vous pouvez conserver tous les dossiers des patients pour un médecin dans une armoire verrouillée. Chaque médecin pourrait avoir son propre cabinet et une personne pourrait avoir une clé pour tous.
- 4Fournir un accès en cas d'urgence. Parfois, une personne non autorisée à accéder aux informations en a néanmoins besoin. Par exemple, plusieurs personnes autorisées dans votre bureau peuvent être absentes en même temps. Si vous créez une fonction de «remplacement», d'autres personnes peuvent accéder aux informations afin de pouvoir aider à traiter les patients.
- Cependant, vous avez besoin de procédures en place pour pouvoir examiner chaque utilisation de cette fonction de remplacement. Si vous ne le faites pas, les gens pourraient en abuser et la vie privée des patients pourrait être compromise.
- Vous pouvez programmer le logiciel de sorte que plusieurs personnes reçoivent un e-mail chaque fois que la fonction de remplacement est utilisée. Vous pouvez ensuite demander à votre employé pourquoi il l'a utilisé et confirmer que c'était nécessaire.
- 5Sécurisez vos communications par e-mail. Aujourd'hui, de nombreux patients souhaitent accéder à l'information par voie électronique. Ils sont heureux de recevoir les dossiers médicaux par e-mail ou en pièce jointe à un e-mail. Cependant, vous devez soigneusement sécuriser ces communications. Vous violez la HIPAA si vous ne le faites pas.
- Pour sécuriser vos communications par e-mail, vous devez utiliser la technologie de cryptage.
- Voir Rendre le courrier électronique conforme HIPAA pour plus d'informations.
- 6Obtenez l'autorisation de communiquer par voie électronique. Vous pouvez vous protéger contre un procès en demandant aux patients d'autoriser la façon dont vous utilisez leurs informations. Par exemple, vous souhaitez une autorisation signée vous permettant de transmettre des informations par e-mail. Assurez-vous que le formulaire comprend une date d'expiration pour l'autorisation et faites un suivi pour vous assurer que le patient continue d'accepter des méthodes de communication particulières.
- 7Sauvegardez vos informations. Pour vous conformer à la loi HIPAA, vous devez sauvegarder toutes vos informations. Souvent, cela signifie le stocker dans plusieurs endroits ou dans plusieurs formats. Vérifiez auprès de vos fournisseurs.
- Par exemple, tous les dossiers papier de votre bureau doivent avoir des copies stockées hors site. Vous pouvez également créer des numérisations numériques.
- Les données électroniques doivent être sauvegardées électroniquement. Par conséquent, si vous utilisez vos propres serveurs, vous devez savoir quelles politiques de sauvegarde sont en place.
- 8Exiger des associés commerciaux qu'ils protègent les données des patients. Tout fournisseur ou associé qui accède à vos dossiers / informations patient doit accepter de protéger les données et de suivre les procédures de votre cabinet. Demandez-leur de signer un accord "Business Associate".
- Vous pouvez trouver un exemple de contrat sur le site Web de la Santé et des Services sociaux ici: http://hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
- Demandez à votre avocat de réviser le contrat et de le réviser en fonction de vos besoins.
- 9Déchiquetez les vieux documents. Ne jetez pas de vieux documents dans une benne à ordures et espérez que personne ne passe au peigne fin et ne récupère les informations. Assurez-vous plutôt que les enregistrements sont correctement déchiquetés. Vous pouvez faire appel à des entreprises pour qu'elles viennent à votre bureau et déchiquettent de grandes quantités de documents papier.
- N'oubliez pas de déchiqueter plus que de simples documents papier. Vous devez également déchiqueter les enregistrements électroniques, les disques durs et les rayons X.
- Détruisez également correctement tout équipement électronique pouvant stocker des informations sur les patients, tels que les scanners CT.
- 10Signalez les violations des informations des patients. La loi fédérale a des exigences de notification spécifiques chaque fois que les données des patients sont violées. Selon votre situation, vous devrez peut-être notifier ce qui suit:
- Avertissez les patients concernés chaque fois qu'il y a violation de leurs informations.
- Contactez le secrétaire de la Santé et des Services sociaux pour notifier rapidement toute violation.
- Avertissez le public et les médias si la violation affecte 500 patients ou plus.
Méthode 2 sur 3: conserver vos dossiers médicaux individuels
- 1Obtenez une copie de votre dossier médical. Toute personne doit obtenir une copie de son dossier médical, qu'elle ait été victime ou non d'un vol d'identité médicale. Obtenez une copie de votre dossier médical pour chaque membre de votre famille, y compris vos enfants.
- Une copie de votre dossier médical fournit une «base de référence» de vos véritables antécédents médicaux. Une fois que vous êtes victime d'une fraude, il peut être difficile pour votre professionnel de la santé de reconstituer vos véritables antécédents médicaux. Pour cette raison, vous devriez obtenir une copie du fichier dès que possible.
- Votre cabinet médical peut vous facturer les copies. Si vous avez un accès en ligne à vos enregistrements, vous pouvez prendre des instantanés.
- 2Protégez votre carte d'assurance maladie. Vous devez protéger votre carte d'assurance maladie comme vous le feriez avec votre carte de sécurité sociale. Bien que vous souhaitiez la carte avec vous en cas d'urgence, vous pouvez la photocopier et la transporter avec vous. Assurez-vous de noircir les quatre derniers chiffres de la carte.
- En cas d'urgence, tout prestataire médical peut appeler votre assureur pour trouver le numéro complet.
- Si vous avez un rendez-vous chez le médecin, vous pouvez emporter la vraie carte chez le médecin.
- 3Limitez les informations médicales que vous partagez. Vous pouvez protéger vos informations médicales en refusant de les partager par téléphone ou en ligne. Ne partagez jamais avec quelqu'un qui vous appelle, même s'il propose une offre de médicaments gratuits en échange de vos informations médicales.
- Si vous partagez des informations médicales en ligne, assurez-vous d'utiliser une connexion sécurisée. Regardez dans la barre d'état et assurez-vous que l'adresse commence par "https" - le "s" signifie sécurisé.
- 4Conservez des copies des dossiers médicaux en toute sécurité. Vous devez verrouiller vos dossiers médicaux dans un endroit sûr, comme dans un coffre-fort à domicile. Les dossiers comprennent les déclarations des médecins, les renseignements sur les médicaments d'ordonnance et les renseignements ou formulaires sur les polices d'assurance. Une fois que vous n'avez plus besoin de ces enregistrements, n'oubliez pas de les déchiqueter avant de les jeter.
- Retirez également l'étiquette de tout flacon de médicament avant de le jeter. Vous ne voulez pas que quiconque retire des informations de la bouteille.
Méthode 3 sur 3: réponse au vol d'identité médicale
- 1Recevoir une notification de violation. De nombreux assureurs maladie ont subi des violations de données ces dernières années. Ils doivent vous contacter et vous informer chaque fois qu'une violation se produit en vous envoyant une lettre.
- Même si vous ne recevez aucune notification d'un assureur, vous devez tout de même garder un œil attentif sur vos dossiers médicaux et vos antécédents de crédit.
- 2Étudiez vos déclarations d'assurance. Lisez tous les courriers que vous recevez de votre assureur. Si vous recevez des factures, vérifiez si vous avez utilisé l'un des services répertoriés. Vous devriez recevoir une lettre «expliquant les avantages» après avoir reçu le traitement.
- 3Demandez un relevé des prestations de santé payées. Certains voleurs d'identité changeront votre adresse postale. Par conséquent, il se peut que vous ne receviez aucune communication de votre assureur. Pour cette raison, vous devez appeler chaque année votre assureur et lui demander une copie des prestations de santé payées pour cette année.
- 4Corrigez les erreurs dans vos dossiers médicaux. Vous devriez écrire une lettre à votre assureur et à vos fournisseurs de soins médicaux. Indiquez quelles informations sont inexactes. Envoyez votre lettre par courrier recommandé, accusé de réception demandé.
- Si vous avez heureusement obtenu des copies de vos dossiers médicaux avant la fraude, vous pouvez montrer à votre assureur et à vos fournisseurs à quoi devraient ressembler vos antécédents médicaux.
- Incluez également une copie de votre rapport de police.
- Votre fournisseur médical ou votre plan de santé doit modifier les informations erronées. Si ce n'est pas le cas, dites-leur que vous souhaitez inclure une brève «déclaration de contestation» dans le dossier. La déclaration peut être courte. Vous pouvez dire quelque chose comme: «Je n'ai jamais rendu visite au médecin aux dates suivantes» et ensuite énumérer les dates.
- 5Tirez une copie de votre rapport de crédit. Les dettes médicales impayées seront signalées aux trois agences nationales d'évaluation du crédit (ARC) - TransUnion, Equifax et Experian. Vous pouvez obtenir une copie gratuite de ces rapports de crédit chaque année. Ne demandez pas directement une copie à l'ARC. Au lieu de cela, utilisez l'une des méthodes suivantes:
- Appelez au 1-877-322-8228. Votre rapport doit vous être envoyé par la poste.
- Visitez http://annualcreditreport.com. Entrez vos informations et vous recevrez votre rapport de crédit par voie électronique.
- Remplissez le formulaire de demande de rapport de crédit annuel de la Federal Trade Commission, disponible ici: https://consumer.ftc.gov/articles/pdf-0093-annual-report-request-form.pdf. Vous pouvez envoyer le formulaire rempli à l'adresse imprimée dessus.
- 6Signalez le vol d'identité médicale aux autorités. Vous devez informer la police que quelqu'un a volé votre identité et l'a utilisée pour commettre un vol d'identité médicale. Assurez-vous d'obtenir une copie du rapport de police.
- Si vous avez été victime d'une fraude à Medicare, composez le 1-800-633-4227.
- Les victimes de fraude Medicaid doivent appeler le 1-800-447-8477.
- 7Contestez toute mauvaise dette médicale sur votre rapport de crédit. Passez en revue et vérifiez si vous voyez des dettes médicales impayées rapportées sur votre historique de crédit. Malheureusement, les trois ARC ne comptabilisent pas les dettes médicales (impayées) pendant 180 jours après leur déclaration. Néanmoins, vous devriez consulter votre rapport de crédit une fois par an.
- Si vous trouvez une dette qui n'était pas la vôtre, vous devriez la contester. Vous devriez écrire une lettre de contestation à l'ARC sur laquelle la dette a été déclarée. Vous pouvez utiliser un exemple de lettre de contestation disponible auprès de la FTC ici: https://consumer.ftc.gov/articles/0384-sample-letter-disputing-errors-your-credit-report.
- L'ARC demandera à l'entité qui a inscrit la dette médicale d'enquêter. Vous devriez recevoir une réponse dans les 30 à 45 jours.