Quand l’HIPAA a-t-elle été créée ?
Notre leçon d’histoire de l’HIPAA commence le 21 août 1996, lorsque la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) a été promulguée, mais pourquoi la loi HIPAA a-t-elle été créée ? La loi HIPAA a été créée pour « améliorer la portabilité et la responsabilité de la couverture d’assurance maladie » pour les employés entre deux emplois. D’autres objectifs de la loi étaient de lutter contre le gaspillage, la fraude et les abus dans l’assurance maladie et la prestation des soins de santé. La loi contenait également des passages visant à promouvoir l’utilisation des comptes d’épargne médicale en introduisant des allègements fiscaux, à fournir une couverture aux employés ayant des conditions médicales préexistantes et à simplifier l’administration de l’assurance maladie.
Les procédures de simplification de l’administration de l’assurance maladie sont devenues un véhicule pour encourager l’industrie des soins de santé à informatiser les dossiers médicaux des patients. Cette partie particulière de la loi a donné naissance à la loi sur les technologies de l’information sur la santé pour la santé économique et clinique (HITECH) en 2009, qui a conduit à son tour à l’introduction du programme incitatif Meaningful Use – décrit par les dirigeants du secteur des soins de santé comme « le plus important texte de loi sur les soins de santé à être adopté au cours des 20 à 30 dernières années ».
Les règles de confidentialité et de sécurité de l’HIPAA prennent forme
Une fois que l’HIPAA a été signé en tant que loi, le département américain de la santé et des services sociaux a entrepris de créer les premières règles de confidentialité et de sécurité de l’HIPAA. La règle de confidentialité avait une date de conformité effective le 14 avril 2003, et elle définissait les informations de santé protégées (PHI) comme « toute information détenue par une entité couverte qui concerne l’état de santé, la fourniture de soins de santé ou le paiement de soins de santé et qui peut être liée à un individu ».
Des instructions ont été émises sur la façon dont les PHI doivent être divulgués et que la permission doit être demandée aux patients avant d’utiliser leurs informations personnelles pour le marketing, la collecte de fonds ou la recherche. Elle a également donné aux patients le droit de ne pas divulguer les informations sur leurs soins de santé aux prestataires d’assurance maladie lorsque leur traitement est financé par des fonds privés.
La règle de sécurité HIPAA est entrée en vigueur deux ans après la législation initiale, le 21 avril 2005. Traitant spécifiquement des PHI stockés électroniquement (ePHI), la règle de sécurité a établi trois garanties de sécurité – administrative, physique et technique – qui doivent être respectées dans leur intégralité pour se conformer à l’HIPAA. Les mesures de protection avaient les objectifs suivants :
- Administratif – créer des politiques et des procédures conçues pour montrer clairement comment l’entité se conformera à la loi.
- Physiques – contrôler l’accès physique aux zones de stockage des données pour les protéger contre tout accès inapproprié
- Techniques – protéger les communications contenant des PHI lorsqu’elles sont transmises électroniquement sur des réseaux ouverts
Quand l’HIPAA est-il entré en vigueur ?
En quelle année l’HIPAA a-t-il été promulgué ? L’HIPAA a été signé en tant que loi le 21 août 1996, mais il y a eu des ajouts majeurs à l’HIPAA au cours des 20 dernières années : L’introduction de la règle de confidentialité, de la règle de sécurité, de la règle de notification des brèches et de la règle finale omnibus.
Les dates d’entrée en vigueur les plus importantes sont : Le 14 avril 2003 pour la règle de confidentialité de l’HIPAA, bien qu’il y ait eu une extension d’un an pour les petits plans de santé, qui devaient se conformer aux dispositions de la règle de confidentialité de l’HIPAA avant le 14 avril 2004.
La date de conformité effective pour la règle de sécurité de l’HIPAA était le 21 avril 2005. Comme pour la règle de confidentialité HIPAA, les petits plans de santé ont bénéficié d’une année supplémentaire pour se conformer aux dispositions de la règle de sécurité HIPAA et ont eu une date de conformité effective le 21 avril 2006.
La règle de notification des violations HIPAA est entrée en vigueur le 23 septembre 2009 et la règle finale omnibus est entrée en vigueur le 26 mars 2013.
L’introduction de la règle d’application
L’échec de nombreuses entités couvertes à se conformer pleinement aux règles de confidentialité et de sécurité de l’HIPAA a entraîné l’introduction de la règle d’application en mars 2006. La Enforcement Rule a donné au Department of Health and Human Services le pouvoir d’enquêter sur les plaintes déposées contre les entités couvertes pour non-respect de la Privacy Rule, et d’infliger des amendes aux entités couvertes pour des violations évitables des ePHI dues au non-respect des mesures de protection établies par la Security Rule.
Le Department’s Office for Civil Rights a également reçu le pouvoir d’engager des poursuites pénales contre les contrevenants récidivistes qui n’introduisent pas de mesures correctives dans les 30 jours. Les individus ont également le droit d’intenter une action en justice civile contre l’entité couverte si leurs informations personnelles sur les soins de santé ont été divulguées sans leur permission si cela leur cause un « préjudice grave ».
HITECH 2009 et la Breach Notification Rule
L’histoire de l’HIPAA s’est poursuivie en 2009 avec l’introduction de la loi sur les technologies de l’information sur la santé économique et clinique (HITECH). HITECH avait pour objectif principal de contraindre les autorités de santé à mettre en œuvre l’utilisation des dossiers médicaux électroniques (DME) et a introduit le programme incitatif Meaningful Use. La première étape de Meaningful Use a été déployée l’année suivante, incitant les organisations de soins de santé à conserver les informations de santé protégées des patients au format électronique, plutôt que dans des dossiers papier.
Avec le programme d’incitation, il y a également eu une extension des règles HIPAA aux associés commerciaux et aux fournisseurs tiers du secteur des soins de santé, ainsi que l’introduction de la règle de notification des violations – qui stipule que toutes les violations des ePHI affectant plus de 500 personnes doivent être signalées à l’Office for Civil Rights du Department of Health and Human Services. Les critères de notification des brèches d’ePHI ont ensuite été étendus dans la Final Omnibus Rule de mars 2013.
La Final Omnibus Rule de 2013
L’acte législatif le plus récent dans l’histoire de l’HIPAA a été la Final Omnibus Rule de 2013. Cette règle a à peine introduit une nouvelle législation, mais a comblé les lacunes des réglementations HIPAA et HITECH existantes – par exemple, en spécifiant les normes de cryptage qui doivent être appliquées pour rendre les ePHI inutilisables, indéchiffrables et illisibles en cas de violation.
De nombreuses définitions ont été modifiées ou ajoutées pour éclaircir les zones grises – par exemple, la définition de la « main-d’œuvre » a été modifiée pour préciser que le terme inclut les employés, les bénévoles, les stagiaires et les autres personnes dont la conduite, dans l’exécution du travail pour une entité couverte ou un associé commercial, est sous le contrôle direct de l’entité couverte ou de l’associé commercial.
Les règles de confidentialité et de sécurité ont également été modifiées pour permettre de conserver indéfiniment les informations de santé des patients (la législation précédente stipulait qu’elles devaient être conservées pendant cinquante ans), tandis que de nouvelles procédures ont été inscrites dans la règle de notification des violations. De nouvelles sanctions ont également été appliquées – comme le dicte HITECH – aux entités couvertes qui ne respectent pas la règle d’application de l’HIPAA.
Des amendements ont également été inclus pour tenir compte de l’évolution des pratiques de travail induite par les avancées technologiques, couvrant notamment l’utilisation des appareils mobiles. Un nombre important de professionnels de la santé utilisent désormais leurs propres appareils mobiles pour accéder aux ePHI et les communiquer, et la Final Omnibus Rule a inclus de nouvelles procédures et politiques administratives pour en tenir compte, et pour couvrir des scénarios qui n’auraient pas pu être prévus en 1996. Le texte complet de la Final Omnibus Rule peut être consulté ici.
Après de multiples retards, la date limite pour l’utilisation par les États-Unis de la Clinical Modification ICD-10-CM pour le codage des diagnostics et du Procedure Coding System ICD-10-PCA pour le codage des procédures des patients hospitalisés a finalement été fixée au 1er octobre 2015. Toutes les entités couvertes par l’HIPAA doivent utiliser l’ICD-10-CM. Une autre exigence est ces de la version 5010 de l’EDI.
Dates clés dans l’histoire de l’HIPAA
- Août 1996 – HIPAA signé dans la loi par le président Bill Clinton.
- Avril 2003 – Date d’entrée en vigueur de la règle de confidentialité HIPAA.
- Avril 2005 – Date d’entrée en vigueur de la règle de sécurité HIPAA.
- Mars 2006 – Date d’entrée en vigueur de la HIPAA Breach Enforcement Rule.
- Septembre 2009 – Date d’entrée en vigueur de HITECH et de la Breach Notification Rule.
- Mars 2013 – Date d’entrée en vigueur de la Final Omnibus Rule.
Dans certaines circonstances, les EC et les BA ont bénéficié d’un délai pour se conformer aux dispositions de chaque règle. Par exemple, bien que la date d’entrée en vigueur de la règle omnibus finale ait été mars 2013, les EC et les BA ont eu 180 jours pour se conformer. D’autres dates clés de l’histoire de l’HIPAA peuvent être trouvées dans notre infographie ci-dessous.
Conséquences de la règle omnibus finale
Ce que la règle omnibus finale a réalisé plus que toute législation précédente, c’est de rendre les entités couvertes plus conscientes des garanties HIPAA qu’elles devaient respecter. De nombreuses organisations de soins de santé – qui avaient enfreint l’HIPAA pendant près de deux décennies – ont mis en œuvre un certain nombre de mesures pour se conformer à la réglementation, comme l’utilisation du cryptage des données sur les appareils portables et les réseaux informatiques, la mise en œuvre de solutions de messagerie sécurisée pour les communications internes avec les équipes de soins, l’installation de filtres Web et un plus grand soin apporté à l’archivage sécurisé des courriels.
Les pénalités financières maintenant émises pour les violations de données ainsi que les coûts colossaux de l’émission de notifications de violation, de la fourniture de services de surveillance du crédit et de la conduite de l’atténuation des dommages font que l’investissement dans les nouvelles technologies pour protéger les données semble bon marché en comparaison.
Le programme d’audit de conformité HIPAA
En 2011, le Bureau des droits civils a commencé une série d’audits de conformité pilotes pour évaluer dans quelle mesure les fournisseurs de soins de santé mettaient en œuvre les règles de confidentialité et de sécurité HIPAA. La première série d’audits a été achevée en 2012 et a mis en évidence l’état désastreux de la conformité des soins de santé.
Les organisations auditées ont enregistré de nombreuses violations de la règle de notification des violations de l’HIPAA, de la règle de confidentialité et de la règle de sécurité, cette dernière entraînant le plus grand nombre de violations. L’OCR a publié des plans d’action pour aider ces organisations à se mettre en conformité ; cependant, pour la deuxième série d’audits, on ne s’attend pas à ce qu’il soit aussi indulgent.
Les audits devraient cibler les domaines spécifiques qui se sont avérés problématiques pour tant de prestataires de soins de santé, tandis qu’un plan d’audit permanent est prévu pour assurer une conformité HIPAA continue. L’ère des normes de sécurité laxistes est désormais révolue et le secteur des soins de santé, comme le secteur financier avant lui, doit élever les normes pour garantir que les données confidentielles restent privées.
Toute entité couverte qui ne met pas en œuvre les contrôles requis risque des pénalités financières, des sanctions, une perte potentielle de licence et même des poursuites pénales pour ne pas avoir sécurisé les ePHI.
Comment atteindre une conformité totale à l’HIPAA
Notre « liste de contrôle de conformité à l’HIPAA » couvre les éléments de la loi sur la portabilité et la responsabilité en matière d’assurance santé relatifs au stockage, à la transmission et à l’élimination des informations de santé protégées électroniques, les actions que les organisations doivent prendre en réponse à une violation et les politiques et procédures qui doivent être adoptées pour atteindre une conformité totale.
Les règlements de l’HIPAA peuvent être stricts, pourtant les organisations couvertes ont droit à une certaine flexibilité sur les garanties de confidentialité et de sécurité utilisées pour protéger les données. Le cryptage des données, par exemple, doit être abordé mais pas nécessairement mis en œuvre si d’autres contrôles fournissent la protection nécessaire.
Certaines des principales garanties techniques utilisées pour protéger et contrôler les ePHI contribuent en fait à rationaliser la communication et le flux d’informations, et les organisations qui ont adopté des canaux de communication sécurisés et mis en œuvre des contrôles de données ont bénéficié d’une meilleure efficacité, de temps de réponse plus rapides et ont amélioré les résultats des patients, tout en veillant à ce que les données de santé des patients restent entièrement protégées à tout moment.
Les garanties techniques pour sécuriser les ePHI et les identifiants personnels
Le cryptage des données
L’utilisation d’ordinateurs portables et d’autres appareils mobiles pour stocker ou accéder aux ePHI entraîne inévitablement une violation de la loi HIPAA si ces appareils sont perdus, volés ou recyclés de manière inappropriée. La protection par mot de passe des appareils – et des données qu’ils contiennent – est une mesure raisonnable pour empêcher tout accès non autorisé, mais elle ne suffit pas à elle seule à assurer la protection nécessaire des données de santé. Les mots de passe peuvent facilement être craqués par des pirates et ne fournissent pas un niveau de sécurité suffisamment élevé.
Le cryptage des données implique la conversion des données en symboles indéchiffrables – appelés texte chiffré – par des algorithmes complexes, qui nécessitent une clé de sécurité pour reconvertir les données dans leur forme originale. Le cryptage des données garantit la confidentialité, mais peut offrir d’autres avantages en matière de sécurité, tels que la vérification des utilisateurs, la journalisation des accès, la prévention des modifications d’enregistrement et la non-répudiation de l’accès et/ou du vol.
Le niveau de sécurité peut être ajusté comme il convient en fonction de la sensibilité des données qu’il sert à protéger. Les données peuvent être cryptées avec un accès unique à la clé de sécurité ou avec des clés distinctes pour le cryptage et le décryptage (cryptage symétrique et asymétrique des données).
Si un appareil mobile est perdu ou volé ou si les réseaux informatiques sont piratés, alors que cela sera considéré comme une violation de sécurité, il ne s’agirait pas d’une violation de l’HIPAA à moins que la clé d’accès ne soit également divulguée.
Messagerie sécurisée
L’industrie des soins de santé et le téléavertisseur semblent presque inséparables, pourtant cela est sur le point de changer. L’accent sur la conformité HIPAA est actuellement centré sur les Smartphones et les technologies portables, pourtant le pager n’est pas conforme à la HIPAA. Tous les appareils mobiles transmettent des données sur des réseaux non sécurisés et s’appuient donc sur le fait que les utilisateurs n’envoient pas d’ePHI.
Les schémas BYOD ont maintenant été introduits par de nombreux fournisseurs de soins de santé, bien que les appareils mobiles modernes aient un potentiel encore plus grand pour causer des violations HIPAA en raison de la facilité avec laquelle les identifiants personnels et les ePHI peuvent être envoyés. Des politiques et des procédures peuvent être mises en place pour contrôler la façon dont ces appareils sont utilisés, bien que des enquêtes suggèrent qu’en pratique, de nombreux professionnels de la santé utilisent encore ces appareils pour communiquer des ePHI.
Les solutions de messagerie sécurisée empêchent cela. Elles fonctionnent en conservant les ePHI sur une base de données sécurisée, puis en permettant aux professionnels médicaux autorisés d’accéder aux données via des applications de messagerie sécurisée téléchargeables. Les communications sont acheminées par une plateforme de messagerie sécurisée qui dispose de contrôles administratifs pour surveiller l’activité du personnel autorisé. Ils ont également des agents de conformité pour produire des évaluations des risques, comme l’exigent les auditeurs de l’HIPAA et de l’Office for Civil Rights.
De nombreuses organisations de soins de santé ont signalé que la mise en œuvre de solutions de messagerie sécurisée a augmenté la productivité en rationalisant les communications, en augmentant la responsabilité des messages et en accélérant les temps de réponse. Selon des études menées dans des établissements médicaux conformes à la loi HIPAA, l’efficacité a également augmenté, ce qui se traduit par un meilleur niveau de soins de santé dispensés aux patients.
Stage en nuage conforme
Le passage des dossiers médicaux physiques aux formats de données électroniques a nécessité des investissements considérables dans l’infrastructure informatique. Les exigences imposées aux organismes de santé pour mettre continuellement à niveau les serveurs et les réseaux, et employer le personnel pour gérer les centres de données, peuvent être considérables. En plus du matériel, il faut consacrer de l’espace au stockage de l’équipement et des contrôles physiques doivent être utilisés pour contrôler l’accès.
L’équipement informatique désormais nécessaire pour faire fonctionner de grands réseaux et stocker les données de soins de santé exige l’installation de systèmes de refroidissement pour dissiper la chaleur que l’équipement génère. La solution la plus rentable pour de nombreux prestataires de soins de santé consiste à externaliser le stockage des données et à profiter du cloud pour stocker les données. L’hébergement en nuage conforme à l’HIPAA utilise les contrôles appropriés pour sécuriser toutes les données stockées par cryptage. En externalisant, les organisations de soins de santé peuvent se conformer aux réglementations HIPAA sans avoir à investir aussi lourdement dans l’infrastructure informatique.
Plateformes mobiles conformes (développement d’applications)
Les applications de santé mobiles sont populaires auprès des patients pour le suivi et la surveillance de la santé et de la forme physique, et les dispositifs portables ont le potentiel de révolutionner les soins à domicile. Ils peuvent être utilisés en conjonction avec les visites électroniques pour fournir des services de soins à domicile aux patients à une fraction des visites dans les centres de soins de santé.
Les portails pour patients ont de même un grand potentiel et améliorent l’interaction entre les fournisseurs de soins et les patients, et réduisent les coûts inutiles tout en aidant à améliorer les résultats des patients. Le développement de cadres d’applications mobiles conformes à l’HIPAA, de stockage conforme et de solutions web conformes à l’HIPAA signifie que les prestataires de soins de santé peuvent profiter des avantages des nouvelles technologies sans mettre en péril la confidentialité et la sécurité des données des patients.
Des garanties techniques supplémentaires pour sécuriser les ePHI et les identifiants personnels sont sans doute en cours de planification maintenant et auront un impact sur l’histoire de l’HIPAA à l’avenir. En attendant, voici une brève chronologie de l’histoire de l’HIPAA.