Qu’est-ce que la conformité à l’HIPAA, ou HIPAA Compliance ?

Le respect de la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) exige que les entreprises qui traitent des informations de santé protégées (PHI) aient mis en place des mesures de sécurité physiques, de réseau et de processus et qu’elles les suivent.

Toute personne fournissant des traitements, des paiements et des opérations dans le domaine des soins de santé est soumise aux règles de conformité de l'HIPAA. Les associés commerciaux, y compris toute personne ayant accès aux informations sur les patients et fournissant un soutien en matière de traitement, de paiement ou d'opérations, doivent également se conformer à l’HIPAA. D'autres entités comme les sous-traitants et tout autre associé commercial lié, sont également liées par l'HIPAA.^[1]

L'HIPAA est une série de normes réglementaires fédérales américaines qui décrivent l'utilisation et la divulgation légales des informations de santé protégées aux États-Unis.

La conformité à l'HIPAA est réglementée par le ministère de la santé et des services sociaux (HHS) et appliquée par l'Office for Civil Rights (OCR).

La conformité à l'HIPAA est une culture vivante que les organisations de soins de santé doivent mettre en œuvre dans leurs activités afin de protéger la vie privée, la sécurité et l'intégrité des informations de santé protégées.^[2]

La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie a été adoptée par le Congrès américain et promulguée par le président Bill Clinton.

L'HIPAA a été promulguée principalement pour :

• Moderniser le flux d'informations sur les soins de santé.
• Stipuler comment les informations personnelles identifiables (IPI ou Identifiable Personal Information) conservées par les secteurs des soins de santé et de l'assurance maladie doivent être protégées contre la fraude et le vol.
• Aborder les limites de la couverture d'assurance maladie, comme la transférabilité et la couverture des personnes souffrant de préexistences.^[3]

L'HIPAA a imposé des normes nationales pour protéger les informations sensibles sur la santé des patients contre toute divulgation à leur insu ou sans leur consentement. Le ministère américain de la santé et des services sociaux (HHS) a publié la règle de confidentialité de l'HIPAA pour mettre en œuvre ce mandat.^[4]

La règle de confidentialité comporte 12 exceptions : des cas dans lesquels les données des patients peuvent être partagées avec d'autres entités sans son consentement.

Ces exceptions sont les suivantes :

• Victimes de violence domestique ou d'autres agressions.
• Procédures judiciaires et administratives.
• Don d'organes, d'yeux ou de tissus cadavériques.
• Indemnisation des travailleurs.^[5]

Un autre élément clé de l'HIPAA est la règle de sécurité, qui existe au sein de la règle de confidentialité. Ce sous-ensemble est constitué de toutes les informations de santé identifiables individuellement qu'une entité couverte crée, reçoit, conserve ou transmet sous forme électronique. Les éléments clés de la Règle de sécurité de l'HIPAA sont les suivants :

• Assurer la confidentialité, l'intégrité et la disponibilité de toutes les informations de santé électroniques protégées.
• Détecter les menaces anticipées pour la sécurité de l'information et s'en prémunir.
• Protéger contre les utilisations ou divulgations non autorisées anticipées.
• Certifier la conformité de leur personnel.

Les informations de santé protégées (PHI pour Protected Health Information) sont des informations démographiques qui peuvent être utilisées pour identifier un patient ou un client d'une entité détenue par l'HIPAA.

Parmi les exemples courants de PHI figurent les noms, adresses, numéros de téléphone, numéros de sécurité sociale, dossiers médicaux, informations financières et photos faciales complètes, pour n'en citer que quelques-uns.^[6]

Les prestataires de soins de santé et les autres entités qui s'occupent des PHI passent à l'informatique en mettant en place des systèmes informatisés de saisie des ordonnances médicales (CPOE), des dossiers de santé électroniques (DSE) et des systèmes en radiologie, en pharmacie et en laboratoire. De même, les régimes de santé donnent accès aux demandes de remboursement ainsi qu'aux applications de gestion des soins et de libre-service.

Si toutes ces méthodes électroniques permettent d'accroître l'efficacité et la mobilité, elles augmentent aussi considérablement les risques de sécurité auxquels sont exposées les données de santé.^[7] Et ces nouveaux risques rendent le respect de l’HIPAA plus important que jamais.

Le HHS détaille les garanties physiques et techniques que doivent respecter les entités qui hébergent des données sensibles sur les patients :

• Accès limité aux installations et contrôle de celles-ci avec mise en place d'un accès autorisé.
• Politiques concernant l'utilisation et l'accès aux postes de travail et aux médias électroniques.
• Restrictions concernant le transfert, l'enlèvement, l'élimination et la réutilisation des supports électroniques et de l'ePHI.

Dans le même ordre d'idées, les garanties techniques de l’HIPAA exigent un contrôle d'accès permettant au seul personnel autorisé d'accéder à l'ePHI.

Le contrôle d'accès comprend :

• Utilisation d'identifiants uniques d'utilisateur.
• Procédures d'accès d'urgence.
• Déconnexion automatique.
• Chiffrement et déchiffrement.
• Rapports d'audit ou journaux de suivi qui enregistrent l'activité sur le matériel et les logiciels.

D'autres politiques techniques pour la conformité à l'HIPAA incluent la nécessité de couvrir les contrôles d'intégrité, ou les mesures mises en place pour confirmer que les informations électroniques sur la santé des patients (ePHI) ne sont pas altérées ou détruites. La reprise après sinistre informatique et la sauvegarde hors site sont des éléments clés qui garantissent que les erreurs et les défaillances des supports électroniques sont rapidement corrigées afin que les informations de santé des patients soient récupérées de manière précise et intacte.

La sécurité du réseau ou de la transmission qui garantit que les hôtes conformes à la HIPAA protègent contre l'accès non autorisé aux ePHI est le dernier rempart contre les incidents. Cette protection s'applique à toutes les méthodes de transmission de données, y compris les emails, internet ou les réseaux privés, comme un cloud privé par exemple.

Les meilleures solutions de protection des données de santé reconnaissent que les données ne se perdent pas d'elles-mêmes. Elles sont exposées par des personnes - des personnes qui sont négligentes, malveillantes ou compromises par un agresseur extérieur.

C'est pourquoi la conformité effective est centrée sur les personnes, en se concentrant sur toutes les façons dont les gens peuvent exposer par inadvertance ou délibérément les données des patients sous toutes les formes, y compris les données structurées et non structurées : les emails, les documents et les scanners, tout en permettant aux prestataires de soins de santé de partager les données en toute sécurité pour garantir les meilleurs soins possibles aux patients.

Les patients confient leurs données aux organismes de soins de santé, et il est du devoir de ces organismes de prendre soin de leurs informations de santé protégées.^[5]

Le Bureau de l'inspecteur général (OIG) du HHS a créé les sept éléments d'un programme de conformité efficace afin de donner des conseils aux organisations pour qu'elles examinent les solutions de conformité ou créent leurs propres programmes de conformité.

Il s'agit des exigences minimales absolues auxquelles un programme de conformité efficace doit répondre. En plus de répondre à l'ensemble des normes de sécurité et de protection de la vie privée prescrites par l'HIPAA, un programme de conformité efficace doit également avoir la capacité de traiter chacun des sept éléments.

Les sept éléments d'un programme de conformité efficace sont les suivants :

1. Mettre en œuvre des politiques, des procédures et des normes de conduite écrites.
2. Désigner un responsable de la conformité et un comité de conformité.
3. Mener une formation et un enseignement efficaces.
4. Développer des lignes de communication efficaces.
5. Effectuer un contrôle et un audit interne.
6. Faire respecter les normes grâce à une publicité adéquate.
7. Répondre rapidement aux infractions détectées et prendre des mesures correctives.

Au cours d'une enquête menée par l'OCR en réponse à une violation de l'HIPAA, les auditeurs fédéraux de l'HIPAA compareront le programme de conformité de votre organisation aux sept éléments afin de juger de son efficacité.^[8]

[1] Digital Guardian. “A Definition of HIPAA Compliance”
[2] Compliancy Group. “What is HIPAA Compliance?”
[3] The HIPAA Guide. “HIPAA for Dummies”
[4] Centers for Disease Control and Prevention
[5] Ibid.
[6] Compliancy Group. “What is Protected Health Information?”
[7] Digital Compliance. “The need for HIPAA compliance”
[8] Compliancy Group. “What are the Seven Elements of an Effective Compliance Program?”