HIPAA

Les patients croient, et supposent à juste titre, que les informations qu'ils partagent en toute confiance resteront confidentielles. Bien qu'il existe de nombreuses lois et réglementations sur la confidentialité concernant les informations personnellement identifiables (PII) et, en particulier, les informations personnellement identifiables sensibles (SPII), il existe des règles spécifiques liées aux informations de santé. Aux États-Unis, la confidentialité de ces données est régie par la Health Insurance Portability and Accountability Act of 1996 (HIPAA ou Kennedy–Kassebaum Act), promulguée le 21 août 1996.

Au fond, la HIPAA affirme que les informations recueillies et enregistrées dans le cadre des soins d’un patient sont confidentielles. Divulguer toute PII ou SPII à des tiers à des fins commerciales sans consentement sape la confiance et viole les principes du consentement éclairé et de la confidentialité. Cependant, le préjudice s’étend à l’intégrité de la relation patient-médecin concernant les informations de santé. La HIPAA stipule comment les secteurs des soins de santé et de l’assurance maladie doivent protéger les informations de santé protégées (PHI) contre la fraude et le vol.

HIPAA comporte cinq titres :

• Title I protège la couverture d'assurance maladie des travailleurs et de leurs familles lorsqu'ils changent ou perdent leur emploi.
• Titre II, également connu sous le nom de dispositions de Simplification Administrative (SA), exige l'établissement de normes nationales pour les transactions électroniques de soins de santé et d'identifiants nationaux pour les prestataires, les régimes d'assurance maladie et les employeurs.
• Titre III établit des lignes directrices pour les comptes de dépenses médicales avant impôt
• Titre IV établit des lignes directrices pour les régimes de santé collectifs
• Title V régit les polices d'assurance-vie détenues par les entreprises

Pour les professionnels de la sécurité et de la confidentialité, il existe deux règles HIPAA qui protègent la gestion et l'utilisation des informations de santé :

• Règle de confidentialité - donne aux patients des droits sur leurs informations de santé et établit des règles et des limites sur qui peut consulter et recevoir ces informations. La Règle de confidentialité s'applique à toutes les formes d'informations de santé protégées des individus, qu'elles soient électroniques, écrites ou orales.
• Règle de sécurité - exige la sécurité des informations de santé sous forme électronique.

Quelles organisations doivent se conformer à la HIPAA ?

Les organisations qui doivent se conformer à la HIPAA sont appelées « entités couvertes ». Les entités couvertes comprennent :

• Régimes de santé - ces entités incluent les compagnies d'assurance maladie, les organisations de maintien de la santé, plus communément appelées HMO, les régimes de santé d'entreprise, ainsi que certains programmes gouvernementaux comme Medicare et Medicaid.
• Prestataires de soins de santé - ces entités créent une trace électronique qui comprend, sans s'y limiter, les informations de facturation. Les médecins, cliniques, hôpitaux, psychologues, chiropraticiens, maisons de retraite, pharmacies et dentistes entrent dans cette catégorie.
• Centres de traitement des soins de santé – ces entités traitent et standardisent les informations de santé qu'elles reçoivent d'autres entités

Les « partenaires commerciaux » comprennent les contractants, les sous-traitants et autres tierces parties qui peuvent avoir accès aux informations de santé dans le cadre de la fourniture d'un service. Les partenaires commerciaux sont tenus de respecter la loi HIPAA lorsqu'elle est applicable.

Quelles organisations sont exemptées de HIPAA ?

Bien que les « entités couvertes » ne soient pas les seules organisations à détenir des informations de santé protégées (PHI), ce sont elles qui font l’objet d’une attention particulière de la part des régulateurs. Certaines organisations peuvent également posséder des PHI ou d’autres informations liées à la santé, mais sont généralement exemptées de la réglementation HIPAA. Cela inclut, sans s’y limiter, les compagnies d’assurance-vie, les écoles, les agences d’État, les forces de l’ordre et d’autres groupes.

Quelles données sont concernées ?

Le type de données qui entre dans le champ d'application de la loi HIPAA comprend les informations générées et partagées par les prestataires de soins de santé et les entités connexes.

• Dossiers médicaux
• Traitement 
• Assurance maladie 
• Facturation
• Autres informations de santé

Comment les informations de santé doivent-elles être protégées ?

La loi HIPAA fournit des recommandations générales pour la protection des informations de santé. Ces recommandations s'adressent aux entités couvertes et à leurs partenaires commerciaux afin de :

• Déployer des mesures de protection
• Limiter l'utilisation et la divulgation
• Limiter l'accès
• Mettre en place une formation pour les employés 

Quels sont les droits des patients concernant leurs informations de santé ?

Les patients disposent des droits suivants concernant leurs informations de santé :

• Obtenir une copie
• Assurez-vous que c'est correct
• Limiter l'utilisation ou le partage, avant que cela n'arrive 
• Restreindre son utilisation ou sa divulgation
• Obtenez un rapport indiquant quand et pourquoi il a été partagé 

Les patients peuvent également déposer une plainte auprès du HHS s'ils estiment que leur droit de connaître et de contrôler leurs propres informations de santé leur est refusé.

Quelles sont les utilisations autorisées des informations de santé ?

Les informations de santé peuvent être utilisées et partagées aux fins suivantes :

• Permettre la coordination des soins et des traitements
• Paiement des prestataires pour vos traitements 
• Permettre à la famille, aux amis et à d'autres personnes de soutenir ou de gérer les soins d'un patient
• Garantir un traitement de qualité
• S'assurer que les établissements de soins sont propres et sûrs
• Protéger la santé publique
• Signaler aux forces de l'ordre

Sauf disposition contraire de la loi, les patients décident qui a accès à leurs informations.