CONFORMITÉ à la loi HIPAA
La loi Health Insurance Portability and
Accountability Act (HIPAA) de 1996 vise tous les
organismes qui transmettent des dossiers médicaux et de
santé. Elle codifie les normes régissant la
transmission, l'entreposage et la politique d'accès
concernant ce qui est défini comme de « l'information
santé protégée » (ISP). La transmission électronique d'ISP
préoccupe particulièrement les soignants, les centres
d'échange de données statistiques et les régimes de
soins médicaux.
Détail de la portée réglementaire
La
loi Health Insurance Portability and Accountability Act
(HIPAA) de 1996, créée il y aura bientôt huit ans et
consignée récemment en 1999, illustre bien l'intention
du gouvernement américain de renouveler le système de
santé. Elle aborde plusieurs points :
-
Établissement des normes pour les transactions et
les jeux de codes
-
Normes
régissant l'identificateur
-
Normes
régissant la protection des renseignements
personnels
-
Normes régissant la sécurité et la
signature électronique
Les
deux premiers domaines visent à simplifier le côté
administratif des soins de santé de façon générale. Les
deux derniers domaines abordent en particulier la
confidentialité et l’intégrité des données que les
organisations de services de la santé possèdent. Selon
la taille de l’organisation, l’HIPAA (Health Insurance
Portability and Accountability Act) définit des délais
bien précis de conformité qui sont nécessaires pour
chaque décision séparée des préoccupations
susmentionnées.
L’HIPAA s’applique à chaque entité impliquée dans
les informations électroniques des soins de santé, y
compris tous les fournisseurs de soins de santé, les
régimes de soins médicaux, les employés, les autorités
de santé publique, les agents d'assurance vie, les
chambres de compensation, les agences de facturation,
les fournisseurs de systèmes d’information, les
organismes de services, les universités, et les bureaux
à médecins simples. En outre, « L’entière responsabilité
d’une entité couverte pour mettre des normes de sécurité
en place s’étend aux membres de sa main-d'oeuvre,
qu’elle travaille depuis chez elle ou in situ. » (Texte
45 CFR Part nos 160, 162, et 164 § 160.103). Par
conséquent, exiger que les entités couvertes mettent en
place et gèrent la sécurité de toutes leurs mains-d'œuvre
externes ainsi que les administrateurs tiers (AT). Le
règlement n’est pas tenu à une industrie en tant que
telle, mais s’oriente plutôt vers le type d’informations
– PHI (Protected Health Information – Informations
protégées en matière de santé).
Gouvernance de la
Sécurité Informatique
Les entités concernées
par l'acte doivent:
-
S'assurer
que toutes collections d'information
personnelle sur la sante sont appropriées et
sécurisées
-
S'assurer
que l'information personnelle sur la sante
est sécurisée et conservée d'une manière
appropriée localement et par les partenaires
extérieur
-
Se protéger
contre tous faits raisonnablement anticipes:
-
menaces ou
risques pour la sécurité ou l'intégrité de
l'information
-
utilisations ou brèches non-autorisées de
l'information
-
Adopter
correctement une structure complète de
sécurité qui adresse les points décris
par HIPAA (loi sur la portabilité et la
responsabilité de l'assurance médicale).
Avantages :
-
Réduction des frais généraux administratifs
-
Amélioration l'efficacité et des performances du
système national de santé
-
Réduction des fraudes et des abus
-
Protection du secret professionnel en matière de
santé
-
Sauvegarde des droits des patients
-
Meilleure qualité de soins aux patients, par un
meilleur accès aux données cliniques
-
Meilleur accès à l'information, avant toute décision
-
Sécurité accrue dans l'utilisation de technologies
basées sur l’Internet
Nos services de
conformité aux
normes:
