La loi HIPAA (Health Insurance Portability and Accountability Act) est l'une des réglementations les plus discutées mais les moins comprises aujourd'hui.
Bien que vous en ayez certainement entendu parler, vous vous demandez peut-être si la confidentialité HIPAA est une loi fédérale ou ce qui constitue une violation HIPAA. Alors, voici un examen plus approfondi pour aider à clarifier les choses.
La règle de confidentialité HIPAA est-elle une loi fédérale ?
Tout d'abord; la confidentialité HIPAA est-elle une loi fédérale? La réponse courte est oui, mais cela peut créer une certaine confusion sans autre explication. Bien qu'il s'agisse d'une loi fédérale, plusieurs lois étatiques et fédérales peuvent prévaloir sur les réglementations HIPAA lorsqu'elles sont en conflit.
Lorsque la plupart des gens pensent à HIPAA, ils pensent à sa règle de confidentialité, un amendement qui est venu plus tard pour protéger la vie privée des patients. Les lois des États peuvent remplacer la règle de confidentialité HIPAA si elles sont plus strictes. Si les réglementations d'un État couvrent plus de types de données ou ont des exigences de déclaration plus élevées, elles annulent la loi HIPAA.
De même, les lois étatiques et fédérales peuvent prévaloir sur les autres parties de la loi HIPAA, dont la plupart s'appliquent au fonctionnement de l'assurance. De manière générale, la réglementation la plus stricte prévaut. Étant donné que HIPAA est assez ouvert, il prend souvent le pas sur d'autres lois.
Quelles sont les 3 principales choses abordées dans la loi HIPAA ?
Vous pouvez également vous demander quelles sont les trois principales choses que la loi HIPAA traite. La plupart des réponses que vous trouverez à cette question citent la protection administrative, technique et physique, mais il s'agit d'une partie relativement petite de la loi. HIPAA parle de ces garanties pour seulement 13 lignes dans le texte original.
Les trois principaux éléments abordés dans la loi HIPAA dans son ensemble sont :
- Réformer le secteur de la santé
- Prévenir les abus et les fraudes dans le domaine de la santé
- Stimuler de nouvelles améliorations dans les soins de santé
La règle de confidentialité et les mesures de sécurité connexes relèvent des premier et deuxième objectifs. Dans l'ensemble, cependant, HIPAA adopte une approche plus large, essayant d'élargir l'accès aux soins de santé et de protéger les patients, principalement en termes d'assurance.
À qui et à quoi s'applique la loi HIPAA ?
Pour la plupart des gens, les parties les plus pertinentes de HIPAA sont les réglementations sur leur vie privée. Il y a aussi beaucoup d'incompréhension dans ce domaine. Beaucoup de gens pensent que HIPAA s'applique à certaines informations; ce n'est pas le cas.
La règle de confidentialité HIPAA couvre les informations de santé personnelles, ou PHI, qui incluent toutes les informations que vous pouvez retracer jusqu'à un individu, telles que les noms, les informations médicales et les coordonnées. En général, HIPAA exige que les "entités couvertes" obtiennent votre permission avant de partager ces PHI avec quelqu'un d'autre.
Ce que la plupart des gens se trompent à propos de HIPAA, c'est à qui il s'applique. Les entités couvertes par la loi HIPAA comprennent trois parties principales: les régimes de santé (comme les assureurs), les prestataires de soins de santé et les centres d'échange de soins de santé. Certains partenaires et associés commerciaux de ces parties peuvent également relever de la loi HIPAA s'ils peuvent accéder à vos PHI.
Bien que la portée de PHI soit assez large, les entités couvertes ne le sont pas. Les exceptions aux règles de confidentialité HIPAA incluent votre employeur, la plupart des écoles, les forces de l'ordre, la plupart des sites Web et la plupart des entreprises non médicales. Ces parties peuvent généralement percevoir et partagez vos informations à leur guise, tant que d'autres réglementations ne s'y opposent pas.
Exemples de violations et d'exceptions HIPAA
Alors, qu'est-ce qu'une violation réelle de la loi HIPAA? Certains des exemples les plus courants sont les violations de données de santé. Maintenant, si un hôpital subit une faille de sécurité qui expose les données des patients, ce n'est pas nécessairement une violation. Cependant, si c'est le résultat d'une protection insuffisante ou qu'ils ne l'ont pas divulgué correctement, c'est le cas.
En 2020, La Revue nationale de droit a rapporté que la société de technologie de la santé CHSPSC a dû payer 2,3 millions de dollars pour une violation de la loi HIPAA liée à une violation. Après qu'un pirate a compromis les données de six millions de patients en ciblant le système, les enquêteurs ont découvert que le CHSPSC ne respectait pas les normes de sécurité HIPAA. Puisqu'ils n'ont pas fourni la protection appropriée pour ces informations, ce qui a entraîné une violation, ils ont violé la loi.
En revanche, si les spécialistes du marketing utilisent vos recherches sur Internet liées à la médecine pour vous cibler des publicités, il ne s'agit pas d'une violation de la loi HIPAA. Les sites Web qui collectent votre activité de recherche ne sont pas des entités couvertes, ils n'ont donc pas besoin de votre autorisation explicite pour partager ces données avec les spécialistes du marketing.
HIPAA peut être compliqué
Comme de nombreuses lois, HIPAA est compliqué. Les exceptions aux règles de confidentialité sont plus courantes que vous ne le pensez, et la HIPAA elle-même couvre bien plus que la simple sécurité. Par conséquent, avec tant d'informations erronées, il peut être difficile de savoir ce qui est légal et ce qui ne l'est pas.
Ce ne sont que quelques exemples de ce que HIPAA couvre. Au fur et à mesure que les discussions réglementaires se poursuivent, la loi peut également évoluer. Dans tous les cas, n'oubliez pas de prendre en main la confidentialité des données et de faire attention à ce que vous partagez.
