le 27 novembre 2018
la règle de Notification des violations HIPAA exige que les entités couvertes par HIPAA et leurs associés informent les patients et les autres parties à la suite d’une violation des informations de santé protégées non sécurisées (PHI). Des dispositions similaires mises en œuvre et appliquées par la Federal Trade Commission (FTC) s’appliquent aux fournisseurs de dossiers médicaux personnels et à leurs fournisseurs de services tiers.
une violation est définie à L’article 164 de la HIPAA.,402, comme le souligne le guide de survie HIPAA, comme suit:
« l’acquisition, l’accès, l’utilisation ou la divulgation d’informations de santé protégées d’une manière non autorisée qui compromet la sécurité ou la confidentialité des informations de santé protégées.,la sécurité des renseignements sur la santé protégés est présumée constituer une violation à moins que l’entité visée ou l’associé d’affaires démontre qu’il y a une faible probabilité que le PHI ait été compromis en fonction d’une évaluation des risques d’au moins les facteurs suivants:
- la nature et l’étendue du PHI en cause, y compris les types d’identificateurs et la probabilité de ré-identification;
- La personne non autorisée qui a utilisé le PHI ou à qui la divulgation a été faite;
- si le PHI a été effectivement acquis ou consulté; et
- la mesure dans laquelle le risque pour le Phi a été atténué.,
Les recherches menées par Beazley ont révélé que la principale raison pour laquelle des violations se sont produites en 2017 était la divulgation involontaire. La divulgation involontaire comprend un e-mail contenant des données de santé confidentielles et envoyé au patient incorrect, ou un incident dans lequel un serveur est involontairement configuré comme accessible au public.
Qu’est-ce qui n’est pas considéré comme une violation HIPAA?
selon les exclusions spécifiées à HHS.,gov, vous n’avez pas subi de violation HIPAA si:
- L’exposition de PHI était accidentelle et causée par une action inappropriée d’un membre du personnel ou d’un individu effectuant des tâches pour le compte de L’entreprise conforme à HIPAA, tant que le compromis s’est produit dans les limites de l’autorité appropriée, sans mauvaises intentions et,
- Il s’agissait d’une divulgation accidentelle par une personne qui a l’autorisation générale (et la formation) d’accéder à L’information sur les PHI dans un organisme conforme à la HIPAA à une autre personne qui est également généralement autorisée à accéder à l’information HIPAA.
- L’entité visée ou l’associé d’affaires croit de bonne foi que la personne non autorisée à qui la divulgation inadmissible a été faite n’aurait pas été en mesure de conserver les renseignements.
la conformité HIPAA a changé lorsque la règle finale HIPAA / HITECH Omnibus est entrée en vigueur en septembre 2013., Auparavant, les violations relevaient entièrement de la responsabilité des entités couvertes par HIPAA (fournisseurs de soins de santé, régimes et centres d’échange de données). Lorsque L’American Recovery and Reinvestment Act (ARRA) a été adopté en 2009, son Titre XIII était la Health Information Technology for Economic and Clinical Health Act (HITECH). HITECH a déclaré que les associés commerciaux (fournisseurs de services qui gèrent les PHI) assument désormais la responsabilité de la protection des informations avec les organisations de soins de santé.
la prévention des violations HIPAA dans un paysage de soins de santé complexe nécessite plus que des évaluations de risque de routine., Les entités couvertes doivent assurer la mise en œuvre de politiques solides pour la mise en place de protections, de formations, d’accords D’associés commerciaux (BAAs) et d’autres éléments d’un écosystème axé sur la sécurité conforme à la HIPAA.