Règles de confidentialité et de sécurité de l'HIPAA

Definition

La Règle de confidentialité de l'HIPAA établit des normes nationales pour la protection des informations de santé identifiables individuellement détenues ou transmises par les entités couvertes et leurs associés commerciaux, définissant les utilisations et divulgations autorisées ainsi que les droits individuels ; la Règle de sécurité de l'HIPAA établit des normes pour les garanties administratives, physiques et techniques qui protègent les informations de santé protégées électroniques.

Scope

Cette entrée explique la structure et les concepts fondamentaux des deux règles : la définition des informations de santé protégées, les catégories d'entités couvertes et d'associés commerciaux qu'elles lient, les utilisations et divulgations autorisées et le principe du minimum nécessaire, les droits individuels d'accès et de modification, ainsi que les garanties administratives, physiques et techniques requises pour les informations électroniques. Elle traite les règles comme un cadre réglementaire à des fins de référence et d'éducation et ne fournit pas de déterminations de conformité pour une organisation ou une situation spécifique.

Core questions

• À quelles organisations et informations les règles s'appliquent-elles ?
• Quelles utilisations et divulgations d'informations de santé protégées sont autorisées sans l'autorisation individuelle ?
• Quels droits les individus ont-ils sur leurs propres informations de santé ?
• Quelles garanties doivent protéger les informations de santé protégées électroniques ?
• Comment l'application et les obligations liées aux violations renforcent-elles les règles ?

Key concepts

• Informations de santé protégées (PHI)
• Entités couvertes et associés commerciaux
• Utilisations et divulgations autorisées
• Norme du minimum nécessaire
• Droits individuels d'accès et de modification
• Garanties administratives, physiques et techniques
• Spécifications obligatoires versus "adressables" (addressable) de la Règle de sécurité
• Avis de pratiques de confidentialité

Mechanisms

La Règle de confidentialité fonctionne en définissant les informations de santé protégées, puis en spécifiant quand elles peuvent être utilisées ou divulguées : certaines utilisations (telles que pour le traitement, le paiement et les opérations de soins de santé) sont autorisées sans autorisation, tandis que de nombreuses autres nécessitent l'autorisation écrite de l'individu, et les divulgations sont limitées par le principe du minimum nécessaire. Elle confère également des droits individuels, y compris l'accès à ses dossiers et la capacité de demander des modifications. La Règle de sécurité complète cela en exigeant des entités couvertes et des associés commerciaux qui traitent des informations de santé protégées électroniques qu'ils effectuent une analyse des risques et mettent en œuvre des garanties dans trois domaines : administratif (politiques, formation du personnel, gestion des accès), physique (contrôles des installations et des appareils) et technique (contrôle d'accès, contrôles d'audit, intégrité et sécurité de la transmission). Certaines spécifications de mise en œuvre sont obligatoires et d'autres sont "adressables" (addressable), permettant une flexibilité adaptée à la taille et au risque d'une organisation. L'Office for Civil Rights applique les deux règles (HHS OCR, 2013 ; Nass et al., 2009).

Clinical relevance

Les règles façonnent la gestion quotidienne des informations dans les milieux de soins : comment les dossiers sont partagés pour le traitement, à quoi les patients peuvent accéder, et sous quelle formation et quels contrôles le personnel clinique opère. Des commentateurs ont soutenu que la Règle de confidentialité soutient plutôt qu'elle n'obstrue un échange approprié d'informations de santé lorsqu'elle est correctement appliquée (McDonald, 2009). Cette entrée est une description de référence du cadre réglementaire et ne constitue pas un avis juridique ni une détermination de conformité pour une entité spécifique.

Evidence & guidelines

La source faisant autorité est le texte réglementaire lui-même (45 CFR Parts 160 and 164) et les directives de l'Office for Civil Rights qui l'interprètent (HHS OCR, 2013). L'Institute of Medicine a examiné comment la Règle de confidentialité affecte la recherche en santé et a recommandé des réformes pour mieux équilibrer la confidentialité et l'utilité de la recherche (Nass et al., 2009). Étant donné que les règles et leurs directives sont périodiquement modifiées, les sources officielles actuelles du HHS devraient être consultées pour les exigences spécifiques.

History

L'HIPAA a été promulguée en 1996 principalement pour aborder la portabilité de l'assurance et la simplification administrative ; ses dispositions en matière de confidentialité et de sécurité ont été émises sous forme de règles au début des années 2000, la Règle de confidentialité et la Règle de sécurité entrant en vigueur respectivement en 2003 et 2005. La loi HITECH de 2009 a étendu les obligations directement aux associés commerciaux, renforcé l'application et ajouté des exigences de notification de violation, et la Règle Omnibus de 2013 a consolidé ces changements. Le cadre reste la référence par rapport à laquelle une grande partie de la pratique américaine en matière d'informations de santé est mesurée (Nass et al., 2009).

Debates

La Règle de confidentialité équilibre-t-elle de manière appropriée la protection et l'utilisation des données de santé ?

Certains soutiennent que la règle entrave inutilement la coordination des soins et la recherche, tandis que d'autres la défendent comme étant compatible avec un échange approprié d'informations de santé ; l'Institute of Medicine a recommandé des réformes ciblées spécifiquement pour le contexte de la recherche.

Related topics

• Confidentialité, sécurité et conformité en informatique de la santé
• Atteintes à la sécurité des données de santé et réponse aux incidents
• Désidentification et analyse de données préservant la confidentialité
• Réglementation et Gouvernance Internationales des Données de Santé
• Confidentialité, vie privée et HIPAA dans les soins préhospitaliers

Seminal works

• nass-2009
• mcdonald-2009

Frequently asked questions

Qui doit se conformer aux Règles de confidentialité et de sécurité de l'HIPAA ?

Les règles lient les entités couvertes (la plupart des prestataires de soins de santé, des régimes d'assurance maladie et des chambres de compensation de soins de santé) et leurs associés commerciaux qui créent, reçoivent, maintiennent ou transmettent des informations de santé protégées en leur nom. Elles ne couvrent pas directement toutes les organisations qui traitent des données liées à la santé.

Qu'est-ce que la norme du minimum nécessaire ?

C'est le principe de la Règle de confidentialité selon lequel, pour la plupart des utilisations et divulgations, les entités couvertes doivent faire des efforts raisonnables pour limiter les informations de santé protégées au minimum nécessaire pour atteindre l'objectif visé, plutôt que de partager des dossiers entiers par défaut.

Methods for this concept

• Data Protection and Privacy in Research
• Institutional Review Board
• Informed Consent in Research
• Declaration of Helsinki
• Belmont Report
• Waiver of Informed Consent in Research
• k-Anonymity
• Ethics Committee Application Process

Related concepts

• Confidentialité, sécurité et conformité en informatique de la santé
• Confidentialité des données, sécurité et conformité réglementaire
• Réglementation et Gouvernance Internationales des Données de Santé
• Atteintes à la sécurité des données de santé et réponse aux incidents
• Confidentialité, vie privée et HIPAA dans les soins préhospitaliers
• Désidentification et analyse de données préservant la confidentialité