Le respect des réglementations HIPAA est essentiel pour tout cabinet médical. Le non-respect de cette règle peut savérer extrêmement coûteux – les amendes pour infraction à la loi HIPAA vont de 100 à plus de 4 millions de dollars.
Le respect de la HIPAA nest cependant pas si simple. Les réglementations changent constamment, vous devez donc être à jour à tout moment pour vous assurer que vous ne finissez pas accidentellement par des millions damendes.
Pour vous aider à rester conforme, nous Nous allons passer en revue certains des exemples de violation HIPAA les plus courants (et comment les éviter). Cependant, avant dentrer dans le vif du sujet, parlons des bases…
Quest-ce quune violation HIPAA?
La portabilité et la responsabilité de lassurance maladie, ou HIPAA, des violations se produisent lorsque lacquisition, laccès, lutilisation ou la divulgation des informations de santé protégées (RPS) se fait dune manière qui entraîne un risque personnel important pour le patient.
Le règlement concerne à peu près tous ceux qui travaillent avec PHI. Cela comprend…
- Plans de santé
- Centres déchange dinformations sur les soins de santé
- Fournisseurs de soins de santé qui transmettent les demandes de règlement sous forme électronique
- Commanditaires de la carte dassurance-médicaments Medicare
- Partenaires commerciaux (personne ou entité qui exécute une fonction impliquant des PHI)
Combien coûtent les violations HIPAA?
Il existe deux types de HIPAA violations – civiles ou pénales. Chaque type de violation a une structure damende différente.
Pénalité civile HIPAA
Des sanctions civiles sont prononcées si les personnes qui ont commis la violation lont fait sans aucune intention malveillante. Cest à dire. ils étaient soit négligents, soit ignoraient que leurs actions étaient mauvaises.
Les pénalités dans un tel cas sont les suivantes:
- Si le lindividu ne savait pas quil commettait une infraction à la loi HIPAA, il est condamné à une amende de 100 $ par infraction.
- Si lindividu avait un motif raisonnable pour ses actes et na pas agi avec négligence volontaire, ils sont condamnés à une amende minimale de 1 000 $.
- Si la personne agissait par négligence délibérée, mais a ensuite résolu le problème, elle est condamnée à une amende minimale de 10 000 USD par infraction.
- Si la personne agissait par négligence délibérée et na pas résolu le problème, elle est condamnée à une amende minimale de 50 000 USD par infraction.
Pénalité pénale HIPAA
Si les auteurs de la violation lont fait avec une intention malveillante, la violation entraîne des sanctions pénales (ce qui est nettement plus sévère).
Les sanctions dans de tels cas sont…
- Si lindividu obtient et divulgue sciemment des RPS, il peut être condamné à une amende pouvant aller jusquà 50 000 $ et emprisonné jusquà un an.
- Si lindividu commet des violations sous de faux prétextes, il peut être condamné à une amende allant jusquà 100 000 USD et à une peine demprisonnement pouvant aller jusquà 5 ans.
- Si lindividu commet linfraction à des fins personnelles ( c.-à-d. vend des PHI ou les utilise pour nuire au patient), ils peuvent être condamnés à une amende allant jusquà 250 000 $ et emprisonnés jusquà 10 ans.
Exemples de violation de la loi HIPAA les plus courants
1) Manque de cryptage
Pour vous assurer que votre PHI ne tombe pas entre de bonnes mains, vous devez vous assurer que les données sont cryptées.
Cela ajoute une couche supplémentaire de cybersécurité en plus de toutes les autres bonnes pratiques – même en cas de violation et de vol de données PHI, les pirates ne pourront pas y accéder sans la clé privée.
De plus, le personnel de lhôpital devrait également utiliser des applications de messagerie cryptées. Certes, lenvoi de messages texte est un moyen facile de relayer des informations. À moins que cela ne soit fait via une application cryptée, cependant, il y a une chance que les textes soient interceptés par des cybercriminels malveillants.
2) Se faire pirater OU phishing
Personne ne sattend vraiment à être une victime du piratage. Vous entendez parler de failles de sécurité & incidents de piratage partout sur le téléviseur, mais vous ne pensez pas que quelquun vous poursuivrait spécifiquement.
Le piratage, cependant, est une menace très légitime. Rien quen 2018, il y a eu plus de 25 incidents de piratage qui font actuellement lobjet denquêtes pour des violations de la loi HIPAA.
Vous vous demandez probablement « que peuvent faire les pirates informatiques avec les PHI, de toute façon? » Eh bien, il existe deux types de hacks potentiels.
- Les pirates vendent les données à une organisation tierce qui bénéficierait dune manière ou dune autre de ces informations
- Les pirates utilisent un ransomware. Cela signifie quils prennent le contrôle des données & menacent de tout supprimer à moins dêtre payés. En 2016, un hôpital de Los Angeles a dû rembourser les pirates informatiques environ 17 000 $ pour avoir accès à leurs systèmes informatiques.
Alors, comment éviter que cela ne vous arrive? Eh bien, il existe plusieurs bonnes pratiques pour vous protéger contre les hameçonneurs et les pirates informatiques.
- Garder tous les logiciels antivirus à jour
- Utilisez le chiffrement (comme nous lavons déjà mentionné)
- Changer régulièrement les mots de passe sur tous les appareils importants
- Limitation de laccès aux appareils et aux données en fonction du statut des employés
3) Accès non autorisé
Les employés accèdent aux données quils ne sont pas autorisé pour est une violation HIPAA très courante.
Même sils accèdent aux informations par curiosité, cela reste une violation et peut entraîner à la fois une amende & et violation dinformations.
Dans le pire des cas, vos propres employés peuvent vendre des PHI à des fins personnelles.
Pour vous assurer que cela ne se produit pas, vous pouvez mettre en place un système dautorisation. Cest à dire. interdire aux employés daccéder à des données qui ne sont pas directement liées à leur propre cas.
En outre, il peut être judicieux de mettre en place des mesures de protection supplémentaires. Pour divulguer toute information PHI qui nest pas utilisée pour des opérations de soins de santé, des traitements ou des paiements, lemployé doit obtenir le consentement écrit de la bonne autorité.
4) Perte ou vol dappareils
One des violations de la loi HIPAA les plus courantes sont le résultat de la perte dappareils de lentreprise.
En 2017, Lifespan a mentionné dans un communiqué de presse quune personne était entrée par effraction dans le véhicule dun employé et avait volé son ordinateur portable de travail.
Lappareil nétait pas protégé par mot de passe et les informations personnelles de plus de 20 000 patients nétaient pas cryptées.
Lentreprise a fait de son mieux pour corriger la situation après lincident. Cependant, ils ne pouvaient rien faire pour empêcher que les informations soient potentiellement utilisées à mauvais escient.
Sil est impossible dempêcher le vol de vos appareils avec une certitude à 100%, il est assez simple déviter la fuite dinformations en utilisant cryptage pour protéger les données. Ainsi, même si lappareil est volé, les voleurs ne pourront pas accéder au PHI.
5) Partage dinformations
Toute information confidentielle, y compris PHI, devrait être un besoin -à-savoir. Bien quil puisse sembler inoffensif de partager des cas de discussion avec des collègues, cela peut aboutir à des fuites dinformations ou à des poursuites judiciaires.
Lune des méthodes de piratage les plus courantes utilise lingénierie sociale. Cela signifie que les pirates, plutôt que de pirater directement les ordinateurs, essaient de tromper les employés concernés pour quils donnent des informations. Il peut sagir dinformations utilisées pour accéder aux systèmes informatiques, ou simplement pour obtenir des renseignements personnels sur les renseignements personnels.
Pour éviter que cela ne se produise, assurez-vous que toutes les informations importantes sont partagées à huis clos et uniquement avec le personnel autorisé. Même le partage informel des informations du patient avec les membres de la famille peut entraîner une violation de la HIPAA.
6) Élimination des PHI
Il est important que vos employés se débarrassent correctement de toute information PHI inutile.
Cela peut sappliquer à la fois aux documents physiques et aux fichiers numériques . Si quelquun oublie un document sur une table quelque part ou laisse les informations du patient sur son bureau, cela peut finir par tomber entre de mauvaises mains (et par conséquent, entraîner une violation de la HIPAA).
La meilleure pratique ici est de soit stocker les informations dans un endroit sécurisé, soit les supprimer / déchiqueter si le document lui-même nest plus utile.
7) Accéder à PHI depuis un emplacement non sécurisé
De nombreux cliniciens travaillent après -heures et utiliser leur ordinateur personnel pour accéder à PHI.
Bien que cela puisse sembler innocent en un coup dœil, cela peut avoir des conséquences désastreuses.
Il y a de nombreuses façons dont cela pourrait mal tourner…
- Le clinicien laisse ouvert un document contenant des informations confidentielles sur le patient leur ordinateur et le membre de leur famille finissent par le voir
- Un membre de la famille télécharge accidentellement des logiciels malveillants sur lordinateur. Les pirates, à leur tour, trouvent et volent les données PHI
Et ce nest quun début – sil y a des pirates ciblant spécifiquement lhôpital, il existe de nombreuses autres façons pour eux daccéder aux données personnelles
Pour éviter cela, la meilleure pratique consiste à disposer dun ordinateur portable dédié pour tout ce qui concerne les informations du patient. & y accéder depuis un emplacement sécurisé.
Comment éviter les violations HIPAA
La vraie cause de tous les exemples de violation HIPAA que nous avons mentionnés jusquà présent est le manque de formation des employés.
Un employé qui sait comment fonctionne la réglementation (et comment rester conforme) est beaucoup moins susceptible de commettre lune des erreurs que nous avons mentionnées jusquà présent, comme…
- Laisser les appareils dans des emplacements non sécurisés
- Partager des informations avec du personnel non autorisé
- Élimination inappropriée des documents PHI
- Accéder aux PHI à partir demplacements non sécurisés
La formation nest pas seulement une recommandation – tous les membres du personnel sont tenus de se renseigner sur les exigences de conformité HIPAA.
Le règlement stipule que cela devrait se produire dans 3 cas – lorsquun nouvel employé est embauché, chaque fois quil y a des changements dans la réglementation, et périodiquement, juste pour sassurer que tout le monde a le bon savoir-faire.
Si vous cherchez à mettre vos employés au courant de la conformité HIPAA mais que vous ne savez pas par où commencer, Inspired eLearning propose une formation en ligne sur la conformité HIPAA. Essayez lessai gratuit et voyez si la solution fonctionne pour vous.