Par Jordan MacAvoy, vice-président du marketing, Reciprocity Labs.
Il existe plusieurs exigences de conformité réglementaire que les organismes de santé doivent suivre. Pourtant, c’est la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) qui est la plus connue. Si votre organisation est impliquée dans le secteur des soins de santé, vous devez vous assurer qu’elle se conforme également à la loi sur les technologies de l’information sur la santé économique et clinique (HITECH).
Ces deux exigences de conformité sont en quelque sorte liées. Cependant, HITECH a pour but d’améliorer les technologies de l’information dans le secteur des soins de santé tout en protégeant les problèmes de sécurité et de confidentialité concernant les ePHI. HITECH a considérablement modifié l’HIPAA et la loi sur la sécurité sociale. Par conséquent, il peut être difficile de comprendre comment ces cadres de conformité réglementaire se complètent.
Comment HITECH et HIPAA sont similaires
La conformité à HITECH et HIPAA est supervisée par le département de la santé et des services sociaux (HHS). Généralement, les organisations de soins de santé ont tendance à se concentrer sur la conformité HIPAA car elle constitue l’épine dorsale de la règle de confidentialité qui définit les normes nationales concernant la protection des PHI et des dossiers médicaux. La règle de confidentialité a été adoptée en 2000. Depuis lors, le HHS n’a apporté qu’une seule modification. C’était en 2002, lorsque la Privacy Rule a été modifiée pour devenir l’une des premières réglementations en matière de confidentialité et de sécurité de l’information.
Le Bureau du coordinateur national pour les technologies de l’information sur la santé (ONC) a pour mandat de promouvoir la qualité des soins de santé en faisant progresser les TI de santé. L’ONC est également chargé du rôle de sécuriser les ePHI et d’établir des procédures pour les dossiers médicaux électroniques (DME) afin de promouvoir la confidentialité.
Par conséquent, bien que HITECH et HIPAA se complètent, ils sont dissemblables. HITECH se concentre sur la technologie de l’information ainsi que sur la préservation de l’information électronique, tandis que HIPAA s’attarde sur la protection de la vie privée ainsi que sur l’expansion au-delà des systèmes d’information.
Comment HITECH et HIPAA diffèrent
Bien que HITECH et HIPAA aient de nombreuses similitudes, les deux règlements diffèrent également sur divers détails vitaux. HITECH avait pour but d’étendre l’HIPAA. Malgré cela, cette dernière reste axée sur les questions de confidentialité et de notification des violations pour se protéger contre l’usurpation d’identité et la fraude. D’autre part, HITECH diffère de HIPAA parce qu’il a établi des sanctions pénales et civiles restructurées. En outre, HITECH a étendu l’exigence de notification des violations de l’HIPAA au-delà des organisations couvertes pour inclure également les associés commerciaux.
D’un point de vue informatique, les responsables de la conformité doivent se concentrer sur l’importance d’un cryptage robuste. En cas de violation des ePHI par des acteurs malveillants, un cryptage efficace atténuera les violations des règles. Par conséquent, si le cryptage rend les informations illisibles, l’organisation ne sera pas sanctionnée. Néanmoins, prouver un cryptage efficace signifie se conformer à la norme NIST Federal Information Process Standard. Par conséquent, la conformité à la réglementation des soins de santé ne peut être réalisée que si vous comprenez pleinement l’infrastructure informatique de votre organisation.
Comment la conformité à Medicaid et Medicare de HITECH affecte les associés d’affaires HIPAA
Vous ne pouvez comprendre la conformité à la réglementation des soins de santé qu’après avoir compris les chevauchements qui existent entre les associés d’affaires, ainsi que leurs informations et comment cela affecte l’ensemble de la chaîne d’approvisionnement. Les associés commerciaux sont des personnes ou des organisations qui fournissent des services aux entités couvertes ou effectuent des activités ou des fonctions au nom des entités.
Typiquement, la définition des associés commerciaux de la règle Omnibus comprend les sociétés de gestion des soins de santé, les organisations de paiement des soins de santé et les plans de soins de santé sous l’égide de HITECH et HIPAA. Néanmoins, pour ceux qui travaillent avec Medicaid, des services supplémentaires peuvent être incorporés dans les exigences de conformité.
Par exemple, le transport médical non urgent (NEMT) de Medicaid, considéré par HIPAA et HITECH, est un associé commercial qui relève de la règle Omnibus. Par conséquent, bien qu’il s’agisse d’un réseau de courtiers en transport, les informations recueillies restent soumises aux réglementations nécessaires en matière de soins de santé.
Les organisations devraient déterminer leur emplacement dans la chaîne d’approvisionnement car cela minimisera les violations HITRUST et HIPAA. En outre, une organisation devrait décider si elle veut ou non assumer les risques de conformité si elle choisit de s’étendre.
Que doivent savoir les conseils d’administration ?
Les organisations qui cherchent à se tourner vers le secteur des soins de santé devraient s’assurer que leur conseil d’administration reconnaît les implications de la conformité. Fournir le niveau requis de surveillance du conseil d’administration nécessite une visibilité approfondie du paysage des soins de santé ainsi que de l’environnement de conformité d’une organisation. En outre, si une organisation décide d’inclure ses fournisseurs ou ses prestataires de soins de santé dans son dispositif d’entreprise, le conseil d’administration doit savoir comment ces parties s’intègrent dans la chaîne d’approvisionnement.
Selon les exigences réglementaires de l’HIPAA, le risque lié au fournisseur peut créer un risque pour l’entreprise. Par conséquent, que votre organisation se situe en bas, de la chaîne d’approvisionnement, à la barre ou au milieu, toute interaction qu’elle fait avec des entités réglementées par l’HIPAA signifie qu’elle doit se conformer à toutes les exigences réglementaires nécessaires.
Vous devriez penser aux violations de HITECH et de l’HIPAA comme des dominos disposés en ligne. En cas de chute d’un domino, les autres tombent automatiquement. Par conséquent, l’importance de la gestion des fournisseurs pourrait augmenter, surtout si vous décidez de vous développer davantage dans le secteur des soins de santé.
Les organisations du secteur des soins de santé ne devraient pas seulement se concentrer sur la conformité HIPAA. L’incorporation de la conformité HITECH vous aide à protéger les informations qui relèvent de votre vie privée. En restant conforme, vous éviterez également les pénalités en cas de violation. Ainsi, il est crucial de comprendre comment HIPAA et HITECH se complètent mutuellement.
Jobs dans les soins de santé
.