En 1996, le Congrès des États-Unis a promulgué la Health Insurance Portability and Accountability Act (HIPAA), qui comprend des dispositions sur les soins de santé et l’assurance. La partie 1 de HIPAA traite de la couverture d’assurance maladie, tandis que la partie 2 réglemente la confidentialité des patients. La partie 2 de la loi HIPAA a entraîné des changements majeurs dans l’administration des soins de santé aux États-Unis et a changé la façon dont les dossiers de santé des patients sont gérés. Les travailleurs de la santé ou d’autres personnes qui ne respectent pas l’une de ces lois sont coupables d’une violation de la loi HIPAA, qui s’accompagne de sanctions pénales et civiles.
La partie 2 de la loi HIPAA couvre trois principes fondamentaux des droits des patients, répartis en catégories administratives, physiques et techniques. La section sur les droits administratifs exige que toutes les organisations de soins de santé désignent une seule personne pour prendre en charge la confidentialité des patients et s’assurer que les réglementations HIPAA sont respectées. Cette catégorie couvre également la formation des employés, les interactions avec des tiers susceptibles de consulter les dossiers des patients et les politiques de gestion des failles de sécurité. Les entreprises qui ne désignent pas une personne pour gérer les exigences de la HIPAA peuvent se rendre coupables d’une violation de la HIPAA et être passibles de sanctions. Tout manquement à la mise en œuvre des politiques administratives requises pourrait représenter une violation supplémentaire de la loi HIPAA.
En termes d’exigences physiques, les organisations de soins de santé doivent fournir des verrous sécurisés pour tous les dossiers des patients afin d’éviter une violation potentielle de la loi HIPAA. Les organisations doivent garder ces fichiers hors de portée du public et doivent s’assurer que l’accès n’est accordé qu’en cas de besoin. Par exemple, un employé qui fouine dans des fichiers qu’il n’a pas besoin de consulter pour effectuer son travail pourrait être coupable d’une violation de la loi HIPAA. Cette catégorie exige également que les organisations éliminent en toute sécurité et en toute sécurité les fichiers lorsqu’ils ne sont plus nécessaires.
Pour éviter une violation technique de la HIPAA, les organisations doivent crypter tous les fichiers informatiques liés aux dossiers de santé des patients. Chacun doit exiger un mot de passe pour l’accès, et seuls les employés qui ont besoin d’un accès doivent être informés du mot de passe. Dans certains cas, chaque employé doit recevoir un mot de passe unique afin que les responsables de la réglementation puissent déterminer qui a accédé à des fichiers spécifiques.
Les sanctions pour une violation de la HIPAA couvrent à la fois les violations intentionnelles et non intentionnelles, y compris celles causées par une simple négligence. Les sanctions civiles peuvent atteindre 1.5 million de dollars américains (USD) en une seule année. Chaque violation de base pourrait entraîner des amendes pénales pouvant atteindre 25,000 10 USD, et l’utilisation abusive intentionnelle des dossiers est passible d’une peine de prison pouvant aller jusqu’à XNUMX ans. Les pénalités peuvent être encore plus élevées en cas de violations multiples au cours d’une période spécifiée.