Dans nos précédents billets, nous avons abordé l’histoire de l’HIPAA, la loi sur la portabilité et l’accessibilité de l’assurance maladie. Comme nous l’avons déjà mentionné, l’HIPAA est un ensemble de lois qui se décompose en cinq » titres « , chacun couvrant un sujet différent. Parmi ceux-ci, le titre II est le plus susceptible de vous être familier, car il couvre la confidentialité. Mais en creusant le titre II de l’HIPAA, on s’aperçoit qu’il porte sur bien plus que la vie privée et qu’en fait, on pourrait dire qu’il est le plus vaste de tous les titres.
Décomposition du titre II de l’HIPAA
Dans le titre II de l’HIPAA, vous trouverez cinq règles :
- Règle de confidentialité
- Règle des transactions et des jeux de codes
- Règle de sécurité
- Règle des identifiants uniques
- Règle d’application
Chacune d’entre elles est ensuite décomposée pour couvrir ses différentes parties. Pour les besoins de ce post, nous allons nous concentrer sur les sections les moins connues du Titre II, mais raconter toute l’histoire nécessite que nous parlions aussi de la vie privée.
Il est utile de penser au titre II comme si la première section était l’objectif global – la prévention de la fraude et des abus en matière de soins de santé. Si vous prenez du recul et regardez l’ensemble du titre II, chaque partie s’inscrit dans la prévention de la fraude, et les pièces qui pourraient sembler disparates sont ramenées dans leur contexte.
Règle de confidentialité
La majorité de la règle de confidentialité couvre les informations de santé protégées (PHI). Dans la plupart des cas, il est clair ce qui peut et ne peut pas être partagé, et avec qui. Une conséquence involontaire de la règle de confidentialité est que certains établissements sont en fait trop restrictifs dans leurs interprétations. Cela dit, il est conseillé de pécher par excès de prudence en raison des graves conséquences qui sont énoncées dans la règle d’application.
Il est facile de se perdre dans les mauvaises herbes proverbiales de la règle de confidentialité, nous ne nous aventurerons donc pas trop loin sur ce chemin. En guise d’aperçu, ce que vous devez savoir, c’est que le consentement et la divulgation sont tous deux essentiels, et que l’utilisation des RPS est limitée à six domaines :
- Lorsqu’elles sont divulguées à la personne
- Pour le traitement, le paiement et les opérations
- Lorsque la permission est donnée
- Lorsqu’elles sont utilisées de façon fortuite
- Au profit de l’intérêt public
- Lorsque les informations permettant d’identifier la personne ont été supprimées
Certaines de ces exceptions peuvent déclencher des signaux d’alarme, alors parlons-en. La première est l’exception qui permet une « utilisation fortuite ». Elle est définie comme une divulgation qui se produit comme un incident à une utilisation autorisée. Le HHS poursuit en donnant un exemple, cité ici :
un visiteur de l’hôpital peut entendre la conversation confidentielle d’un prestataire avec un autre prestataire ou un patient, ou peut entrevoir les informations d’un patient sur une feuille d’inscription ou un tableau blanc de poste de soins infirmiers. La règle de confidentialité de l’HIPAA n’est pas destinée à entraver ces communications et pratiques habituelles et essentielles et, par conséquent, n’exige pas que tout risque d’utilisation ou de divulgation fortuite soit éliminé pour satisfaire à ses normes.
L’autre exception est celle de l’intérêt public, et elle n’est pas prise à la légère. L’intérêt public est strictement défini par 12 règles, parmi lesquelles celles qui sont requises par la loi, les victimes d’abus et les objectifs d’application de la loi. Il suffit de dire que l’exception de l’intérêt public ne permet pas une utilisation facile des RPS.
Encore, nous pourrions plonger profondément dans la règle de confidentialité, mais l’essentiel des choses est déjà bien compris, alors je ne veux pas passer trop de temps ici.
Règle sur les transactions et les ensembles de codes
C’est ici que les choses deviennent vraiment intéressantes, en particulier pour nous à Eligible. Tout d’abord, revenons à la compréhension que tous les domaines du titre II sont axés sur la prévention de la fraude et des abus. L’un des objectifs de l’HIPAA est de rendre le système de santé des États-Unis plus efficace et, par conséquent, plus sûr. L’efficacité passe par la normalisation, et c’est ce que couvre la Transactions and Code Set Rule. Avant l’HIPAA, chaque transaction nécessitait de la paperasse ou des appels téléphoniques. Après l’HIPAA, toutes ces informations peuvent être transférées par voie électronique.
Selon l’AMA, cet ensemble de règles a en fait été demandé par l’industrie des soins de santé afin d’aider à faire face aux « dépenses supplémentaires de facturation des individus pour la poursuite de la couverture ». La logique qui sous-tend cette demande concerne la manière dont les informations relatives aux patients doivent être créées, conservées et stockées dans un environnement numérique. De plus, avec le passage aux dossiers médicaux électroniques, il était important d’avoir des méthodes normalisées pour ces données.
L’ensemble des transactions et des ensembles de codes est beaucoup trop complexe pour que nous puissions le décomposer ici. Donc, aux fins de ce post, voici ce que vous devez savoir :
Tout, des premiers rapports de blessure à l’admissibilité du patient et à une demande de statut de réclamation, reçoit un type de transaction unique avec un numéro correspondant. Par exemple, si vous avez vu 270/271, ce sont les codes pour une demande d’admissibilité et une réponse à cette demande. Chacun de ces types de transaction a été formalisé par l’American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, ou simplement X12).
Si une entité est couverte par l’HIPAA (et la plupart le sont), elle est tenue d’utiliser l’EDI X12 pour les transactions électroniques.
Règle de sécurité
Il est probablement plus facile de penser à la règle de sécurité en relation avec la règle de confidentialité. Alors que la règle sur la protection de la vie privée touchait toutes les formes de RPS, la règle de sécurité concerne spécifiquement les RPS électroniques (ePHI). Elle énonce les exigences relatives aux mesures de protection qui doivent être mises en place si une entité couverte par l’HIPAA choisit d’utiliser des RPS électroniques.
Ces mesures de protection se décomposent en trois domaines :
- Administratif
- Physique
- Technique
Dans ces domaines, il y a des détails pour les mesures qui doivent être prises par une entité couverte. Par exemple, les garanties administratives exigent que des procédures écrites de protection de la vie privée soient en place et couvrent l’autorisation, l’établissement, la modification et la résiliation. Les mesures de protection physique exigent des contrôles d’accès tels que des plans de sécurité, des registres de maintenance et des escortes de visiteurs. Enfin, les sauvegardes techniques énoncent des exigences relatives à l’utilisation de la somme de contrôle, au cryptage et à la documentation.
Règle sur les identifiants uniques
Vous avez probablement déjà entendu parler des NPI. Le National Provider Identifier est une chaîne alphanumérique à 10 chiffres qui est unique à chaque entité couverte par l’HIPAA. Il ne remplace pas un numéro DEA, un numéro d’identification fiscale ou tout autre identifiant, et il ne peut contenir aucune information. Cependant, il doit être en place pour qu’une entité couverte par l’HIPAA puisse traiter et manipuler les PHI.
Règle d’application
Alors, maintenant que nous avons exposé toutes les exigences qui sont énoncées dans le titre II, que se passe-t-il si elles sont enfreintes ? C’est là que la règle d’application entre en jeu. Plutôt que de simplement dire qu’une violation entraînera une amende spécifique, la Enforcement Rule établit des procédures pour les enquêtes, les sanctions et les audiences.
En vertu de la Enforcement Rule, les amendes vont de 100 à 250 000 dollars et varient en fonction de la gravité de la violation. Il y a également une distinction entre les violations qui se produisent accidentellement et celles qui sont faites sciemment. Comme vous pouvez le déduire, l’amende de 100 $ se produirait lorsqu’une personne viole par erreur l’HIPAA, tandis que les amendes les plus élevées sont réservées aux infractions qui ont l’intention de vendre ou de transférer des PHI pour un usage commercial, un gain personnel ou un préjudice malveillant.
Il suffit de dire que le titre II est un énorme ensemble de règles et qu’il couvre un large éventail de sujets. Mais en se concentrant sur l’idée que toutes ses parties visent à prévenir la fraude et les abus, nous pouvons mieux comprendre leur fonctionnement.
.