CONFORMITÉ à la loi HIPAA

La loi Health Insurance Portability and Accountability Act (HIPAA) de 1996 vise tous les organismes qui transmettent des dossiers médicaux et de santé. Elle codifie les normes régissant la transmission, l'entreposage et la politique d'accès concernant ce qui est défini comme de « l'information santé protégée » (ISP). La transmission électronique d'ISP préoccupe particulièrement les soignants, les centres d'échange de données statistiques et les régimes de soins médicaux.

Détail de la portée réglementaire

La loi Health Insurance Portability and Accountability Act (HIPAA) de 1996, créée il y aura bientôt huit ans et consignée récemment en 1999, illustre bien l'intention du gouvernement américain de renouveler le système de santé.

Elle aborde plusieurs points :

• Établissement des normes pour les transactions et les jeux de codes

• Normes régissant l'identificateur

• Normes régissant la protection des renseignements personnels

• Normes régissant la sécurité et la signature électronique

Les deux premiers domaines visent à simplifier le côté administratif des soins de santé de façon générale. Les deux derniers domaines abordent en particulier la confidentialité et l’intégrité des données que les organisations de services de la santé possèdent. Selon la taille de l’organisation, l’HIPAA (Health Insurance Portability and Accountability Act) définit des délais bien précis de conformité qui sont nécessaires pour chaque décision séparée des préoccupations susmentionnées.

L’HIPAA s’applique à chaque entité impliquée dans les informations électroniques des soins de santé, y compris tous les fournisseurs de soins de santé, les régimes de soins médicaux, les employés, les autorités de santé publique, les agents d'assurance vie, les chambres de compensation, les agences de facturation, les fournisseurs de systèmes d’information, les organismes de services, les universités, et les bureaux à médecins simples. En outre, « L’entière responsabilité d’une entité couverte pour mettre des normes de sécurité en place s’étend aux membres de sa main-d'œuvre, qu’elle travaille depuis chez elle ou in situ. » (Texte 45 CFR Part nos 160, 162, et 164 § 160.103). Par conséquent, exiger que les entités couvertes mettent en place et gèrent la sécurité de toutes leurs mains-d'œuvre externes ainsi que les administrateurs tiers (AT). Le règlement n’est pas tenu à une industrie en tant que telle, mais s’oriente plutôt vers le type d’informations – PHI (Protected Health Information – Informations protégées en matière de santé).

Gouvernance de la Sécurité Informatique 
 

Les entités concernées par l'acte doivent:

• S'assurer que toutes collections d'information personnelle sur la sante sont appropriées et sécurisées

• S'assurer que l'information personnelle sur la sante est sécurisée et conservée d'une manière appropriée localement et par les partenaires extérieur

Se protéger contre tous faits raisonnablement anticipes:

• menaces ou risques pour la sécurité ou l'intégrité de l'information
  utilisations ou brèches non-autorisées de l'information

• Adopter correctement une structure complète de sécurité qui adresse les points décris par HIPAA (loi sur la portabilité et la responsabilité de l'assurance médicale).
   

Avantages :

• Réduction des frais généraux administratifs

• Amélioration l'efficacité et des performances du système national de santé

• Réduction des fraudes et des abus

• Protection du secret professionnel en matière de santé

• Sauvegarde des droits des patients

• Meilleure qualité de soins aux patients, par un meilleur accès aux données cliniques

• Meilleur accès à l'information, avant toute décision

• Sécurité accrue dans l'utilisation de technologies basées sur l’Internet
   

---

Nos services de conformité aux normes:

• The Health Insurance Portability and Accountability Act (HIPAA)

• Gramm-Leach-Bliley

• Sarbanes-Oxley

• Security Breach Notification Act

• CISP / PCI

• NIST-800

• ISO 17799/BS7799