Les violations HIPAA les plus courantes dont vous devez être conscient
Les violations HIPAA les plus courantes qui ont entraîné des sanctions financières sont le fait de ne pas effectuer une analyse des risques à léchelle de lorganisation pour identifier les risques pour la confidentialité et lintégrité , et la disponibilité des informations de santé protégées (PHI); le défaut de conclure un accord dassocié commercial conforme à la HIPAA; divulgations non autorisées de PHI; notifications de violation retardées; et l’incapacité de protéger les PHI.
Les règlements poursuivis par le Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux concernent des violations flagrantes des règles HIPAA. Des règlements sont également recherchés pour mettre en évidence les violations HIPAA courantes afin de sensibiliser à la nécessité de se conformer à des aspects spécifiques des règles HIPAA.
Cet article couvre cinq des violations HIPAA les plus courantes qui ont abouti à des règlements avec des entités couvertes et leurs associés au cours des dernières années.
Les violations de données sont-elles des violations de la loi HIPAA?
Les violations de données sont désormais une réalité. Même avec des défenses de cybersécurité à plusieurs niveaux, des violations de données sont toujours susceptibles de se produire de temps à autre. OCR comprend que les établissements de santé sont ciblés par des cybercriminels et quil nest pas possible de mettre en place des défenses de sécurité imprenables.
Être conforme HIPAA ne consiste pas à sassurer que les violations de données ne se produisent jamais. La conformité HIPAA consiste à réduire le risque à un niveau approprié et acceptable. Le simple fait quune organisation subisse une violation de données ne signifie pas que la violation était le résultat dune violation de la HIPAA.
Le portail de violation de lOCR le reflète désormais plus clairement. De nombreuses violations de données font lobjet dune enquête par lOCR et ne sont pas considérées comme des violations des règles HIPAA. Par conséquent, les enquêtes sont clôturées sans quaucune mesure ne soit prise.
Comment les violations HIPAA sont-elles découvertes?
Les violations HIPAA peuvent se poursuivre pendant plusieurs mois, voire des années, avant dêtre découvertes. Plus ils sont autorisés à persister longtemps, plus la pénalité sera élevée lorsquils seront finalement découverts. Il est donc important que les entités couvertes par la HIPAA procèdent régulièrement à des examens de conformité HIPAA pour sassurer que les violations de la HIPAA sont découvertes et corrigées avant quelles ne soient identifiées par les régulateurs.
Il existe trois façons principales de découvrir les violations de la HIPAA:
- Enquêtes sur une violation de données par OCR (ou par les procureurs généraux des États)
- Enquêtes sur des plaintes concernant des entités couvertes et des associés commerciaux
- Audits de conformité HIPAA
Même lorsquune violation de données nimplique pas une violation de la loi HIPAA, ou quune plainte savère non fondée, lOCR peut découvrir des violations de la loi HIPAA non liées qui pourraient justifier une sanction financière.
Quoi sont les 10 violations HIPAA les plus courantes?
Vous trouverez ci-dessous 10 des violations HIPAA les plus courantes, ainsi que des exemples dentités couvertes par la HIPAA et dassociés commerciaux qui se sont avérés enfreindre les règles HIPAA et ont a dû régler ces violations avec lOCR et les procureurs généraux des États. Dans de nombreux cas, les enquêtes ont révélé de multiples violations de la loi HIPAA. Les montants du règlement reflètent la gravité de la violation, la durée pendant laquelle la violation a été autorisée à persister, le nombre de violations identifiées et la situation financière de lentité / partenaire commercial couvert.
Snooping on Healthcare Dossiers
Laccès aux dossiers de santé des patients pour des raisons autres que celles autorisées par la règle de confidentialité – traitement, paiement et opérations de soins de santé – constitue une violation de la vie privée des patients. La surveillance des dossiers médicaux de la famille, des amis, des voisins, des collègues et des célébrités est lune des violations de la loi HIPAA les plus courantes commises par les employés. Lorsquelles sont découvertes, ces violations entraînent généralement un licenciement, mais peuvent également entraîner des poursuites pénales pour lemployé concerné. Les sanctions financières pour les organisations de soins de santé qui nont pas réussi à empêcher le snooping sont relativement rares, mais elles sont possibles, comme la découvert le système de santé de lUniversité de Californie à Los Angeles.
Le système de santé de lUniversité de Californie à Los Angeles a été condamné à une amende de 865 000 $ pour avoir omis de restreindre les restrictions. accès aux dossiers médicaux. Le fournisseur de soins de santé a fait lobjet dune enquête après la découverte quun médecin avait accédé aux dossiers médicaux de célébrités et dautres patients sans autorisation. Le Dr Huping Zhou a accédé aux dossiers des patients sans autorisation 323 fois après avoir appris quil serait bientôt renvoyé. Le Dr Zhou est devenu le premier employé de la santé à être emprisonné pour une violation de la loi HIPAA et a été condamné à quatre mois de prison fédérale.
Non-réalisation dune analyse des risques à léchelle de lorganisation
Léchec effectuer une analyse des risques à léchelle de lorganisation est lune des violations les plus courantes de la loi HIPAA entraînant une sanction financière.Si lanalyse des risques nest pas effectuée régulièrement, les organisations ne seront pas en mesure de déterminer sil existe des vulnérabilités à la confidentialité, lintégrité et la disponibilité des PHI. Les risques sont donc susceptibles de rester sans réponse, laissant la porte grande ouverte aux pirates informatiques.
Les règlements HIPAA avec les entités couvertes en cas de non-réalisation dune évaluation des risques à léchelle de lorganisation comprennent:
- Premera Blue Cross – Règlement de 6 850 000 USD pour lanalyse des risques et les échecs de gestion des risques, et autres violations potentielles de la HIPAA
- Excellus Health Plan – Règlement de 5 100 000 USD pour lanalyse des risques et les échecs de gestion des risques, et dautres violations potentielles de la HIPAA
- Oregon Health & Science University – Règlement de 2,7 millions de dollars pour absence danalyse des risques à léchelle de lentreprise.
- Cardionet – règlement de 2,5 millions de dollars pour un risque incomplet analyse et absence de processus de gestion des risques.
- Cancer Care Group – règlement de 750 000 $ pour défaut de mener une analyse des risques à léchelle de lentreprise.
- Hôpital et centre médical de Lahey – règlement de 850 000 $ pour le défaut de mener une évaluation des risques à léchelle de lorganisation et ses violations de la loi HIPAA.
- Steven A. Porter, MD – pénalité de 100 000 $ pour analyse des risques et échecs de gestion des risques.
Défaut de gérer les risques de sécurité / absence de gestion des risques Processus
La réalisation dune analyse des risques est essentielle, mais ce nest pas seulement une case à cocher pour la conformité. Les risques identifiés doivent ensuite être soumis à un processus de gestion des risques. Ils doivent être classés par ordre de priorité et traités dans un délai raisonnable. Connaître les risques pour PHI et ne pas y remédier, lune des violations les plus courantes de la HIPAA sanctionnées par le Bureau des droits civils.
Les règlements HIPAA avec des entités couvertes pour défaut de gestion des risques identifiés incluent:
- Département de la santé et des services sociaux de lAlaska – Pénalité de 1,7 million de dollars pour léchec de lanalyse des risques et des échecs de gestion des risques.
- Université du Massachusetts à Amherst (UMass) – pénalité de 650000 dollars pour les échecs de gestion des risques .
- Metro Community Provider Network – Pénalité de 400 000 $ pour échecs de gestion des risques.
- Anchorage Community Mental Health Services – Pénalité de 150 000 $ pour défaut de gestion des risques pour lePHI.
Refuser laccès des patients aux dossiers de santé / dépassement du délai daccès
La règle de confidentialité HIPAA donne aux patients le droit daccéder à leurs dossiers médicaux et den obtenir des copies sur demande. Cela permet aux patients de vérifier leurs dossiers pour les erreurs et de les partager avec dautres entités et individus. Refuser aux patients des copies de leurs dossiers médicaux, facturer des copies excessives ou ne pas les fournir dans les 30 jours est une violation de la HIPAA. LOCR a fait des violations du droit daccès HIPAA lun de ses principaux objectifs dapplication à la fin de 2019.
Les règlements HIPAA avec des entités couvertes pour avoir refusé aux patients laccès à leurs dossiers ou des retards inutiles dans la fourniture daccès comprennent:
- Cignet Health of Prince Georges County – amende de 4 300 000 $ pour avoir refusé aux patients laccès à leurs dossiers médicaux.
- Banner Health – pénalité de 200 000 $ pour réponse tardive à la demande du patient dobtenir une copie de son dossier médical.
- Dignity Health, dba St. Josephs Hospital and Medical Center – Pénalité de 160 000 $ pour réponse retardée à la demande du patient dobtenir une copie de son dossier médical.
- NY Spine – Pénalité de 100 000 $ pour réponse tardive au patient demander une copie de leur dossier médical.
- Beth Israel Lahey Health Behavioral Services – Pénalité de 70 000 $ pour réponse retardée à la demande du patient dobtenir une copie de son dossier médical.
- University of Cincinnati Medical Centre – pénalité de 65000 $ pour de a répondu à la demande du patient dobtenir une copie de son dossier médical.
- Housing Works Inc – pénalité de 38 000 $ pour réponse tardive à la demande du patient dobtenir une copie de son dossier médical.
- Peter Wrobel, MD, PC, dba Elite Primary Care – Pénalité de 36 000 $ pour réponse retardée à la demande du patient pour une copie de son dossier médical.
- Riverside Psychiatric Medical Group – Pénalité de 25 000 $ pour réponse retardée à la demande du patient pour une copie de son dossiers médicaux.
- Dr Rajendra Bhayani – pénalité de 15 000 $ pour réponse tardive à la demande du patient dobtenir une copie de son dossier médical.
- All Inclusive Medical Services Inc – pénalité de 15 000 $ pour réponse retardée à demande du patient pour une copie de son dossier médical.
- Wise Psychiatry, PC – pénalité de 10 000 $ pour réponse retardée à la demande du patient dobtenir une copie de son dossier médical.
- King MD – pénalité de 3 500 $ pour réponse tardive à la demande du patient pour une copie de son dossier médical ecords.
Défaut de conclure un accord dassocié conforme à la HIPAA
Léchec de conclure un accord dassociation conforme à la HIPAA avec tous les fournisseurs qui sont fournis ou donnés laccès aux PHI est une des violations les plus courantes de la loi HIPAA. Même lorsque des accords dassocié commerciaux sont conclus pour tous les fournisseurs, ils peuvent ne pas être conformes à la HIPAA, en particulier sils nont pas été révisés après la règle finale Omnibus.
Les règlements notables pour ces violations courantes de la HIPAA incluent:
- Clinique orthopédique de Raleigh, PA of North Carolina – Règlement de 750000 $ pour le non-respect dun accord dassocié commercial conforme à la HIPAA.
- North Memorial Health Care of Minnesota – Règlement de 1,55 million de dollars pour avoir omis de conclure un BAA avec un entrepreneur majeur et dautres HIPAA violations.
- Care New England Health System – Règlement de 400 000 $ pour défaut de mise à jour des accords avec les partenaires commerciaux
Contrôles daccès ePHI insuffisants
La sécurité HIPAA La règle exige que les entités couvertes et leurs partenaires commerciaux limitent laccès à lePHI aux personnes autorisées. Lincapacité de mettre en œuvre des contrôles daccès ePHI appropriés est également lune des violations les plus courantes de la HIPAA et une qui a entraîné plusieurs sanctions financières.
Les sanctions financières imposées aux entités couvertes pour les échecs de contrôle daccès ePHI comprennent:
- Anthem Inc. – Pénalité de 16 000 000 USD pour échecs de contrôle daccès et autres violations graves de la loi HIPAA.
- Memorial Healthcare System – Pénalité de 5 500 000 USD pour contrôles daccès ePHI insuffisants.
- Département du Texas of Aging and Disability Services – Pénalité de 1 600 000 $ pour les échecs danalyse des risques, les échecs de contrôle daccès et les échecs de surveillance du système dinformation.
- Système de santé de lUniversité de Californie à Los Angeles – 865 500 $ de pénalité pour le non-respect de la restriction de laccès aux dossiers médicaux.
- Pagosa Springs Medical Center – Pénalité de 111400 $ pour le non-résiliation de laccès à ePHI après le licenciement dun employé et labsence daccord dassocié commercial.
Non-utilisation du chiffrementou une mesure équivalente pour protéger lePHI sur les appareils portables
Lune des méthodes les plus efficaces pour prévenir les violations de données consiste à crypter les PHI. Les violations de PHI cryptées ne sont pas des incidents de sécurité à signaler, sauf si la clé permettant de décrypter les données est également volée. Le chiffrement nest pas obligatoire selon les règles HIPAA, mais il ne peut pas être ignoré. Si la décision est prise de ne pas utiliser le chiffrement, une autre mesure de sécurité équivalente doit être utilisée à sa place.
Les règlements récents pour léchec de la protection des PHI incluent:
- Centre médical pour enfants de Dallas – amende civile de 3,2 millions de dollars pour avoir omis de prendre des mesures pour faire face aux risques connus, y compris le non-recours au chiffrement sur les appareils portables.
- Catholic Health Care Services of the Archdiocese of Philadelphia – Règlement de 650 000 dollars en cas de non-utilisation du chiffrement, de non-réalisation d’une analyse des risques à l’échelle de l’entreprise et de gestion des risques.
- Entité couverte affiliée au système de santé Lifespan Health System – 1 040 000 USD de pénalité pour l’incapacité de crypter les données et l’appareil et le support contrôles, entraînant la divulgation non autorisée de lePHI de 20 431 patients
Dépassement du délai de 60 jours pour lenvoi de notifications de violation
La règle de notification de violation HIPAA oblige les entités couvertes à émettre notifications de violations sans retard inutile, et certainement au plus tard 60 jours après la découverte dune violation de données. Le dépassement de ce délai est lune des violations les plus courantes de la loi HIPAA, qui a vu deux sanctions imposées cette année:
- Presence Health – règlement de 475 000 $ pour avoir retardé lémission des notifications de violation dun mois.
- CoPilot Provider Support Services Inc. – Règlement de 130 000 $ avec le procureur général de New York pour les notifications de violation retardées.
Divulgations non autorisées dinformations de santé protégées
Toute divulgation de les informations de santé protégées qui ne sont pas autorisées en vertu de la règle de confidentialité HIPAA peuvent entraîner une pénalité financière. Cette catégorie de violation comprend la divulgation des RPS à lemployeur dun patient, les divulgations potentielles à la suite du vol ou de la perte dordinateurs portables non cryptés, la manipulation imprudente des RPS, la divulgation inutile des RPS, le non-respect de la norme « minimale nécessaire et les divulgations de RPS après lautorisation du patient expiré.
Les règlements pour divulgations non autorisées de RPS comprennent:
- Memorial Hermann Health System – règlement de 2,4 millions de dollars pour la divulgation des RPS dun patient dans un communiqué de presse.
- New York Presbyterian Hospital – amende de 2 200 000 $ pour filmer des patients sans leur consentement.
- Massachusetts General Hospital – amende de 515 000 $ pour filmer des patients sans leur consentement.
- Lukes-Roosevelt Hospital Center – Règlement de 387 000 $ pour traitement imprudent des RPS / divulgation de la séropositivité dun patient à son employeur.
- Brigham and Womens Hospital – pénalité de 384 000 $ pour avoir filmé des patients sans consentement .
- Boston Medical Center – Pénalité de 100 000 $ pour avoir filmé des patients sans leur consentement.
Élimination incorrecte des PHI
Lorsque les PHI physiques et lePHI ne sont plus nécessaires et les périodes de conservation ont expiré, les règles HIPAA exigent que les informations soient détruites de manière sécurisée et permanente. Pour les enregistrements papier, cela pourrait impliquer le déchiquetage ou la réduction en pâte et pour lePHI, la démagnétisation, leffacement sécurisé ou la destruction des appareils électroniques sur lesquels lePHI est stocké afin déviter les divulgations non autorisées.
Des sanctions financières sont infligées aux entités couvertes pour une élimination incorrecte des PHI / ePHI incluent:
- Parkview Health – une pénalité de 800 000 $ pour le défaut de disposer en toute sécurité des dossiers papier contenant des PHI.
- Cornell Prescription Pharmacy – 125 000 $ de pénalité pour lélimination inappropriée de PHI.
- FileFax Inc. – Pénalité de 100 000 $ pour une entreprise abandonnée pour élimination incorrecte des dossiers médicaux.
Violations courantes de la loi HIPAA par les employés de la santé
La surveillance des dossiers de santé est une violation assez évidente de la HIPAA et que tous les employés de la santé qui ont reçu une formation HIPAA doivent savoir quelle constitue une violation des politiques de leur employeur et des règles HIPAA.
Dautres violations courantes de la HIPAA surviennent souvent comme à la suite de malentendus sur HIPAA conditions. Bien que chacune de ces violations courantes de la HIPAA affecte beaucoup moins de patients que les violations ci-dessus, elles peuvent toujours causer un préjudice important: au (x) patient (s) impliqué (s) et à leur employeur. Ils peuvent également entraîner des mesures disciplinaires contre lemployé responsable, y compris le licenciement.
Vous trouverez ci-dessous quelques-unes des violations courantes de la loi HIPAA commises par les employés de la santé. Ces violations courantes de la loi HIPAA doivent être couvertes dans le cadre de la formation HIPAA donnée aux employés pour les sensibiliser à ces domaines fréquents de non-conformité.
Envoi dePHI par e-mail à des comptes de messagerie personnels et suppression de PHI dun établissement de santé
Il peut être difficile de trouver le temps daccomplir toutes les tâches nécessaires pendant les heures de travail et il peut être tentant de ramener le travail à la maison. La suppression des informations de santé protégées dun établissement de santé expose ces informations à un risque dexposition. Il sagit dune violation courante de la loi HIPAA chez les employés et peut même être une pratique courante dans un établissement de santé en sous-effectif. Cela ne veut pas dire que cest une pratique acceptable.
Il en va de même pour lenvoi dePHI par e-mail à des comptes de messagerie personnels. Quelles que soient les intentions, que ce soit pour obtenir de laide avec des feuilles de calcul, terminer le travail à la maison pour aller de lavant pour le lendemain, ou pour rattraper un retard, cest une violation des règles HIPAA. En outre, tout envoi dePHI par e-mail à un compte de messagerie personnel pourrait être considéré comme un vol, dont les répercussions pourraient être beaucoup plus graves que la résiliation dun contrat de travail.
Laisser les appareils électroniques portables et la paperasse sans surveillance
La règle de sécurité HIPAA exige que PHI et ePHI soient sécurisés à tout moment. Si les documents sont laissés sans surveillance, ils pourraient être consultés par une personne non autorisée, quil sagisse dun membre du personnel, dun patient ou dun visiteur de létablissement de santé. Si cela se produisait, cela serait considéré comme une divulgation inadmissible de PHI.
Les appareils électroniques contenant lePHI doivent également être sécurisés à tout moment. Les appareils électroniques sont portables et précieux. Les voleurs opportunistes pourraient facilement voler un appareil sans surveillance et accéder à lePHI. Il y a eu de nombreux cas demployés du secteur de la santé retirant des appareils non chiffrés des établissements de santé, uniquement pour les voler dans des véhicules ou des maisons. Le vol peut également se produire facilement dans un établissement de santé si les appareils ne sont pas sécurisés. Les employés du secteur de la santé doivent sassurer que les politiques de leur employeur sont respectées et que les règles HIPAA ne sont pas violées en laissant les appareils et les documents sans surveillance.
Communication des informations du patient à une personne non autorisée
Un formulaire dautorisation doit être obtenu dun patient avant que lun de ses PHI puisse être divulgué à un tiers à des fins autres que celles expressément autorisées par la règle de confidentialité HIPAA. La divulgation de PHI à des fins autres que le traitement, le paiement des soins de santé ou des opérations de soins de santé (et dans certains cas limités) est une violation de la loi HIPAA si lautorisation na pas été reçue du patient à lavance.
Les employés de la santé doivent sassurer quau préalable à la divulgation de PHI à un tiers que lautorisation a été obtenue du patient et que les informations ne sont pas divulguées à une personne ou à une entreprise qui nest pas incluse dans le formulaire dautorisation. Les formulaires dautorisation ne sont valables que sils ont été signés par le patient ou son représentant désigné.
Divulgation des informations des patients sans autorisation
Dans la même veine que le point précédent, les employés de la santé doivent également faire preuve de prudence quant aux types dinformations qui sont communiquées à des tiers, même en cas dautorisation a été reçu pour permettre à une personne, une entreprise ou une organisation spécifique de recevoir des PHI.
Le formulaire dautorisation doit inclure les types dinformations dont la publication a été autorisée. Toute information non détaillée sur le formulaire dautorisation doit rester privée et confidentielle et ne doit pas être partagée. La divulgation dinformations supplémentaires enfreindrait la règle de confidentialité HIPAA.
Divulgations de PHI à des tiers après lexpiration dune autorisation
Tous les formulaires dautorisation HIPAA doivent inclure les noms ou catégories dindividus qui sont autorisés à recevoir des RPS, les types de RPS qui seront divulgués et les raisons des divulgations. Ils doivent également inclure une date dexpiration pour lautorisation.
Les renseignements personnels sur les renseignements personnels ne doivent pas être divulgués à une personne figurant sur le formulaire dautorisation après la date dexpiration, même si lautorisation a déjà été donnée à cette entité de recevoir PHI. Un nouveau formulaire dautorisation est requis avant toute autre divulgation. Il convient également de noter quun formulaire dautorisation sans date dexpiration nest pas conforme à la HIPAA.
Divulgations non autorisées des dossiers de santé des patients
La règle de confidentialité HIPAA permet aux patients dobtenir une copie de leur dossiers de santé sur demande ou avoir leurs dossiers fournis à un tiers désigné comme un représentant personnel ou une autre personne. Sil na pas été recueilli en personne par le patient, le tiers doit avoir reçu lautorisation du patient – sur un formulaire dautorisation HIPAA – de recevoir les dossiers avant quils ne puissent être libérés.
Avant de fournir des copies du patient les dossiers de santé, les employés de la santé doivent vérifier lidentité du patient ou de la personne qui recueille les dossiers et doivent sassurer que les dossiers ne sont remis quà une personne autorisée à les recevoir. Il faut également veiller à ce que les bons dossiers du patient soient publiés.
Téléchargement de PHI sur des appareils non autorisés
Il peut être difficile pour les services informatiques de santé de garder une trace de tous les appareils qui se connectent au réseau, compte tenu du nombre dappareils différents ayant accès au réseau. Sassurer que ces appareils sont sécurisés peut être un problème encore plus important, mais cest une exigence pour la conformité HIPAA.
Les employés doivent être conscients quil existe des risques de confidentialité et de sécurité associés au téléchargement dePHI sur des appareils électroniques portables non autorisés. Non seulement cela augmente le risque de divulgation accidentelle de lePHI – en cas de perte ou de vol de lappareil – cela pourrait également être considéré comme un vol et une violation de la loi HIPAA.
Fourniture dun accès non autorisé aux dossiers médicaux
Il est de la responsabilité de lentité couverte de sassurer que laccès aux informations de santé des patients et aux dossiers médicaux nest accordé quaux personnes autorisées. Ceci est réalisé en implémentant des contrôles daccès via des connexions uniques.
Les employés ont la responsabilité de sassurer quils ne donnent pas accès aux informations de santé à des collègues qui nont pas les mêmes droits daccès. Le partage des identifiants de connexion pourrait non seulement entraîner une divulgation non autorisée de lePHI, mais toute action entreprise par cet employé serait attribuée à la personne dont les identifiants de connexion ont été utilisés pour y accéder.
FAQ
Que signifie «réduire les risques à un niveau approprié et acceptable»?
Lorsque les risques et vulnérabilités potentiels sont identifiés, les entités couvertes et les associés doivent décider des mesures à mettre en œuvre en fonction de la taille, la complexité et les capacités des organisations, les mesures existantes déjà en place, et le coût de mise en œuvre de mesures supplémentaires par rapport à la probabilité dune violation de données et à lampleur du préjudice quelle causerait.
Comment cela se passe-t-il possible dempêcher les employés de fouiner dans les dossiers médicaux?
Bien que de nombreux cas despionnage médical soient attribuables à la curiosité plutôt quà une intention malveillante, tous les cas despionnage médical sont des violations de la HIPAA. Pour empêcher les employés despionner les soins de santé enregistrements, les entités couvertes doivent mettre en œuvre un programme de formation, sassurer que les privilèges daccès sont conformes à la norme minimale nécessaire, activer les journaux daudit et appliquer des sanctions.
Si le cryptage nest pas obligatoire, comment peut-il sagir dune violation HIPAA si les enregistrements ne sont pas chiffrés?
Bien que le chiffrement ne soit pas obligatoire, il sagit dune spécification dimplémentation adressable de la règle de sécurité. Cela signifie que les organisations ne peuvent éviter de mettre en œuvre lexigence que si elle nest pas raisonnable et appropriée dans les circonstances, ou si une mesure de sécurité alternative est tout aussi efficace. Si les organisations ne parviennent pas à mettre en œuvre le chiffrement, elles doivent en documenter les raisons.
Pourquoi lamende pour avoir refusé laccès des patients aux dossiers de santé était-elle si élevée?
Dans ce cas particulier, la non-coopération de lentité couverte a contribué à lampleur de lamende (vous peut lire sur laffaire ici). Depuis ce cas, le programme dutilisation significative du CMS est devenu le programme de promotion de linteropérabilité, et – en plus dêtre sanctionné pour une violation de la HIPAA – toute entité couverte ne fournissant pas de dossiers de santé en temps opportun pourrait désormais perdre un pourcentage Paiements Medicare.