Comment rendre le logiciel compatible HIPAA

La loi sur la portabilité et la protection de l'assurance maladie du gouvernement fédéral (HIPAA) a établi des directives sur la manière dont les prestataires de soins traitent les données sur la santé des patients. Malheureusement, les directives HIPAA sont vagues. Il n'y a pas de liste de contrôle facile à utiliser pour trouver un logiciel compatible HIPAA. Au lieu de cela, HIPAA vous oblige à créer un ensemble de procédures pour accéder et envoyer des informations sur la santé du patient. Vous devez ensuite trouver un fournisseur de logiciels dont le logiciel peut vous permettre de mettre en œuvre vos procédures.

Première partie de trois:
Créer des procédures appropriées

1. 1 Tenir un journal d'audit. Vous devez suivre qui accède au dossier d'un patient. Cela signifie que vous devez créer des noms d'utilisateur et des mots de passe distincts pour chaque personne ayant accès aux informations de santé du patient. Dans le cadre du journal d'audit, vous devez suivre les étapes suivantes:
   • quel enregistrement l'utilisateur a accédé
   • la date à laquelle il a été accédé
   • si l'utilisateur a visualisé l'information, l'a mise à jour ou l'a supprimée
2. 2 Créez des niveaux d'accès. HIPAA exige également qu'un employé ne voit que les informations «minimales nécessaires» pour faire son travail. Par exemple, un médecin devra consulter plus d'informations sur la santé qu'un réceptionniste. En conséquence, vous devez créer des niveaux d’accès dans lesquels vous ne fournissez que le maximum d’informations dont chaque personne a besoin pour faire son travail.
   • Certains employés ne peuvent travailler qu'avec certains patients. Dans cette situation, ils ne devraient avoir accès qu'aux dossiers des patients avec lesquels ils travaillent.
   • Pour réussir à créer des niveaux d'accès, vous devez définir clairement les rôles dans votre organisation. Cela peut nécessiter que vous examiniez les descriptions de poste et que vous réorganisiez les tâches.
3. 3 Créez une fonction de remplacement d'urgence. Même si vous créez des niveaux d'accès, il peut y avoir des situations où quelqu'un doit accéder à toutes les informations en cas d'urgence. Pour cette raison, vous devez créer un «remplacement» qui permet à la personne de récupérer toute information nécessaire pour traiter efficacement les patients.
   • Néanmoins, vous devez configurer votre logiciel de sorte que l’utilisation de cette fonction de remplacement fasse l’objet d’un examen minutieux.
   • Par exemple, vous pouvez configurer le logiciel de sorte que chaque fois que quelqu'un utilise la fonction de substitution, plusieurs autres personnes sont automatiquement envoyées par courrier électronique simultanément. Le logiciel devrait également suivre toutes les informations auxquelles cette personne accède.
   • Vous devez également écrire un processus de révision pour chaque utilisation de la fonction de remplacement. Par exemple, la personne qui l'utilise peut devoir rencontrer plus tard un superviseur pour justifier son utilisation.
4. 4 Sécurisez vos données. HIPAA exige que vous gardiez vos données en sécurité. En pratique, cela signifie que vous devez utiliser des mots de passe et conserver les données sécurisées derrière un pare-feu.
   • Vous devez également vous assurer que vos e-mails sont sécurisés. En particulier, vous devez utiliser une technologie de cryptage suffisante sur vos e-mails.
   • Pour plus d'informations sur la conformité de votre messagerie avec HIPAA, consultez la rubrique Rendre le courrier électronique conforme à HIPAA.
5. 5 Analyser les formulaires d'autorisation du patient. Vous devez obliger les patients à signer des formulaires autorisant l'utilisation de leurs informations pour leurs soins. Chaque formulaire doit inclure une description de ce que vous utiliserez les données et la date d'expiration.
   • Vous devez suivre ces autorisations, y compris la date de signature du formulaire et le nom de la personne qui l'a signé.
   • Vous devriez également scanner le formulaire et conserver une copie numérique.
6. 6 Confirmez que votre système de facturation est conforme. HIPAA a normalisé la transmission des informations de facturation. Pour cette raison, le système de facturation que vous utilisez doit prendre en charge les normes HIPAA.
   • Actuellement, pratiquement tous les systèmes de facturation du marché fonctionnent. Néanmoins, vous devez confirmer avec votre fournisseur qu’il est conforme à la norme HIPAA.
7. 7 Demandez aux fournisseurs de vous proposer une sauvegarde. HIPAA exige également que vous mainteniez vos données pour qu'un patient puisse les voir à chaque demande. Cela signifie que vous devez conserver des sauvegardes de toutes les informations. Si vous conservez des informations sur papier, vous devez créer des copies stockées hors site ou des analyses numériques. Si vous stockez des données par voie électronique, elles doivent être sauvegardées.
   • Demandez aux fournisseurs comment ils sauvegardent leurs systèmes. Découvrez comment ils assurent la continuité du système en cas d'accident.
   • Si vous hébergez le système de données sur vos propres serveurs, vous devrez déterminer les procédures de sauvegarde en place, ainsi que vos plans d’urgence.
8. 8 Faire signer des contrats par des associés. Quiconque voit vos données doit accepter de respecter les mêmes politiques et procédures que votre organisation. Vous devez donc rédiger un contrat «Business Associate» que tous les fournisseurs doivent signer.
   • Health and Human Services propose un exemple de contrat disponible à l’adresse http://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html. Vous pouvez le modifier en fonction de vos besoins.
   • Il existe également des exemples de contrats sur Internet. Par exemple, le Centre des sciences de la santé d'UT a un contrat de formulaire que vous pouvez utiliser.^[1]
   • Vous devriez également demander à votre avocat de soins de santé de vérifier si le contrat est suffisant pour vous protéger.

Deuxième partie de trois:
Recherche de fournisseurs de logiciels et de données

1. 1 Demandez à d'autres fournisseurs de soins de santé. Si vous ouvrez une entreprise, vous devrez acheter un logiciel. Vous devrez peut-être aussi embaucher quelqu'un pour héberger vos données sur leurs serveurs (ou pour sauvegarder vos propres serveurs).
   • Demandez à d'autres fournisseurs quels fournisseurs ils utilisent. Pratiquement tous les fournisseurs de soins de santé sont couverts par la loi HIPAA. Ils auraient donc dû réfléchir à la conformité de leurs logiciels. Vous devriez demander des recommandations.
2. 2 Comparer les prix. Après avoir reçu des recommandations pour différents fournisseurs, vous devez comparer leurs prix. Vous devriez les appeler pour obtenir un devis.Leurs numéros de téléphone doivent être sur Internet.
   • Les prix dépendront du nombre de personnes ayant besoin d'accéder à votre système, alors assurez-vous d'avoir ce numéro disponible.^[2]
   • Si votre entreprise se développe, vous devriez penser quelques années à l'avance. Par exemple, si vous avez cinq employés, mais que vous pensez doubler de taille, assurez-vous d'obtenir un devis pour 10 utilisateurs. Vous ne voulez pas changer de logiciel après seulement un an.
3. 3 Découvrez comment le fournisseur surveille les modifications apportées à HIPAA. Les réglementations HIPAA continuent d'évoluer. Vous devez vous attendre à ce que le fournisseur suive les modifications de la loi. Lorsque vous contactez des fournisseurs, vous devez vous poser les questions suivantes:
   • Comment le fournisseur surveille-t-il les modifications des réglementations HIPAA? A-t-il un plan d'action pour suivre l'évolution de la loi? Recherchez des exemples concrets. L'entreprise a-t-elle un avocat parmi son personnel qui surveille les modifications de la loi?
   • Quel pourcentage des clients du fournisseur doit être conforme à la norme HIPAA? Si la plupart des clients de l'entreprise doivent se conformer à la loi HIPAA, vous pouvez être sûr qu'ils apporteront les modifications nécessaires pour se conformer à la loi HIPAA. Sinon, ils cesseront leurs activités.

Troisième partie de trois:
Comprendre les exigences de HIPAA

1. 1 Vérifiez si HIPAA s'applique à vous. Vous devez vous conformer à HIPAA si votre organisation transmet des informations de facturation par voie électronique à une compagnie d'assurance maladie, y compris Medicaid et Medicare. Les informations peuvent inclure des factures ou d'autres informations nécessaires pour trouver une couverture d'assurance. En règle générale, HIPAA réglemente les fournisseurs des éléments suivants:
   • thérapie
   • conseils
   • soins médicaux
   • tout autre service qui facture les compagnies d'assurance
2. 2 Trouvez un avocat en soins de santé. Les règles HIPAA sont compliquées et difficiles à comprendre. Afin de vous assurer que vous êtes en conformité, vous devez engager un avocat de soins de santé pour votre organisation. Un avocat spécialisé dans les soins de santé peut aider à résoudre les problèmes de gestion des risques et de réglementation.^[3] Vous pouvez garder cette personne «sur mandat», ce qui signifie que vous payez des frais chaque mois. En échange, l’avocat est toujours disponible pour répondre à vos questions.^[4]
   • Vous pouvez obtenir des recommandations pour un avocat spécialisé en soins de santé en interrogeant d'autres fournisseurs de soins de santé qu'ils utilisent. Si vous n'obtenez aucune recommandation, alors vous pouvez visiter le barreau de votre état, qui devrait exécuter un programme de référence. Demandez une référence pour un avocat de la santé.
   • Assurez-vous de demander à l'avocat son expérience. Vous voudrez quelqu'un qui possède une vaste expérience en matière de conformité à la réglementation, pas simplement en représentant des entreprises dans des poursuites.
3. 3 Soyez prudent, pas désolé. Techniquement, vous n'avez pas besoin de créer des noms d'utilisateur, des niveaux d'accès ou même des logiciels dans votre organisation. Au lieu de cela, HIPAA exige uniquement que vous preniez des «mesures raisonnables» et que vous ne divulguiez que les informations «minimales nécessaires». Néanmoins, dans la pratique, vous devez créer les procédures d’accès et de distribution des informations décrites ci-dessus si vous prévoyez d’utiliser un bureau moderne avec des ordinateurs et des e-mails. Ces procédures vous aideront à vous protéger contre les divulgations non autorisées d'informations sur les patients.
   • Les sanctions pour violation de la loi HIPAA peuvent être sévères. Vous pouvez faire face à une amende de 50 000 $ pour chaque infraction, jusqu'à concurrence de 1,5 million de dollars par année. Il existe également des sanctions pénales pour ceux qui violent délibérément les règles.^[5]
   • En conséquence, il est préférable de suivre les pratiques et procédures qui deviennent la norme dans votre secteur. Des avocats et des vendeurs de soins de santé expérimentés peuvent vous guider dans la bonne direction.