Quand un avocat ou un comptable est-il un associé HIPAA ?

Le rôle d’associé HIPAA est basé sur les services

Par Mike Semel
Blog : 4Medapproved.com/HITSecurity
Twitter : @SemelConsulting

La question de savoir si un avocat ou un comptable est un associé commercial HIPAA est directement liée à plusieurs sections du cadre de la règle de sécurité HIPAA visant à protéger les informations de santé électroniques. Elle est encore plus importante aujourd’hui avec les changements relatifs aux associés commerciaux HIPAA et aux sous-traitants dans la règle finale HIPAA Omnibus qui sera appliquée après le 23 septembre 2013. Tout comme la sécurité après le 11 septembre, l’HIPAA modifie à jamais le paysage commercial. Il n’est plus nécessaire d’être une entreprise de soins de santé pour être responsable de la protection des informations de santé protégées (PHI).) Les organisations de soins de santé étant plus que jamais responsables de la conformité de leurs fournisseurs, les avocats et les comptables doivent prendre les devants et se conformer à l’HIPAA.

Contexte

Les entités couvertes par l’HIPAA sont des prestataires de soins de santé et des payeurs qui traitent certaines transactions par voie électronique. Il s’agit notamment des médecins, des dentistes, des hôpitaux, des cliniques, des pharmacies, des laboratoires et des compagnies d’assurance.

Un  » associé commercial  » est une personne ou une entité qui exerce certaines fonctions ou activités impliquant l’utilisation ou la divulgation d’informations de santé protégées pour le compte d’une entité couverte ou qui lui fournit des services.

Un associé commercial HIPAA est tenu de signer un accord limitant l’utilisation des informations de santé qu’il utilise. La règle finale HIPAA Omnibus exige qu’un associé commercial HIPAA se conforme à l’HIPAA comme s’il était une entité couverte, notamment aux politiques et procédures HIPAA, à une analyse des risques, à la formation du personnel et à la sécurité de toute donnée sur les patients qu’il stocke. La règle va plus loin en exigeant qu’un associé commercial soit responsable de la conformité HIPAA de tout sous-traitant qu’il utilise. Les sous-traitants incluent désormais les centres de données, les services de cloud et les sociétés de sauvegarde en ligne.

Qui est un Business Associate HIPAA est très important car désormais les sociétés qui leur fournissent des services sont également considérées comme des Business Associates et doivent se conformer à l’HIPAA. Cela signifie qu’une société informatique, une société qui fournit des logiciels juridiques, une société de réparation de photocopieurs ou un entrepôt de stockage de papier, pour n’en citer que quelques-uns, devront désormais se conformer à l’HIPAA même si elles n’ont pas directement de clients dans le domaine de la santé. Parce que leurs clients ont des clients dans le domaine de la santé, ils doivent se conformer.

Lawyers

Tout avocat dont les services juridiques pour une entité couverte impliquent l’accès aux données des patients est un associé commercial HIPAA. Certains services juridiques comme l’immobilier ou les contrats ne nécessitent pas d’accès aux dossiers des patients. La défense contre les fautes professionnelles est un exemple clair où les dossiers des patients sont nécessaires.

La simple possession de dossiers médicaux ne fait pas d’un avocat un associé commercial HIPAA. Par exemple, dans un procès pour faute professionnelle, le patient qui poursuit son médecin donne son dossier médical à son avocat. Cela ne fait pas de l’avocat du plaignant un associé commercial, car le patient peut donner son dossier à n’importe qui. Le médecin poursuivi en justice donne les dossiers médicaux du patient à son avocat. Cela fait de l’avocat du défendeur un associé d’affaires HIPAA parce que le médecin est une entité couverte et qu’il partage les données du patient avec quelqu’un qui ne fait pas partie de son personnel.

L’association du barreau de Dallas dit : « Plus précisément, les avocats représentant des entités couvertes, s’ils reçoivent des RPS de l’entité couverte (ou produisent des RPS au nom de l’entité couverte), sont des associés d’affaires. Par conséquent, si vous représentez un plan de santé, un fournisseur ou une chambre de compensation et que vous recevez des RPS du client, vous devez conclure un BAA avec le client. Si vous ne l’avez pas fait, votre client est probablement en violation de l’HIPAA ». L’association du barreau de l’État du Minnesota est du même avis : « Les cabinets d’avocats ayant accès à des informations de santé protégées se retrouveront probablement classés comme « associés commerciaux » en vertu des nouvelles règles de l’HIPAA et donc soumis à de nouvelles exigences en matière de confidentialité, de sécurité et de notification des violations régissant leur traitement de ces informations. »

Alors que les avocats pensent souvent que la conformité à l’HIPAA est un exercice de contrats, il s’agit en réalité d’un exercice de sécurité informatique et de protection des données. Elle exige que toutes les entreprises informatiques externalisées, les centres de données, les fournisseurs de logiciels juridiques basés sur le cloud, les fournisseurs de courrier électronique, les fournisseurs de stockage de dossiers papier, les entreprises de déchiquetage et autres signent des accords d’associé commercial et fournissent des services conformes à l’HIPAA.

Comptables

Un comptable qui vérifie les livres des organisations de soins de santé voit souvent des informations sur les patients. Ils suivent les factures de traitement pour suivre le co-paiement du patient, les paiements d’assurance et les radiations, pour voir si les transactions ont été traitées correctement dans le système comptable. Cela signifie que le comptable est un associé commercial.

Risques

Les avocats et les comptables transportent des ordinateurs portables et d’autres appareils portables. De fortes amendes HIPAA ont été évaluées pour la perte d’ordinateurs portables et de disques durs qui contenaient des données sur les patients. Les ordinateurs portables et tout support de stockage portable doivent être cryptés car si un dispositif crypté est perdu, il ne s’agit pas d’une violation de données à signaler. Les appareils doivent être protégés contre les logiciels malveillants, la perte ou le vol. Les amendes ne sont pas seulement infligées à un associé commercial qui viole les données des patients, mais peuvent également être infligées à leur client qui les a embauchés.

Un cabinet d’avocats ou un comptable qui est un associé commercial doit avoir des politiques HIPAA, des procédures documentées pour soutenir les politiques, une analyse des risques HIPAA et une formation de la main-d’œuvre pour sa direction et son personnel, y compris les avocats et les comptables. Il doit s’assurer que tout dossier de patient dans son logiciel de gestion de cas ou d’audit est sécurisé. Il ne doit jamais envoyer par courriel des informations non cryptées sur les patients à l’extérieur du cabinet. Son réseau et ses appareils doivent être protégés contre les logiciels malveillants et les accès non autorisés. Sa société de support informatique doit être certifiée HIPAA afin de connaître les règles. Il ne peut faire affaire qu’avec des fournisseurs de cloud, des centres de données et des fournisseurs de sauvegarde en ligne qui signeront des accords d’associé commercial et mettront en œuvre des programmes de conformité.

Si un avocat ou un comptable ne veut pas signer un accord d’associé commercial HIPAA ou mettre en œuvre la conformité HIPAA, toute information partagée avec lui constituerait une violation de données. Une entité couverte n’a pas d’autre choix que de trouver quelqu’un qui se conformera à l’HIPAA pour fournir une représentation juridique ou des services comptables.

Mike Semel est certifié en HIPAA et a été le DSI d’un hôpital (entité couverte) et a fourni un soutien informatique aux fournisseurs de soins de santé (en tant qu’associé commercial.) Mike est certifié en planification de la continuité des activités et a aidé à développer la CompTIA Security Trustmark. Semel Consulting propose un service de conformité géré appelé HIPAA SOS, des audits de conformité, l’analyse des risques de sécurité Meaningful Use et la planification de la continuité des activités. Visitez le site www.semelconsulting.com pour plus d’informations.

.