Comment rendre le courrier électronique conforme HIPAA?
La loi HIPAA (Health Insurance Portability and Accountability Act) a été adoptée pour empêcher que les informations sur les soins de santé d'une personne ne soient accessibles au public. En conséquence, la HIPAA exige que certaines entités couvertes emploient des processus adéquats pour protéger les informations des patients. Si vous êtes un fournisseur de soins de santé couvert par la HIPAA, vous devrez vous assurer que votre e-mail est conforme à la HIPAA. Malheureusement, il n'y a pas de moyen simple pour vous de le faire vous-même. Au lieu de cela, vous devrez engager un fournisseur de services de messagerie conforme à la loi HIPAA.
Partie 1 sur 2: apprendre les exigences HIPAA
- 1Comprenez les amendes. HIPAA comprend à la fois une règle de confidentialité et une règle de sécurité. La règle de confidentialité protège les informations identifiables des patients et la règle de sécurité établit des normes nationales pour la sécurité des informations protégées sous forme électronique. Ces règles ont du mordant: une infraction est passible d'une peine maximale de 1,10 million d'euros par infraction.
- 2Lisez la règle de sécurité. Le gouvernement fédéral exige que la communication électronique des renseignements sur les soins de santé respecte certaines exigences en matière de sécurité et de confidentialité. Ces exigences sont complexes. Pour une conformité email HIPAA, vous devez faire en sorte que vous employez des garanties suffisantes pour assurer l'intégrité, la sécurité et la confidentialité des informations électroniques.
- Vous pouvez lire la règle de sécurité en visitant le site Web de la santé et des services sociaux à l'adresse http://hhs.gov/ocr/privacy/hipaa/administrative/securityrule/. Des liens sont fournis vers le texte statutaire pertinent.
- Vous pouvez également lire le texte réglementaire. Ce document contiendra tous les règlements qui ont été promulgués pour mettre en œuvre le statut HIPAA.
- Ces informations sont très techniques et difficiles à comprendre pour un non-expert. Vous devriez rencontrer un avocat de la santé pour discuter de vos besoins en matière de sécurité des courriels.
- 3Rencontrez un avocat. Un avocat de la santé expérimenté devrait être en mesure de vous aider à comprendre les exigences légales et également de trouver des moyens de rendre votre système de messagerie conforme. Vous voudrez rencontrer un avocat spécialisé en droit de la santé en particulier.
- Pour trouver un avocat de la santé, visitez le barreau de votre état. Il doit avoir des liens vers des programmes de référence (ou héberger un programme de référence lui-même). Une fois sur le site Web, vous recevrez un numéro de téléphone à appeler ou un répertoire que vous pouvez rechercher.
Partie 2 sur 2: S'assurer que votre e-mail est conforme HIPAA
- 1Recherchez des fournisseurs de services de messagerie conformes HIPAA. Les exigences techniques sont si compliquées que, à moins que vous ne soyez un expert en systèmes d'information, vous devrez engager un fournisseur de services de messagerie conforme HIPAA pour fournir votre système de messagerie. Les services de messagerie Web gratuits comme Yahoo et Gmail ne sont pas des systèmes de messagerie suffisants. En fait, ils n'offrent aucune sécurité. Pour trouver un fournisseur de services conforme, vous pouvez effectuer les opérations suivantes:
- Parlez avec votre avocat de la santé. Il ou elle doit être familiarisé avec les fournisseurs de services de messagerie conformes à la loi HIPAA.
- Chercher sur Internet. Plusieurs entreprises annoncent leurs services sur Internet. Recherchez "e-mail conforme hipaa".
- 2Contactez les fournisseurs de services de messagerie conformes HIPAA. Une fois que vous avez les noms des fournisseurs de services de messagerie, vous devriez regarder les sites Web des entreprises et voir s'ils ont l'air professionnel. Ensuite, appelez une entreprise et demandez-lui si elle peut vous donner des références. Vous devriez également vous renseigner sur les services qu'ils fournissent. Un fournisseur de services de messagerie conforme HIPAA doit:
- Limitez l'accès aux informations électroniques. Le fournisseur de services de messagerie doit conserver ses serveurs dans un endroit sécurisé, accessible uniquement par le personnel autorisé.
- Vérifier qui accède aux informations. Le fournisseur de services doit être en mesure de savoir qui accède aux informations du système. Un journal de sécurité adéquat doit suivre l'utilisateur qui a accédé aux informations, le jour et l'heure auxquelles ils ont accédé et à qui les informations ont été envoyées.
- Transmissions par e-mail sécurisées. Un fournisseur de services doit également sécuriser de manière adéquate toutes les transmissions de courrier électronique à l'aide du cryptage et d'autres techniques.
- 3Obtenez le consentement du patient. Quel que soit le fournisseur de services que vous utilisez, vous devez toujours obtenir le consentement du patient pour transmettre des informations sur les soins de santé par voie électronique. Parfois, un patient vous enverra des informations par e-mail, mais vous ne devez pas supposer que cela signifie que le patient consent à recevoir des informations par voie électronique.
- Au lieu de cela, vous devriez demander aux patients de signer une feuille de contact. Dans ce formulaire, le patient vous indiquera comment il préfère être contacté. Vous devriez demander aux patients actuels d'en signer un et vous assurer que tous les nouveaux patients en signent un lors de leur première visite.
- 4Utilisez le cryptage. Selon Health and Human Services, le cryptage n'est pas obligatoire sauf si, après une évaluation des risques, il s'avère être une sauvegarde appropriée. Dans la pratique, cependant, cela signifie que vous aurez presque toujours besoin de crypter les e - mails et les pièces jointes.
- Le cryptage est une technique qui convertit le texte original en texte encodé. C'est un moyen de sécuriser les informations au cas où elles seraient interceptées par un tiers.
- Votre fournisseur de services de messagerie conforme HIPAA doit vous expliquer ses techniques de cryptage des communications.
- 5Conservez les enregistrements. HIPAA exige que vous conserviez les e-mails pendant six ans maximum. C'est ce qu'on appelle la «règle de conservation de six ans». Votre fournisseur de services de messagerie doit être en mesure de garantir qu'il conservera les e-mails pendant cette durée.
- 6N'utilisez pas de courrier électronique, si nécessaire. Vous constaterez peut-être que les coûts de conformité pour l'envoi légal d'informations sur la santé des patients dépassent votre budget. Si tel est le cas, vous avez toujours la possibilité de ne pas envoyer ces informations par voie électronique.
- Au lieu de cela, vous pourriez demander aux patients de venir au bureau pour récupérer des informations sur les soins de santé.
- Nous vous encourageons à travailler avec des experts en messagerie qui comprennent comment sécuriser adéquatement les communications électroniques. Vous pouvez effectuer une recherche sur le Web pour essayer de savoir comment crypter vos e-mails vous-même. Vous devez être conscient que ces techniques peuvent ne pas toujours fonctionner et que vous pourriez être légalement condamné à une amende si des informations sont interceptées.
Lisez aussi: Comment récupérer les messages Facebook supprimés?
En parallèle