Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Nov 03, 2023
Comment éliminer correctement les dossiers médicaux papier et les PHI physiques sous HIPAA
Source : Getty Images 27 décembre 2022 - Une élimination inappropriée des informations de santé protégées (PHI) peut entraîner des violations de la HIPAA, des enquêtes de l'Office des droits civils (OCR) et de lourdes amendes. Pour
Source : Getty Images
27 décembre 2022 – Une élimination inappropriée des informations de santé protégées (PHI) peut entraîner des violations de la loi HIPAA, des enquêtes de l'Office des droits civils (OCR) et de lourdes amendes.
Par exemple, en août 2022, l'OCR a réglé une affaire avec un cabinet de dermatologie basé dans le Massachusetts après avoir découvert que des conteneurs d'échantillons vides portant des étiquettes comportant des PHI avaient été jetés dans une poubelle non sécurisée sur le parking du cabinet.
Les étiquettes comprenaient les noms des patients, leurs dates de naissance, les dates de prélèvement des échantillons et le nom du prestataire qui a prélevé l'échantillon. De plus, un agent de sécurité tiers a par la suite trouvé un conteneur d'échantillons portant une étiquette contenant des PHI dans le parking.
"Une élimination inappropriée des informations de santé protégées crée un risque inutile pour la vie privée des patients", avait alors déclaré la directrice de l'OCR, Melanie Fontes Rainer.
« Les entités réglementées par la HIPAA devraient prendre toutes les mesures nécessaires pour garantir que des garanties sont en place lors de la destruction des informations sur les patients afin d'empêcher qu'elles ne soient accessibles au public. »
Le cabinet a versé 300 640 $ à OCR et a accepté de mettre en œuvre un plan d'actions correctives.
Heureusement, le HHS propose de nombreuses directives sur les manières appropriées et inappropriées de disposer des dossiers physiques et des PHI électroniques, comme l'exigent les règles de confidentialité et de sécurité HIPAA.
Ci-dessous, HealthITSecurity abordera plusieurs considérations clés pour éliminer correctement les PHI physiques, telles que les dossiers papier. Un prochain article discutera du processus d’élimination des PHI électroniques.
La règle de confidentialité HIPAA « exige que les entités couvertes appliquent des garanties administratives, techniques et physiques appropriées pour protéger la confidentialité des informations de santé protégées (PHI), sous quelque forme que ce soit », déclare le HHS dans sa FAQ sur l'élimination des PHI.
«Cela signifie que les entités couvertes doivent mettre en œuvre des garanties raisonnables pour limiter les utilisations et divulgations accidentelles et interdites des PHI, y compris dans le cadre de la cession de ces informations.»
La règle de sécurité HIPAA exige que les entités couvertes mettent en œuvre des politiques et des procédures pour la suppression des PHI électroniques des supports électroniques avant que ces médias puissent être réutilisés, en plus des politiques sur la manière dont les PHI électroniques sont stockées et supprimées.
La HIPAA exige également que les entités couvertes forment les membres de leur personnel aux politiques d'élimination des PHI de l'entité.
La HIPAA est assez flexible lorsqu'il s'agit pour les organisations de choisir les garanties à mettre en œuvre pour garantir que les informations sont éliminées correctement. Les entités couvertes doivent évaluer leur situation individuelle et prendre des décisions sur la manière de disposer raisonnablement des PHI.
« Pour déterminer ce qui est raisonnable, les entités couvertes doivent évaluer les risques potentiels pour la vie privée des patients, ainsi que prendre en compte des questions telles que la forme, le type et le montant des PHI à éliminer », poursuit le HHS.
« Par exemple, la suppression de certains types de données personnelles de santé, telles que le nom, le numéro de sécurité sociale, le numéro de permis de conduire, le numéro de carte de débit ou de crédit, le diagnostic, les informations sur le traitement ou d'autres informations sensibles, peut justifier une plus grande prudence en raison du risque qu'un accès inapproprié à ces informations peuvent entraîner un vol d'identité, une discrimination en matière d'emploi ou autre, ou nuire à la réputation d'un individu.
En ce qui concerne les dossiers papier, le HHS suggère de « déchiqueter, brûler, réduire en pâte ou pulvériser les dossiers » afin de garantir que les PHI soient illisibles et ne puissent pas être reconstruits.
Pour les flacons de prescription avec PHI, les entités couvertes peuvent envisager de placer les flacons dans des sacs opaques et de faire appel à un vendeur pour récupérer et éliminer les PHI.
Comme le montre le règlement de l'OCR, les entités couvertes ne devraient pas jeter les PHI dans une benne à ordures non sécurisée à moins qu'elles n'aient été détruites au point de devenir illisibles. Si les PHI mal éliminés finissent par être exposés, cela serait considéré comme une violation de données.
« En général, une entité couverte ne peut pas éliminer les PHI dans des dossiers papier, des flacons d'ordonnance étiquetés, des bracelets d'identification d'hôpital, des PHI sur support électronique ou d'autres formes de PHI dans des bennes à ordures, des bacs de recyclage, des poubelles ou d'autres poubelles généralement accessibles par le public ou d’autres personnes non autorisées », maintient le HHS.