Le Bureau des droits civiques annonce des violations de la loi HIPAA
Le Bureau des droits civils du Département de la santé et des services sociaux a annoncé ses premiers cas de violation de la loi HIPAA de 2022 contre quatre responsables de prestataires de soins distincts pour des violations potentielles de la règle de confidentialité de la loi HIPAA (Health Insurance Portability and Accountability Act), y compris le droit d'accès aux informations de santé protégées.
Parties identifiées faisant l'objet de violations
Outre le Dr Donald Brockley, un dentiste de Pennsylvanie, des amendes pour violation de la loi HIPAA ont été constatées dans le cadre d'accords conclus avec le Dr U Phillip Igbinadolor, DM,D, (UPI), basé en Caroline du Nord ; Jacob and Associates, un fournisseur de services de santé mentale basé en Californie ; et Northcutt Dental-Fairhope, un cabinet dentaire basé en Alabama, à Fairhope et dans les environs.
Déclarations du directeur de l'OCR
Dans un communiqué, la directrice de l'OCR, Lisa Pino, a déclaré que ces procédures d'application de la loi visent à responsabiliser les établissements de santé quant à leur conformité à la loi HIPAA. « Compte tenu de la fréquence croissante des violations de données de santé non protégées et des risques de cybersécurité persistants qui pèsent sur le secteur de la santé, il est impératif que les entités soumises à la loi HIPAA prennent leurs obligations de conformité au sérieux », a-t-elle ajouté. L'Office des droits civiques (OCR) s'engage à préserver les informations de santé en réprimant les infractions à la confidentialité et à la sécurité, notamment par des poursuites et des sanctions pécuniaires civiles pour les violations non détectées.
Deux de ces règlements concernent des violations présumées de la norme HIPAA relative au droit d'accès, selon les accords.
Contexte historique et précédents
Depuis l'introduction du programme OCR en 2018, qui vise à garantir aux patients un accès rapide à leurs informations médicales, 27 prestataires ont fait l'objet de sanctions HIPAA et ont conclu un accord avec l'agence concernant d'éventuels manquements au droit d'accès, selon l'organisation.
L'affaire controversée d'UPI
Le Bureau des droits des consommateurs a conclu un accord à l'amiable avec un dentiste furieux d'une mauvaise évaluation. Le Bureau des droits civiques (OCR) a infligé à UPI une amende civile de 50 000 $ après que l'entreprise n'ait pas répondu à une demande de données et à une assignation administrative. UPI n'a par ailleurs formulé aucune objection aux conclusions de l'OCR. Cet accord fait suite à un incident inhabituel survenu en 2015.
Origine de l'affaire
Entre 2013 et 2014, un patient s'est rendu chez UPI pour des soins dentaires. En 2015, ce patient a publié, sous pseudonyme, un avis négatif sur UPI sur Google, avis qui a ensuite été supprimé. Plusieurs semaines plus tard, UPI a réagi à cet avis défavorable en divulguant le nom du patient et des informations médicales confidentielles, ce qui constituait une violation de données et était illégal à l'époque.
Le patient a été identifié dans l'article d'UPI, qui les accusait de porter des « allégations non fondées » à son encontre, car il n'avait consulté le cabinet qu'à deux reprises depuis octobre 2013. UPI a ensuite décrit chaque rendez-vous ainsi que la nature des traitements administrés, dénigrant prétendument le patient et son QI en vue de l'enquête.
Une plainte a été déposée auprès du Bureau des droits civiques (OCR) par un patient, alléguant que UPI avait violé ses droits en vertu de la loi HIPAA sur la confidentialité des données de santé. L'OCR a informé UPI de l'audit et a demandé des informations sur les politiques et procédures de l'établissement concernant la réponse aux avis des patients en ligne, l'utilisation et la divulgation des informations de santé protégées, les mesures de protection de ces informations et une preuve de formation à la loi HIPAA. L'enquête a débuté l'année suivante.
La non-coopération persistante d'UPI
Cependant, bien qu'UPI ait admis avoir répondu à l'avis négatif du patient et avoir fourni son avis de confidentialité au Bureau des droits civils (OCR), elle n'a pas fourni à l'agence de documents de formation, de règles ou de procédures.
Après avoir examiné la réponse en ligne d'UPI à l'examen, l'OCR a conclu qu'elle « constituait une divulgation illégale d'informations de santé protégées » et a exigé qu'UPI retire immédiatement sa réponse. Il a également été conseillé à UPI, si elle ne disposait pas déjà de règles et de procédures en la matière, d'adopter des politiques et des procédures relatives à la divulgation d'informations de santé protégées, et plus particulièrement en ce qui concerne le partage de ces informations sur les réseaux sociaux.
S'en est suivie une bataille d'un an entre UPI et l'organisme de réglementation, qui comprenait des demandes de l'OCR concernant des copies des politiques et procédures d'UPI en matière d'utilisation des médias sociaux en lien avec la divulgation d'informations de santé protégées (ISP) et la question de savoir si UPI avait retiré de son site Web sa réponse à l'avis négatif.
Bien qu'UPI ait accusé réception de la formation, aucun document ne décrivait son contenu. « La réponse reste publique à la date de cet avertissement », a déclaré le dentiste concernant son omission de supprimer les données de santé protégées de sa page de profil Google. Le prestataire n'a pas encore soumis ses règles et procédures relatives aux médias sociaux à l'Office des droits des consommateurs.
Le Bureau des droits civils (OCR) a déclaré que la réaction à l'avis négatif du patient était contraire à la règle de confidentialité HIPAA et a tenté d'obtenir des données financières de l'UPI afin d'établir adéquatement le montant de la sanction pécuniaire civile, ce qui a été un facteur dans ces décisions.
Le fournisseur a toutefois refusé de participer, déclarant que « les documents demandés ne seront pas fournis car ils ne sont pas concernés par la loi HIPAA ». Cette position est alarmante compte tenu du nombre croissant de cas de violation de la loi HIPAA. L'Office of Civil Rights (OCR), chargé de superviser les sanctions HIPAA et de veiller à la conformité des entités couvertes, a de nouveau précisé l'objectif des demandes, ce qui a entraîné de nouveaux refus de participation et la déclaration : « On se reverra au tribunal. »
Face à la multiplication des violations de la loi HIPAA et aux amendes qui en découlent, la vigilance de l'OCR n'est pas surprenante. En novembre 2017, l'Office des droits civiques a signifié à UPI une assignation à comparaître lui demandant les documents pertinents. On peut se demander si un tel refus obstiné de se conformer à la loi HIPAA pourrait lui valoir une amende conséquente.
Selon la loi HIPAA, « une entité couverte doit coopérer avec l'OCR si celle-ci mène une enquête ou un contrôle de conformité ». Ceci souligne l'importance de comprendre la réglementation HIPAA pour tous les organismes de santé et les entités soumises à ses directives.
Cette action coercitive a mis en lumière le manque de coopération présumé d'UPI. Ce cas n'est qu'un exemple parmi tant d'autres de violations qui soulignent l'importance du respect des exigences de la loi HIPAA en matière de politiques, de procédures et de pratiques.
Autres cas notables de violation de la loi HIPAA
Infractions et sanctions de Brockley Dental
Dans un autre contexte, le cabinet dentaire Brockley Dental a dû faire face à de lourdes sanctions pour des violations courantes de la loi HIPAA. Après un audit mené suite à la plainte d'un patient révélant un non-respect de cette loi, le cabinet a conclu un accord avec le Bureau des droits civiques pour un montant de 30 000 $ et a mis en place un plan d'action correctif. En 2020, le Département de la Santé et des Services sociaux (HHS), chargé de l'application de ces sanctions, a initialement infligé une amende de 104 000 $ pour violation de la loi HIPAA en raison d'un manquement aux obligations d'accès aux données. Cependant, après de longues délibérations, le montant de l'amende a été considérablement réduit.
L'accord imposait à Brockley la mise en œuvre et la diffusion de politiques et de procédures HIPAA exhaustives, afin de garantir la compréhension et le respect des exigences relatives au droit d'accès. De plus, tous les employés devaient être formés, une étape cruciale pour minimiser les risques de violations futures de la loi HIPAA.
Violation de Jacob and Associates
Un autre cas médiatisé concerne le cabinet Jacob and Associates, qui a connu plusieurs problèmes de fuites de données. N'ayant pas répondu aux demandes répétées d'une patiente souhaitant accéder à son dossier médical, le cabinet a été condamné à verser 28 000 $ au Bureau des droits civiques. De tels cas rappellent brutalement les conséquences du non-respect des normes de confidentialité et de sécurité de la loi HIPAA.
Par ailleurs, l'étude a révélé que le prestataire ne disposait pas d'un responsable de la protection des données désigné, un rôle pourtant essentiel pour garantir la conformité à la loi HIPAA. L'absence d'un tel responsable peut accroître les risques de violation de données.
Utilisation abusive des données personnelles par Northcutt Dental-Fairhope
Dans une autre affaire, le cabinet dentaire Northcutt Dental-Fairhope s'est retrouvé au cœur d'un scandale pour des violations présumées de la loi HIPAA sur la confidentialité des données. Ce cas était particulièrement alarmant car il semblait que le prestataire ait utilisé les données à des fins personnelles. La décision du Dr Northcutt de partager des informations sur ses patients avec son directeur de campagne a suscité l'indignation et lui a valu de lourdes amendes.
En conclusion, ces cas mis en lumière soulignent l'importance de la réglementation HIPAA et les conséquences potentielles pour les entités soumises à cette réglementation qui ne la respectent pas. Toute infraction, intentionnelle ou non, peut entraîner de lourdes sanctions. De plus, toute enquête menée par l'OCR, même suite à une plainte mineure, peut révéler une multitude d'autres manquements à la réglementation HIPAA.