OCR annonce un règlement de 300 000 $ lié à l’élimination inappropriée des RPS physiques

Le 23 août 2022, le Département américain de la santé et des services sociaux, Office for Civil Rights (« HHS ») a annoncé qu’il avait réglé une affaire impliquant la destruction d’informations de santé protégées (« PHI »).

L’OCR a allégué que, le 31 mars 2021, un spécimen contenant des PHI avait été trouvé par un agent de sécurité tiers dans le parking du New England Dermatology and Laser Center (« NEDLC »). Le PHI comprenait le nom du patient, la date de naissance du patient, la date de prélèvement de l’échantillon et le nom du fournisseur qui a prélevé l’échantillon, en violation de la loi de 1996 sur la portabilité et la responsabilité de l’assurance maladie (« HIPAA »).

Dans le cadre du règlement, NEDLC a accepté de payer 300 640 $ à HHS. Selon l’accord de résolution du NEDLC et le plan d’action correctif, il y a eu deux violations potentielles par le NEDLC. Premièrement, le NEDLC aurait omis de maintenir des garanties appropriées pour protéger la confidentialité des PHI », comme l’exige le 45 CFR § 164.530 (c). Deuxièmement, le NEDLC aurait permis la divulgation inadmissible de PHI, en violation de la règle 45 CFR § 164.502(a). Le plan d’action corrective exige que le NEDLC élabore, maintienne et révise de manière appropriée les politiques et procédures écrites conformément à la loi HIPAA.

Plusieurs faits saillants du règlement inclus :

  1. Modifications des politiques et procédures. Le NEDLC doit développer, maintenir et réviser, si nécessaire, ses politiques et procédures HIPAA écrites, et fournir ces politiques et procédures au HHS pour examen et approbation. Le NEDLC doit également évaluer, mettre à jour et réviser, si nécessaire, ces politiques et procédures au moins une fois par an, ou selon les besoins, et demander l’approbation du HHS pour les politiques et procédures révisées.
  2. Désignation du responsable de la confidentialité. Le NEDLC doit désigner un responsable de la protection de la vie privée responsable du développement et de la mise en œuvre des politiques et procédures HIPAA du NEDLC, ainsi qu’une personne de contact ou un bureau chargé de recevoir les plaintes pertinentes.
  3. exigences de formation. Le NEDLC doit fournir au HHS du matériel de formation pour les membres de son personnel et demander l’approbation du HHS pour ce matériel de formation. NEDLC doit également distribuer les politiques et procédures HIPAA à ses membres du personnel et aux associés commerciaux concernés, et obtenir une certification de conformité écrite de toutes ces personnes. Le NEDLC doit fournir une formation HIPAA aux nouveaux membres du personnel et à tous les membres du personnel au moins tous les 12 mois. Chaque membre du personnel doit attester, sous forme électronique ou écrite, qu’il a suivi une formation. Le NEDLC doit revoir la formation au moins une fois par an et mettre à jour la formation le cas échéant. Le NEDLC doit rapidement enquêter, examiner, signaler au HHS et sanctionner tout membre du personnel qui ne se conforme pas à ses politiques et procédures HIPAA.
  4. Rapport de mise en œuvre et rapport annuel. Le NEDLC est tenu de soumettre au HHS un rapport écrit résumant l’état de sa mise en œuvre des exigences énoncées dans le règlement, ainsi que des rapports de conformité annuels.