Un guide pratique de Conformité HIPAA pour les professionnels de la

La conformité HIPAA pour les professionnels de la santé mentale est à la fois familière et particulière. La partie familière, c'est que les prestataires couverts doivent protéger les informations de santé protégées, utiliser des mesures de sauvegarde raisonnables, gérer les associés commerciaux et respecter les règles relatives à la confidentialité, à la sécurité et à la notification des violations. La partie particulière, c'est que les soins de santé mentale impliquent souvent des faits hautement sensibles, des notes de psychothérapie, des exceptions de sécurité, l'implication de la famille et des risques liés au suivi en ligne.

Cet aperçu ne constitue pas un avis juridique. Il s'agit d'une carte pratique des questions que les cliniciens et les responsables de cabinets devraient examiner.

Qui est concerné ?

HIPAA s'applique aux entités couvertes et aux associés commerciaux. Le HHS explique que les entités couvertes incluent les régimes de santé, les centres d'échange de données de santé et les prestataires de soins de santé qui transmettent des informations de santé par voie électronique dans le cadre de transactions couvertes. Les associés commerciaux fournissent des services impliquant des informations de santé protégées pour le compte des entités couvertes (Résumé de la règle de sécurité HHS, Associés commerciaux HHS).

Certains cabinets fonctionnant uniquement au comptant peuvent ne pas être des entités couvertes par HIPAA s'ils n'effectuent pas de transactions électroniques couvertes, mais les règles d'État relatives à la confidentialité, aux licences, à la déontologie et à la protection des consommateurs peuvent toujours s'appliquer. Les cabinets devraient confirmer leur statut auprès d'un conseiller juridique.

Notes de psychothérapie

HIPAA accorde un traitement particulier aux notes de psychothérapie. Le HHS décrit les notes de psychothérapie comme des notes enregistrées par un professionnel de la santé mentale documentant ou analysant les conversations lors des séances de counseling, et conservées séparément du reste du dossier médical. La règle de confidentialité exige généralement une autorisation pour de nombreuses utilisations et divulgations des notes de psychothérapie, avec des exceptions limitées (Résumé de la règle de confidentialité HHS).

Ne confondez pas les notes de psychothérapie avec les notes d'évolution, le diagnostic, les plans de traitement, les dossiers de médication, les informations sur les rendez-vous ou les dossiers de facturation. Ces éléments font généralement partie du dossier médical.

Bases de la sécurité

La règle de sécurité HIPAA exige des mesures de sauvegarde administratives, physiques et techniques pour les PHI électroniques. Le HHS indique que les entités réglementées doivent protéger la confidentialité, l'intégrité et la disponibilité des ePHI (Règle de sécurité HHS).

Les contrôles pratiques comprennent :

• L'analyse et la gestion des risques.
• Des comptes utilisateur uniques.
• L'authentification multifacteur lorsque c'est possible.
• Des limites d'accès par rôle.
• Le chiffrement des appareils et des sauvegardes.
• Des outils de messagerie et de télésanté sécurisés.
• Des journaux d'audit.
• Un plan de réponse aux incidents.
• La formation du personnel.
• Des politiques relatives aux appareils et aux dossiers papier.

Associés commerciaux

Les cabinets de santé mentale utilisent souvent des prestataires :

• Systèmes de DSE.
• Plateformes de télésanté.
• Services de facturation.
• Stockage cloud.
• Outils de planification.
• Fournisseurs de messagerie.
• Services de réception d'appels.
• Prestataires d'analytique ou de site web.

Si un prestataire crée, reçoit, conserve ou transmet des PHI pour le cabinet, un accord d'associé commercial peut être requis. Une politique de confidentialité ou des conditions générales d'utilisation ne sont pas équivalentes à un BAA.

Risques liés aux sites web et à l'analytique

Les sites web du secteur de la santé doivent faire preuve d'une vigilance accrue concernant les outils de suivi. Un visiteur consultant des pages sur la thérapie, les addictions, les traumatismes, la santé reproductive ou les soins psychiatriques peut révéler des centres d'intérêt sensibles en matière de santé. Si un cabinet utilise des pixels, le session replay ou des outils d'analytique qui envoient les URL des pages et des identifiants à des tiers, des risques liés à HIPAA et aux lois d'État sur la confidentialité peuvent en découler.

Le HHS et l'OCR ont accordé une attention particulière aux technologies de suivi en ligne utilisées par les entités réglementées par HIPAA. Les cabinets devraient éviter d'envoyer des PHI ou des données de navigation à caractère sanitaire à des plateformes publicitaires et devraient examiner attentivement tout prestataire d'analytique.

L'analytique axée sur la confidentialité est une option par défaut plus sûre :

• Pas de pixels publicitaires sur les pages sensibles.
• Pas de session replay sur les flux de prise de rendez-vous ou d'admission.
• Pas de stockage complet de l'IP.
• Pas de capture des champs de formulaire.
• Pas de données personnelles dans les URL.
• Rapports agrégés uniquement.
• Examen des prestataires et BAA si nécessaire.

Liste de vérification pratique

1. Confirmer si le cabinet est une entité couverte.
2. Maintenir les politiques HIPAA et la formation.
3. Séparer les notes de psychothérapie du dossier médical.
4. Examiner tous les prestataires pour les exigences de BAA.
5. Effectuer une analyse des risques de sécurité.
6. Utiliser des outils de télésanté, de messagerie et de portail sécurisés.
7. Limiter le suivi sur le site web.
8. Supprimer les PHI des événements analytiques et des URL.
9. Maintenir des procédures de réponse aux violations.
10. Concilier HIPAA avec les règles d'État plus strictes en matière de confidentialité en santé mentale.

La confidentialité en santé mentale ne se limite pas à éviter les sanctions. Elle est un fondement de la confiance. Les outils d'analytique, de marketing et de commodité ne devraient jamais affaiblir discrètement cette confiance.

Formulaires d'admission et portails

Les formulaires d'admission constituent l'un des endroits où il est le plus facile de laisser fuiter des PHI. Un cabinet devrait éviter les générateurs de formulaires tiers, sauf s'ils sont couverts par un accord approprié et configurés de manière sécurisée. Ne placez pas de pixels marketing, de heatmaps ou de session replay sur les pages d'admission, de réservation, de paiement ou de portail.

Options par défaut plus sûres :

• Utiliser un portail ou un formulaire de DSE adapté à HIPAA.
• Chiffrer les soumissions en transit et au repos.
• Limiter l'accès du personnel.
• Éviter les notifications par e-mail contenant des PHI détaillés.
• Garder les URL des formulaires exemptes de détails sur le diagnostic ou le traitement.
• Tester les formulaires après chaque refonte du site web.

Les sites web de santé mentale s'adressent souvent à des personnes en moments de vulnérabilité. La question de l'analytique devrait être circonscrite : quelles informations agrégées sont nécessaires pour améliorer l'accès sans exposer la personne qui cherche des soins ?

Questions à poser aux prestataires de sites web

Demandez à chaque prestataire de site web s'il crée, reçoit, conserve ou transmet des PHI au nom du cabinet. Cela inclut les outils de prise de rendez-vous, les générateurs de formulaires, les widgets de chat, les fournisseurs d'analytique, les numéros de suivi des appels, les widgets d'avis et le support d'hébergement. Si la réponse est oui, confirmez si un BAA est disponible et si la fonctionnalité peut être configurée sans publicité ni profilage.

Testez ensuite le site comme le ferait un patient. Visitez les pages thématiques sur la thérapie, prenez un rendez-vous test, soumettez un formulaire test et inspectez quels tiers reçoivent des requêtes. Le risque ne se trouve souvent pas sur la page d'accueil. Il réside dans la combinaison d'une URL sensible, d'un script tiers et d'un formulaire ou d'un clic qui révèle pourquoi une personne s'est adressée au cabinet.

Examen du suivi avant le lancement

Séparez les pages publiques d'information des flux de rendez-vous, de portail, d'admission, de paiement, des pages spécifiques à une pathologie et des flux authentifiés. Un cabinet de santé mentale ne devrait pas traiter ces contextes comme un même problème d'analytique.

Avant qu'une balise ne soit déployée, gardez les charges utiles exemptes de noms, d'e-mails, de numéros de patient ou de dossier, de détails sur les rendez-vous, de texte de formulaire, de chaînes de requête sensibles et d'identifiants pouvant relier un visiteur à des soins. Si un prestataire reçoit des PHI, confirmez d'abord son rôle au regard de HIPAA, le BAA, les contrôles d'accès, la conservation et le processus de gestion des violations.