UNE DÉFINITION DE LA CONFORMITÉ HITECH

La loi sur les technologies de l’information sur la santé pour la santé économique et clinique (loi HITECH) a été promulguée dans le cadre de la loi américaine sur la récupération et le réinvestissement (ARRA) en 2009.
La loi HITECH a été créée pour favoriser l’adoption et «l’ utilisation significative » de l’électronique et du numérique.
La digitalisation des dossiers de santé (DSE) par les prestataires de soins de santé basés aux États-Unis et leurs associés commerciaux.
Une utilisation “significative” signifie que les prestataires de soins de santé doivent montrer qu’ils utilisent la technologie DSE certifiée d’une manière qui peut être mesurée à la fois en quantité et en qualité.

La loi HITECH a également ouvert la voie à une application plus stricte des règles de confidentialité et de sécurité de la HIPAA en exigeant des audits de sécurité de tous les prestataires de soins de santé.
Ces audits sont utilisés pour enquêter et déterminer si les fournisseurs répondent aux normes minimales spécifiées et sont donc en conformité avec la règle de confidentialité et la règle de sécurité de la HIPAA.

LES 3 PHASES D’UTILISATION SIGNIFICATIVES DE HITECH

La mise en œuvre des dispositions dans HITECH est couverte en trois parties ou « phases d’utilisation significatives ».
Ces volets guident spécifiquement les organisations visées par la législation à se mettre en conformité et à être admissibles aux incitatifs inclus dans le programme.
Vous trouverez ci-dessous une brève description de chaque phase d’utilisation significative :

Phase 1 : Le premier volet traite de la capture et du partage de données privées par une entité couverte.
Concrètement, il y a des dizaines d’exigences et d’objectifs à respecter.
Ces objectifs sont répartis en plusieurs catégories :

• Objectifs de base (des choses comme la prescription électronique et la saisie informatisée des commandes des fournisseurs (CPOE))
• Objectifs du menu (par exemple, soumettre des données électroniques aux emplacements appropriés)
• Qualité clinique (surveillance électronique de la pression artérielle, dépistage du poids)

Phase 2 : Afin de commencer l’examen de cette phase d’utilisation significative, toutes les exigences de la phase 1 doivent être remplies.
De nombreuses règles de la 2ème étape ont été combinées avec certaines de la première phase.
Initialement, les entités couvertes devaient atteindre les objectifs de la phase 2 depuis 2014.
Dans cette phase, il existe une légère différence entre les hôpitaux et les professionnels.
Il existe deux catégories pour les deux types d’organisation (objectifs de base et objectifs de menu) totalisant 19 mesures individuelles pour les hôpitaux et 20 pour les professionnels .

Phase 3 : La phase la plus récente.
C’est aussi  celle où il y a le moins de mesures à prendre pour les entités couvertes (8 pour les professionnels éligibles et les hôpitaux).
Les Centers for Medicare and Medicaid Services (CMS) ont des exigences détaillées pour chaque objectif dans des documents PDF pour les professionnels et les hôpitaux .

Ces 8 exigences comprennent :

• Protéger les informations de santé protégées électroniques (ePHI)
• Générer des ordonnances électronique
• Mettre en œuvre l’aide à la décision clinique (SDC)
• “Utilisez la saisie informatisée des commandes des fournisseurs (CPOE) pour les commandes de médicaments, de laboratoire et d’imagerie diagnostique.”
• Accès rapide des patients aux dossiers électroniques
• Coordination des soins
• Échange d’informations sur la santé
• Rapports de santé publique

Remarque : chaque objectif de conformité dans les PDF officiels du CMS inclut des liens pour encore plus d’informations sur chaque objectif individuel.

HITECH OFFRE DES AVANTAGES EN MATIÈRE DE SÉCURITÉ ET DE CONFIDENTIALITÉ AUX PATIENTS

La loi HITECH apporte plusieurs avantages aux patients de la santé grâce à ses exigences en matière de technologie EHR et à ses dispositions pour l’application des règles de confidentialité et de sécurité HIPAA.
L’un des avantages est l’exigence selon laquelle les patients doivent avoir accès à leurs informations de santé protégées (PHI) par voie électronique.
Un deuxième avantage est l’exigence selon laquelle les patients doivent être informés de toute violation de données liée aux PHI des patients, et toute violation affectant 500 patients ou plus doit être signalée au département américain de la Santé et des Services sociaux (HHS).
La loi HITECH prévoit également des sanctions sévères pouvant atteindre 250 000 $ pour les premiers incidents et 1,5 million de dollars pour les incidents répétés pour les entreprises jugées en « négligence délibérée » des exigences HIPAA/HITECH.

La loi HITECH alloue 25,9 milliards de dollars pour développer l’informatique des soins de santé et répondre à ces exigences, ce qui signifie que les entreprises de soins de santé ont également une incitation économique à améliorer la sécurité informatique et à tirer parti de la technologie EHR.

AVANTAGES COMMERCIAUX D’UNE UTILISATION SIGNIFICATIVE DE LA TECHNOLOGIE DSE (INTEROPÉRABILITÉ DES DONNÉES)

L’UPMC déclare que « les dispositions de la loi HITECH sont spécifiquement conçues pour travailler ensemble pour fournir l’assistance et le soutien technique nécessaires aux prestataires, permettre la coordination et l’alignement au sein des Etats mais aussi entre les Etats, établir une connectivité avec la communauté de santé publique en cas d’urgence et assurer la la main-d’œuvre est correctement formée et équipée pour être des utilisateurs significatifs des DSE.
Les objectifs d’une utilisation significative, maintenant appelée interopérabilité des données, comprennent l’amélioration des rapports électroniques de santé publique et l’amélioration des soins aux patients.
Les avantages de l’interopérabilité des données comprennent :

• Permettre une communication bidirectionnelle entre les prestataires de soins cliniques et les agences de santé publique de l’État
• La normalisation des éléments de données pour soutenir un échange de données transparent
• Améliorer l’efficacité dans l’ensemble de l’écosystème de la santé

HITECH et HIPAA sont des lois distinctes, mais à certains égards, elles se renforcent mutuellement.
Par exemple, les normes technologiques et les technologies qui ont été créées sous HITECH ne peuvent pas compromettre les lois de sécurité et de confidentialité de HIPAA . 

De plus, les hôpitaux et les médecins doivent effectuer une évaluation des risques de sécurité pour HIPAA, s’ils attestent d’une utilisation significative comme l’exige HITECH.

MEILLEURES PRATIQUES POUR LA CONFORMITÉ HITECH

Il y a plusieurs facteurs clés à garder à l’esprit concernant HITECH :

1. Former les employés et les partenaires commerciaux aux exigences HITECH pour garantir le respect par l’organisation d’une « utilisation significative » de la technologie DSE et des règles de confidentialité/sécurité.
2. Mettre en œuvre un programme de sécurité des informations pour garantir la confidentialité, la sécurité et l’intégrité des PHI, telles que des solutions de protection des données qui classent et protègent de manière proactive les données contre les accès, transferts ou utilisations non autorisés.
3. Appliquez le principe du moindre privilège pour limiter l’accès des employés ou des partenaires aux informations privées en fonction des besoins.
4. Étant donné que la loi HITECH exige des audits de conformité des prestataires de soins de santé, il est important que les prestataires examinent toutes leurs pratiques et politiques internes pour s’assurer qu’elles sont en conformité et mettent en œuvre des solutions de sécurité qui aident à maintenir la conformité tout en offrant une protection adéquate pour les PHI et autres données sensibles .

Il existe de nombreuses facettes de la loi HITECH qui sont cruciales pour sécuriser les pratiques médicales.
Le principal d’entre eux est une application plus rigoureuse de la loi HIPAA avec des sanctions plus élevées en cas de violation et une notification aux patients/gouvernement des violations de données.
Le financement de HITECH pour l’adoption du DSE, combiné à la commodité et à l’efficacité fournies par les technologies de DSE, signifie que les entreprises de soins de santé ont désormais de sérieuses incitations à passer aux dossiers électroniques et ainsi éviter des pénalités.

Source : Digital Guardian

Pour en savoir plus concernant la solution.