Le Bureau des Droits civils (OCR) du Ministère de la Santé et des Services sociaux (HHS) est responsable de l’application de certains règlements émis en vertu de la Loi HIPAA sur la portabilité et la responsabilité de l’assurance maladie de 1996 (HIPAA), telle que modifiée par la loi HITECH (Health Information Technology for Economic and Clinical Health), afin de protéger la confidentialité et la sécurité des informations de santé protégées, à savoir la Confidentialité, la sécurité et la violation HIPAA Notification Règles (les règles HIPAA).
Discrétion en matière de télésanté Pendant le Coronavirus
Pendant l’urgence nationale COVID-19, qui constitue également une urgence de santé publique à l’échelle nationale, les fournisseurs de soins de santé couverts soumis aux règles HIPAA peuvent chercher à communiquer avec les patients et à fournir des services de télésanté, au moyen de technologies de communication à distance. Certaines de ces technologies et la manière dont elles sont utilisées par les prestataires de soins de santé couverts par la loi HIPAA peuvent ne pas être entièrement conformes aux exigences des Règles de la loi HIPAA.
L’OCR exercera son pouvoir discrétionnaire d’application et n’imposera pas de sanctions en cas de non-respect des exigences réglementaires en vertu des règles HIPAA contre les fournisseurs de soins de santé couverts en relation avec la fourniture de bonne foi de télésanté pendant l’urgence de santé publique nationale COVID-19. Cette notification prend effet immédiatement.
Un fournisseur de soins de santé couvert qui souhaite utiliser une technologie de communication audio ou vidéo pour fournir de la télésanté aux patients pendant l’urgence de santé publique nationale COVID-19 peut utiliser tout produit de communication à distance non public disponible pour communiquer avec les patients. OCR exerce son pouvoir discrétionnaire d’application de la loi pour ne pas imposer de sanctions en cas de non-respect des règles HIPAA en relation avec la fourniture de bonne foi de télésanté utilisant de tels produits de communication audio ou vidéo non publics pendant l’urgence de santé publique nationale COVID-19. Cet exercice de discrétion s’applique à la télésanté fournie pour quelque raison que ce soit, que le service de télésanté soit ou non lié au diagnostic et au traitement des problèmes de santé liés à la COVID-19.
Par exemple, un fournisseur de soins de santé couvert dans l’exercice de son jugement professionnel peut demander d’examiner un patient présentant des symptômes de COVID-19, à l’aide d’une application de chat vidéo connectant le téléphone ou l’ordinateur de bureau du fournisseur ou du patient afin d’évaluer un plus grand nombre de patients tout en limitant le risque d’infection d’autres personnes qui seraient exposées à la suite d’une consultation en personne. De même, un fournisseur de soins de santé couvert peut fournir des services de télésanté similaires dans l’exercice de son jugement professionnel pour évaluer ou traiter toute autre condition médicale, même si elle n’est pas liée à la COVID-19, comme une entorse à la cheville, une consultation dentaire ou une évaluation psychologique, ou d’autres conditions.
En vertu du présent Avis, les fournisseurs de soins de santé couverts peuvent utiliser des applications populaires qui permettent des discussions vidéo, notamment Apple FaceTime, Facebook Messenger video chat, Google Hangouts video, Zoom ou Skype, pour fournir de la télésanté sans risque que la ROC ne cherche à imposer une pénalité pour non-respect des règles HIPAA relatives à la fourniture de bonne foi de télésanté pendant l’urgence de santé publique nationale COVID-19. Les fournisseurs sont encouragés à informer les patients que ces applications tierces présentent potentiellement des risques pour la vie privée, et les fournisseurs devraient activer tous les modes de cryptage et de confidentialité disponibles lors de l’utilisation de telles applications.
En vertu du présent Avis, cependant, les applications de communication vidéo Facebook Live, Twitch, TikTok et similaires sont accessibles au public et ne doivent pas être utilisées dans la fourniture de télésanté par les fournisseurs de soins de santé couverts.
Les fournisseurs de soins de santé couverts qui recherchent des protections supplémentaires de la vie privée pour la télésanté lorsqu’ils utilisent des produits de communication vidéo devraient fournir de tels services par l’intermédiaire de fournisseurs de technologies conformes à la loi HIPAA et concluront des accords d’association d’affaires (BAAS) HIPAA dans le cadre de la fourniture de leurs produits de communication vidéo. La liste ci-dessous comprend certains fournisseurs qui déclarent fournir des produits de communication vidéo conformes à la norme HIPAA et qu’ils concluront un BAA HIPAA.
- Skype Entreprise / Équipes Microsoft
- Updox
- VSee
- Zoom pour les soins de santé
- Doxy.me
- Google G Suite Hangouts Meet
- Réunions Cisco Webex / Équipes Webex
- Amazon Chime
- GoToMeeting
- Spruce Health Care Messenger
Remarque: OCR n’a pas examiné les BAAs proposés par ces fournisseurs, et cette liste ne constitue pas une approbation , la certification ou la recommandation d’une technologie, d’un logiciel, d’applications ou de produits spécifiques. Il peut y avoir d’autres fournisseurs de technologies qui proposent des produits de communication vidéo conformes à la norme HIPAA qui concluront une BAA HIPAA avec une entité couverte. De plus, l’OCR n’approuve aucune des applications qui permettent les discussions vidéo énumérées ci-dessus.
En vertu du présent avis, cependant, OCR n’imposera pas de sanctions contre les fournisseurs de soins de santé couverts pour l’absence d’un BAA avec les fournisseurs de communication vidéo ou tout autre non-respect des règles HIPAA relatives à la fourniture de bonne foi de services de télésanté pendant l’urgence de santé publique nationale COVID-19.
L’OCR a publié un bulletin informant les entités couvertes des flexibilités supplémentaires qui leur sont offertes ainsi que des obligations qui restent en vigueur en vertu de la loi HIPAA lorsqu’elles répondent à des crises ou des urgences à https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
Des conseils sur les AAA, y compris des exemples de dispositions relatives aux AAA, sont disponibles à https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html.
Des informations supplémentaires sur les garanties des règles de sécurité HIPAA sont disponibles à https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov a une assistance technique sur la télésanté à https://www.healthit.gov/telehealth.