LIER LES DONNEES SANITAIRES AUX IDENTIFIANTS PERSONNELS FAVORISE HIPAA
LA LIGNE ENTRE LA COLLECTE ET L’IDENTIFICATION EST LA CLÉ DES SCIENCE DE LA VIE
Contrairement à la diversité et à l’individualité des exigences auxquelles les organisations doivent se conformer dans l’environnement réglementaire de la FDA, HIPAA (et la législation connexe ACA et HITECH) a un objectif unique et des exigences de conformité limitées. HIPAA, dans la mesure où elle influe sur votre stratégie de gestion de l’information, a deux «simples» mandats: protéger les données personnelles des patients / consommateurs sur les soins de santé et assurer l’accessibilité de chaque utilisateur au propriétaire des données. Le problème typique n’est pas « que faire » mais « dois-je le faire? ». De nombreuses organisations sont surprises lorsqu’elles découvrent qu’elles sont tenues, en fonction de leur produit, de se conformer à la loi HIPAA et à la loi HITECH.
La règle générale est que si vous avez fourni un service ou un produit à une personne qui collecte des données sur leurs activités et que ces informations peuvent être directement connectées au consommateur / patient via son nom ou une autre identification unique, vous êtes lié par les informations HIPAA. directives de sécurité (principalement HIPAA 5010 et HITECH). Si le service ou le produit est censé être utilisé pour modifier l’état de santé du consommateur, vous devez également vous conformer aux consignes de marketing de HIPAA (voir 45 CFR 164 pour plus de détails), ce qui limite les communications que vous pouvez avoir afin de modifier la capacité de vente incitative personnes.
Ce qui n’est pas clair ni de la FDA ni de la HIPAA est la ligne de démarcation entre l’amélioration personnelle du consommateur (par exemple l’objectif de Fitbit) et le conseil médical (par exemple un lien entre les objectifs de progression et le risque de diabète). Les entreprises du secteur des sciences de la vie qui collectent directement les informations d’un individu doivent s’assurer que leurs processus de sécurité des informations peuvent résister à un audit HIPAA. Human and Human Services a clairement indiqué que toute organisation traitant des informations relatives aux « patients » devrait s’attendre à un audit. Le rapport final du Bureau de l’Inspecteur général préconisait en particulier un nombre accru d’audits afin de réduire le nombre d’infractions et la gouvernance inefficace constatée dans le programme pilote (voir ici pour un résumé et ici pour le rapport original).
COMPRENDRE LES RELATIONS DE VENDEURS ET DE PARTENAIRES POUR CONNAÎTRE VOTRE ENVELOPPE DE RISQUE
Pour les entreprises pharmaceutiques et de biotechnologie, les directives de sécurité de l’information de HIPAA se limitent en grande partie aux essais cliniques et à des programmes tels que certains programmes d’exonération de coûts offrant une interaction directe entre les consommateurs individuels et les entreprises. Notez que le Centre for Medicare et Medicaid (CMM) est le principal auditeur de ces programmes d’approvisionnement en médicaments, au lieu des services de santé et des services sociaux, qui sont en charge des audits de sécurité des informations HIPAA.
Les règles HIPAA changent notamment lorsqu’une société du secteur des sciences de la vie a conclu un accord d’association avec une organisation qui collecte directement des informations sur le consommateur / patient. Une BAA est une lettre d’entente indiquant que la société aura potentiellement accès à des identifiants personnels. Ainsi, l’associé commercial (AC) traitera toutes les informations en supposant que des informations réglementées par la HIPAA sont transmises entre les deux organisations. Pour les sociétés du secteur des sciences de la vie, la conformité HIPAA a les mêmes exigences techniques que 21 CFR partie 9. Cela signifie que la conformité FDA et la conformité HIPAA sont, d’un point de vue technique, identiques. Ce sont les détails qui sont différents.
La conformité des entreprises du secteur des sciences de la vie réglementées par la loi HIPAA et ayant des partenaires ayant signé des accords de BAA doit être garantie. Cela signifie que, dans le cadre de votre pratique de conformité, vous devez mettre en place des processus de gestion des fournisseurs et des partenaires pour vous assurer qu’ils ont déployé tous les efforts possibles pour réduire le risque de violation des informations patient / consommateur qu’ils ont en leur possession.
Tout comme pour se conformer aux réglementations de la FDA, il est essentiel de veiller à ce que les règles d’exploitation de votre organisation soient répétables, contrôlables et traitées dans le cadre d’un processus de gestion des enregistrements.
APERÇU DES SECTIONS DE SÉCURITÉ DE L’INFORMATION DU HIPAA OMNIBUS
HIPAA est un document complexe en plusieurs parties traitant de tout, des relations patient-médecin à la facturation des services. En règle générale, il est divisé en trois parties principales: confidentialité, sécurité et possibilité de partage. Comme pour la FDA, les réglementations HIPAA sont codifiées et incluses dans le CFR dans la partie 45 (vous pouvez les trouver ici).
Les principes de base, tels qu’ils s’appliquent à la gestion de l’information, sont exposés dans la partie 165 de l’article 308. Comme pour tous les règlements, c’est compliqué. L’essentiel est que les normes ISO 9000 et ISO 27001 constituent un excellent cadre pour la gestion de votre risque d’information pour HIPAA et la FDA.
QUEL EST LE RÔLE DE LA TECHNOLOGIE DANS LA GESTION DE CES EXIGENCES?
Les exigences techniques décrites ci-dessus constituent un petit sous-ensemble des fonctionnalités prédéfinies de tout système logiciel Enterprise Content Management (ECM).
Chez ThinkDox, nous pensons que Laserfiche fournit une excellente plate-forme pour rester conforme aux normes FDA et HIPAA. La certification DoD 5015.2 signifie qu’il dispose du contrôle d’audit et de la sécurité des informations de base nécessaires pour la réglementation de chaque pays. Les modules de flux de travail et de formulaires intégrés fournissent des contrôles de processus qui surpassent tous les logiciels de gestion de DME ou d’essais cliniques. Dans le cadre de la mise en œuvre, vous pouvez vous attendre à ce que nous élaborions vos processus et règles de rétention en fonction des meilleures pratiques et de vos pratiques.
Nous complétons le progiciel avec nos services. Vous bénéficiez ainsi d’un support permanent pour améliorer vos pratiques de gestion des informations et aligner votre plate-forme et vos processus.
