Guide des journalistes sur HIPAA pendant la crise sanitaire du COVID-19

Guide des journalistes sur HIPAA pendant la crise sanitaire du COVID-19

Qu'est-ce que HIPAA? Quelles informations sur les cas COVID-19 sont publiées?
La Health Insurance Portability and Accountability Act est une loi fédérale promulguée en 1996 qui obligeait le ministère américain de la Santé et des Services sociaux à établir des règlements fédéraux sur la protection de la santé. Communément appelé «règle de confidentialité», le règlement vise à «garantir que les informations de santé des individus sont correctement protégées tout en permettant la circulation des informations de santé nécessaires pour fournir et promouvoir des soins de santé de haute qualité et pour protéger la santé et le bien-être du public. "
Des journalistes et des agences de presse qui recherchent des informations sur la pandémie de COVID-19 ont souvent été informés par des agences gouvernementales et des fonctionnaires, ainsi que par des entités privées du système de santé (comme les maisons de soins infirmiers), que la HIPAA les empêche de divulguer certaines informations. Mais l'applicabilité et la portée de la HIPAA sont souvent mal comprises, ce qui fait que le public est privé d'informations importantes sur la pandémie, y compris l'état de préparation et les réponses des gouvernements locaux et des États.
Les journalistes, les agences gouvernementales et les entités privées doivent être conscients à la fois de la portée limitée de la règle de confidentialité et de ses exceptions qui peuvent autoriser – ou exiger – la divulgation d'informations liées à COVID-19. Par exemple, comme indiqué ci-dessous, la HIPAA n'interdit pas la divulgation des informations qui doivent être divulguées en vertu des lois nationales sur les archives publiques. Les données sur COVID-19 peuvent également être publiées sous diverses exceptions.
En effet, de nombreuses juridictions ont publié des données détaillées sur les cas de COVID-19. Par exemple:
Le Département de la santé et du contrôle de l'environnement de Caroline du Sud fournit les cas signalés par code postal, y compris un nombre total estimé de cas par comté; l'État publie des projections des ressources hospitalières nécessaires et des décès dus au COVID-19; des données à l'échelle de l'État ventilées par âge, sexe et race / origine ethnique sont également disponibles.
Le département de la santé publique de l'Illinois publie des données spécifiques au code postal, y compris le nombre de tests, de cas positifs et de décès. Des répartitions par âge, race / origine ethnique et sexe à l'échelle de l'État pour les cas confirmés, les tests terminés et les décès sont également disponibles.
Le Maryland publie le nombre de cas confirmés par code postal, ainsi que les ventilations par âge, sexe et race / origine ethnique à l'échelle de l'État.
San Francisco fournit le nombre de cas confirmés par code postal, ainsi qu'une ventilation à l'échelle de la ville pour le sexe, les groupes d'âge et la race / origine ethnique.
La ville de New York publie le nombre de cas confirmés par code postal et des informations à l'échelle de la ville sur les groupes d'âge, le sexe et la race / origine ethnique.
L'Université Johns Hopkins publie une carte avec des informations mises à jour sur les États qui publient des données COVID-19 par race.
De nombreuses juridictions ont également publié des informations sur la prévalence du COVID-19 dans les foyers de soins individuels et les établissements de soins de longue durée. Selon la Kaiser Family Foundation, au moins certaines informations spécifiques aux établissements sont disponibles dans environ 20 États au 23 avril 2020. Le California Department of Public Health publie une liste de toutes les installations de soins infirmiers qualifiés de l'État par leur nom, ainsi que leurs comté et compte du nombre de cas confirmés parmi les agents de santé et les résidents. De même, les responsables de la Caroline du Sud ont fourni une liste des noms des établissements dont les cas ont été confirmés, l'adresse de l'établissement et le nombre de cas confirmés de COVID-19 chez les résidents et / ou le personnel.
HIPAA: Un organigramme de base
Un organigramme de base pour HIPAA et la règle de confidentialité est inclus ci-dessous et exploré plus en détail dans les sections suivantes.

Étape 1: À qui la HIPAA s'applique-t-elle?
HIPAA et la règle de confidentialité ne s'appliquent qu'aux entités couvertes et à leurs associés commerciaux; elles ne s'appliquent pas à toutes les entités susceptibles de détenir des informations médicales, sanitaires ou COVID-19. Si l'entité en question n'est pas une «entité couverte», alors la HIPAA et la règle de confidentialité ne s'appliquent pas.
Les trois catégories d'entités suivantes entrent dans la définition d'une «entité visée»:
Plans de santé, tels que les assureurs santé, dentaire, vision et médicaments sur ordonnance, HMO, assureurs Medicare et Medicaid, et les plans de santé de groupe parrainés par l'employeur.
Fournisseurs de soins de santé, s'ils transmettent des informations de santé par voie électronique dans le cadre de certaines transactions. Les fournisseurs de soins de santé peuvent comprendre des médecins, des dentistes, des hôpitaux et d'autres entités qui fournissent, facturent ou sont payés pour des soins de santé.
Centres d'échange d'informations sur les soins de santé, tels que les services de facturation et les systèmes d'information de gestion de la santé communautaire
Ces entités couvertes peuvent également avoir des «associés commerciaux» – des personnes ou des organisations qui ne font pas partie des effectifs de l'entité couverte, mais qui travaillent avec une entité couverte et sont soumises à la règle de confidentialité. Plus d'informations sur les entités couvertes et leurs partenaires commerciaux sont disponibles ici.
La HIPAA reconnaît également les «entités hybrides», qui sont des entités couvertes dont les activités comprennent à la fois des fonctions couvertes et non couvertes, mais qui ont choisi de désigner les composants qui exécutent les fonctions couvertes comme des composants de soins de santé. La plupart des dispositions de la règle de confidentialité ne s'appliquent alors qu'aux composants de soins de santé désignés de l'entité hybride. Par exemple, les services de santé des États, des comtés et des collectivités locales peuvent remplir des fonctions couvertes et non couvertes et choisir de devenir des entités hybrides.
Étape 2: À quels types d'informations HIPAA s'applique-t-elle?
Tous les types d'informations médicales ou de santé ne relèvent pas du champ d'application de la HIPAA et de la règle de confidentialité. La règle de confidentialité s'applique aux «informations de santé protégées», qui sont généralement définies comme des informations qui:
Est créé ou reçu par un fournisseur de soins de santé, un régime de soins de santé, un employeur ou un centre d'échange de soins de santé;
Identifie un individu (ou il existe une base raisonnable pour croire qu'il peut être utilisé pour identifier un individu); et
Cela concerne:

«La santé ou l'état physique, mental, passé, présent ou futur d'un individu;»
«La prestation de soins de santé à un individu;» ou
«Le paiement passé, présent ou futur pour la prestation de soins de santé à un individu.»

Si les informations en question ne sont pas des informations de santé protégées, la règle de confidentialité n'interdit pas leur divulgation.
Il est important de noter que les informations de santé protégées peuvent être transformées en informations «dépersonnalisées» qui ne sont pas soumises à la règle de confidentialité et peuvent donc être divulguées. Il existe deux façons de dépersonnaliser les informations: la méthode «Expert Determination» et la méthode «Safe Harbor».
Selon la méthode de détermination d'expert, un expert "détermine que le risque est très faible que les informations puissent être utilisées, seules ou en combinaison avec d'autres informations raisonnablement disponibles, par un destinataire prévu pour identifier une personne".
Dans le cadre de la méthode Safe Harbor, les informations deviennent anonymisées lorsque 18 caractéristiques sont supprimées, notamment les noms, certains types d'informations géographiques, les dates, certaines informations de contact et les identifiants biométriques.
Étape 3: Si des informations de santé protégées sont demandées à une entité couverte, existe-t-il une exception qui autorise ou exige la divulgation des informations?
Même si une entité couverte est invitée à fournir des informations de santé protégées, la HIPAA contient de nombreuses exceptions qui peuvent autoriser ou exiger la divulgation de ces informations. Plusieurs des exceptions les plus pertinentes pour les journalistes couvrant COVID-19 sont identifiées ci-dessous.
A. L'exception «requis par la loi» et les lois sur les documents publics d'État
En vertu de l'exception «requise par la loi» de la HIPAA, une entité gouvernementale qui est une «entité couverte» est autorisée à divulguer des «informations médicales protégées» si elle doit être divulguée en vertu d'une loi différente. En d'autres termes, la HIPAA n'interdit pas la divulgation des enregistrements ou des informations qui doivent autrement être divulgués en vertu de la loi sur les archives publiques d'un État.
L'exception «requis par la loi» stipule que «(a) l'entité visée peut utiliser ou divulguer des informations médicales protégées dans la mesure où une telle utilisation ou divulgation est requise par la loi et que l'utilisation ou la divulgation est conforme et limitée aux exigences pertinentes de telles loi." 45 C.F.R. § 164.512 (a) (1). HHS a publié des lignes directrices qui reconnaissent expressément que cette exception permet la divulgation d'informations en vertu des lois nationales sur les enregistrements publics: «lorsqu'une loi nationale sur les enregistrements publics exige qu'une entité couverte divulgue des informations médicales protégées, l'entité couverte est autorisée par la règle de confidentialité à faire divulgation, à condition que la divulgation soit conforme et limitée aux exigences pertinentes de la loi sur les archives publiques. »
L'interaction entre la HIPAA et les lois sur les archives publiques des États est discutée à la fois dans les décisions des tribunaux d'État et dans les conseils des représentants de l'État. Par exemple, en 2006, la Cour suprême de l'Ohio a jugé que la HIPAA ne pouvait pas interdire la divulgation de documents liés à la contamination par le plomb lorsque la divulgation était requise par l'Ohio Public Records Act. Voir État ex rel. Cincinnati Enquirer c.Daniels, 844 N.E.2d 1181 (Ohio 2006). De même, le procureur général du Tennessee a noté en 2015 que «lorsque le Public Records Act du Tennessee exige qu'une entité couverte divulgue (informations de santé protégées), l'entité couverte est autorisée en vertu de la règle de confidentialité de la HIPAA à faire la divulgation sans enfreindre la HIPAA tant que le la divulgation est conforme à la loi sur les documents publics. » Tenn. Op. Atty. Gen. n ° 15-48, à * 3 (Tenn. A.G. 5 juin 2015).
B. L'exception en matière de santé / sécurité
La HIPAA contient également une exception qui permet aux entités couvertes de divulguer des informations de santé protégées si cela "est nécessaire pour prévenir ou atténuer une menace grave et imminente pour la santé ou la sécurité d'une personne ou du public" et la divulgation est destinée à "une ou plusieurs personnes raisonnablement en mesure de prévenir ou d'atténuer la menace. » 45 C.F.R. § 164.512 (j).
Comme l'illustrent les déclarations de l'état d'urgence, les ordonnances de maintien à domicile et d'autres mesures prises à travers le pays pour lutter contre la propagation du coronavirus, COVID-19 constitue clairement une menace sérieuse pour la santé du public. Un argument solide peut être avancé selon lequel la fourniture d'informations détaillées sur la prévalence de la maladie dans différents domaines et entre différents groupes donne au public des informations précieuses sur la menace pour lui et sa communauté, et peut aider à éclairer ses décisions, y compris à continuer de s'engager dans l'éloignement social. De telles actions par des membres du public sont essentielles pour «prévenir (ing) ou atténuer (ing)» la «menace grave et imminente» que COVID-19 fait peser sur le public. Les Centers for Disease Control and Prevention, par exemple, ont publié des lignes directrices indiquant que «lorsque COVID-19 se propage dans votre région, tout le monde devrait limiter les contacts étroits avec les personnes extérieures à votre foyer dans les espaces intérieurs et extérieurs».
Les médias d'information sont bien placés pour prévenir ou atténuer la menace que représente COVID-19 pour les individus, car son rôle principal est de communiquer des informations au public. Comme la Cour suprême l'a reconnu il y a des décennies, la presse est «une source vitale d'information publique. Il est sûr de dire que les journaux, magazines et autres revues du pays ont versé et continuent de jeter, plus de lumière sur les affaires publiques et commerciales de la nation que tout autre instrument de publicité. » Grosjean c. Am. Press Co., 297 U.S. 233, 250 (1936). Et comme l'a rapporté le New York Times, «(n) aucune agence n'a fourni au public un dossier précis et à jour des cas de coronavirus, suivi au niveau du comté». En conséquence, des entités comme le New York Times, le Washington Post et Reuters ont collecté et diffusé des informations complètes sur la prévalence du COVID-19 aux États-Unis. Les médias d'information d'État et locaux ont également diffusé de telles informations à travers le pays, comme le Texas Tribune, Detroit Free Press, Los Angeles Times, WRAL, The Oregonian et d'autres. Avec plus de données provenant d'entités gouvernementales et d'entités privées, les journalistes peuvent mieux informer le public, qui à son tour peut aider à réduire la menace de la pandémie.
C. Autres exceptions et autorisations de divulgation

Autorisation: Les informations de santé protégées peuvent être divulguées par une entité couverte si elle dispose d'une autorisation écrite et signée de la personne concernée. 45 C.F.R. § 164.508. Les directives HHS indiquent clairement qu'une entité couverte peut divulguer l'intégralité du dossier médical d'un patient, tant qu'elle dispose de l'autorisation appropriée.
Autorité de santé publique: Les informations de santé protégées peuvent être divulguées par une entité couverte à une «autorité de santé publique autorisée par la loi à collecter ou à recevoir ces informations dans le but de prévenir ou de contrôler les maladies, les blessures ou les incapacités». 45 C.F.R. § 164.512 (b) (i).
Famille et amis: une entité visée peut divulguer à un «membre de la famille, à un autre parent ou à un ami personnel proche de la personne ou à toute autre personne identifiée par la personne» des informations de santé protégées directement liées à leur implication dans la santé d'une personne se soucier. 45 C.F.R. § 164.510 (b). Selon les directives du HHS de mars 2020, cela inclut des informations qui pourraient aider à localiser et à informer les membres de la famille ou les amis en charge des soins d'un patient. Ces informations peuvent être partagées avec «la presse» et «le grand public».
Informations sur l'annuaire des établissements: Les hôpitaux et autres établissements de soins de santé sont généralement autorisés à fournir des informations «d'annuaire» sur une personne lorsqu'on leur demande un nom par rapport à un patient; ces informations sont utilisées «pour informer les visiteurs ou les appelants de l'emplacement d'un patient dans l'établissement et de son état général». Les informations du répertoire peuvent inclure:

le nom de la personne
l'emplacement de la personne dans l'établissement
l'état de la personne décrit en termes généraux qui ne communique pas d'informations médicales spécifiques sur la personne (par exemple, critique ou stable, décédé ou traité et libéré), et
l’appartenance religieuse de l’individu.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *