Pour des informations sur l’historique et les détails de chacune des règles HIPAA, veuillez visiter https://www.hhs.gov/hipaa/for-professionals/index.html et cliquer sur « Confidentialité », « Sécurité » ou « Notification des violations » dans la barre d’outils de gauche.
Résultats de l’application de la loi au 28 février 2021
Depuis la date de conformité de la règle de confidentialité en avril 2003, l’OCR a reçu plus de 257 250 plaintes HIPAA et a lancé plus de 1 070 examens de conformité. Nous avons résolu quatre-vingt-dix-neuf pour cent de ces cas (253 573).
L’OCR a enquêté et résolu plus de 28 654 cas en exigeant des changements dans les pratiques de confidentialité et des actions correctives par, ou en fournissant une assistance technique aux entités couvertes par l’HIPAA et à leurs associés commerciaux. Les mesures correctives obtenues par l’OCR auprès de ces entités ont entraîné des changements systémiques qui touchent tous les individus qu’elles servent. L’OCR a réussi à faire respecter les règles de l’HIPAA en appliquant des mesures correctives dans tous les cas où une enquête indique une non-conformité de la part de l’entité couverte ou de son associé commercial. À ce jour, l’OCR a réglé ou imposé une amende civile dans 97 cas, pour un montant total de 135 203 482,00 $. L’OCR a enquêté sur des plaintes contre de nombreux types d’entités différentes, notamment : des chaînes de pharmacies nationales, des grands centres médicaux, des plans de santé de groupe, des chaînes d’hôpitaux et des petits bureaux de fournisseurs.
Dans 12 864 autres cas, nos enquêtes ont révélé qu’aucune violation n’avait eu lieu.
En outre, dans 46 558 cas, l’OCR est intervenu précocement et a fourni une assistance technique aux entités couvertes par l’HIPAA, à leurs associés commerciaux et aux personnes exerçant leurs droits en vertu de la règle de confidentialité, sans qu’une enquête soit nécessaire.
Dans le reste de nos cas achevés (165 497), l’OCR a déterminé que la plainte ne présentait pas un cas éligible pour l’application. Il s’agit notamment de cas dans lesquels :
- L’OCR n’est pas compétent en vertu de l’HIPAA. Par exemple, dans les cas alléguant une violation par une entité non couverte par l’HIPAA ;
- La plainte est hors délai, ou retirée par le déposant ; et
- L’activité décrite ne viole pas les règles de l’HIPAA. Par exemple, dans les cas où l’entité couverte a divulgué des informations de santé protégées dans des circonstances dans lesquelles la règle de confidentialité permet une telle divulgation.
De la date de conformité à aujourd’hui, les problèmes de conformité les plus souvent allégués dans les plaintes sont, compilés cumulativement, par ordre de fréquence :
- Utilisations et divulgations inadmissibles d’informations de santé protégées ;
- Manque de garanties d’informations de santé protégées ;
- Manque d’accès des patients à leurs informations de santé protégées ;
- Manque de garanties administratives d’informations de santé protégées électroniques ; et
- Utilisation ou divulgation de plus d’informations de santé protégées que le minimum nécessaire.
Les types les plus courants d’entités couvertes qui ont été accusées d’avoir commis des violations sont, par ordre de fréquence :
- Hôpitaux généraux ;
- Pratiques privées et médecins ;
- Établissements de soins ambulatoires ;
- Pharmacies ; et
- Plans de santé (plans de santé collectifs et émetteurs d’assurance maladie).
Renvois
L’OCR renvoie au ministère de la Justice (DOJ) pour les enquêtes criminelles appropriées les cas impliquant la divulgation ou l’obtention en connaissance de cause d’informations de santé protégées en violation des règles. À la date du présent résumé, l’OCR a effectué 1 045 renvois de ce type au DOJ.
Suivez les mises à jour mensuelles rapportant le nombre de cas reçus, enquêtés ou résolus.