HIPAA et Technologies de l’Information sur la santé

De nombreux employeurs qui ont été informés que la HIPAA s’applique aux informations de santé protégées (PHI) des employés sont souvent surpris d’apprendre que l’applicabilité de la HIPAA aux informations de santé des employés (EHI) est en fait assez étroite. La loi HIPAA ne s’applique qu’aux EHI liés aux régimes de santé collectifs de l’employeur (tels que les régimes médicaux, dentaires, le programme d’aide aux employés (PAE) et les arrangements en matière de dépenses de santé flexibles (ASF)). Les régimes de santé collectifs parrainés par l’employeur sont des entités couvertes par la loi HIPAA. De plus, bien que cela soit vrai, que le régime de santé collectif soit assuré par une compagnie d’assurance ou auto-assuré par l’employeur, l’employeur n’aura généralement pas de responsabilités en matière de conformité HIPAA pour un régime de santé collectif assuré s’il ne reçoit pas d’EHI autre que dans le but limité des activités d’inscription, ou des informations de santé sommaires pour modifier ou résilier le régime ou obtenir des offres de primes. Au lieu de cela, pour un régime de santé collectif entièrement assuré, la conformité HIPAA sera généralement gérée par la compagnie d’assurance, qui est également soumise à HIPAA en tant qu’entité couverte.

La loi HIPAA ne s’applique pas aux EHI que l’employeur obtient d’une source autre que ses régimes de santé collectifs, tels que les renseignements médicaux liés à l’emploi (y compris les examens médicaux préalables à l’emploi, les résultats des tests de dépistage de drogues, les congés médicaux ou les indemnités d’accident du travail) et les renseignements provenant d’autres avantages liés à l’emploi qui ne sont pas des régimes de santé collectifs (tels que l’assurance-vie ou l’assurance-invalidité). Ce résultat ne change pas simplement parce que les informations de santé de l’employé sont des RPS lorsqu’elles sont détenues par un fournisseur de soins de santé de l’entité couverte par la HIPAA qui a testé ou traité l’employé avant que les informations ne soient transférées à l’employeur via une autorisation conforme à la HIPAA.

Même si l’EHI obtenu par un employeur pour des raisons liées à l’emploi ou liées à des prestations de régime de santé non collectif n’est pas assujetti à la loi HIPAA, cela ne signifie pas que l’employeur peut faire preuve de prudence. D’autres lois fédérales et d’État (telles que la Loi sur les congés familiaux et médicaux (FMLA), la Loi sur les Américains handicapés (ADA) et les lois sur l’indemnisation des travailleurs de l’État) imposent des restrictions à l’accès, à l’utilisation et à la divulgation de cet EHI par l’employeur et imposent des obligations de confidentialité de l’EHI. Ces restrictions et obligations s’appliquent quelle que soit la façon dont l’employeur obtient l’EHI (par exemple, même si elle est obtenue en vertu d’une autorisation signée par l’employé ou directement de l’employé).

Étant donné que d’autres lois protègent l’EHI même lorsque l’HIPAA ne l’est pas, il est souvent utile pour l’employeur d’appliquer les mêmes garanties ou des garanties similaires à toutes les EHI, même si l’HIPAA ne s’applique pas. L’application de garanties de type HIPAA à l’EHI qui n’est pas soumise à la HIPAA non seulement amènera souvent l’employeur à se conformer aux autres lois fédérales et étatiques qui peuvent s’appliquer; cela peut également éviter la nécessité de catégoriser les types d’EHI pour déterminer le niveau de garanties à imposer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Back to Top