Le HHS sollicite des commentaires sur la loi HIPAA/HITECH : pratiques et méthodologies de sécurité reconnues pour indemniser les personnes lésées

Le 4 avril 2022, le ministère américain de la Santé et des Services sociaux (HHS) a publié une demande d'informations (RFI) sollicitant l'avis des entités et des partenaires commerciaux couverts par la loi HIPAA sur la manière dont le secteur comprend et met en œuvre ce qui est défini comme des « pratiques de sécurité reconnues » dans le cadre de la loi HITECH. La demande d'informations (RFI) sollicite également l'avis du secteur sur la manière dont les personnes lésées par des violations des règles HIPAA devraient être indemnisées.

Pratiques de sécurité reconnues

La loi HITECH a été modifiée en 2021 afin d'exiger que le HHS prenne en considération les « pratiques de sécurité reconnues » des entités couvertes et des partenaires commerciaux qui étaient en place au cours des 12 mois précédents lors de la détermination des amendes, des résultats d'audit ou d'autres mesures correctives visant à résoudre les violations potentielles de la règle de sécurité HIPAA. La loi HITECH n'oblige pas les entités couvertes et les partenaires commerciaux à mettre en œuvre des « pratiques de sécurité reconnues », mais exige que ces pratiques soient conformes à la règle de sécurité HIPAA. Les pratiques de sécurité prises en compte par le HHS doivent respecter la définition suivante des « pratiques de sécurité reconnues » prévue par la loi HITECH modifiée :

The standards, guidelines, best practices, methodologies, procedures, and processes developed under section 2(c)(15) of the National Institute of Standards and Technology (NIST) Act</a>;

The approaches promulgated under section 405(d) of the Cybersecurity Act of 2015</a>; or

Autres programmes et processus traitant de la cybersécurité et développés, reconnus ou promulgués par le biais de réglementations en vertu d'autres autorités statutaires.

Dans la demande d'informations, le HHS indique qu'il ne suffit pas pour une organisation de « simplement établir et documenter » l'adoption des pratiques de sécurité reconnues. Le HHS précise que « l'entité doit également démontrer que les pratiques sont pleinement mises en œuvre, c'est-à-dire qu'elles sont activement et systématiquement utilisées par l'entité couverte ou le partenaire commercial pendant la période concernée », à savoir la période rétrospective de 12 mois. Il convient de noter que la loi HITECH ne précise pas quelle action marque le début de la période rétrospective de 12 mois.

Cependant, il est peu probable que le plan de sécurité d'une entité mis en œuvre rapidement après réception d'une lettre d'enquête du HHS à la suite d'un incident ou d'une plainte lié(e) aux données réponde aux exigences relatives à la période de rétrospection. Les entités doivent donc déterminer si leurs pratiques de sécurité répondent aux critères définis dans la loi HITCH pour les « pratiques de sécurité reconnues » et, dans le cas contraire, prendre rapidement les mesures nécessaires pour les mettre en conformité afin que la période de rétrospection de 12 mois commence à courir.

Dans la demande d'informations, le HHS sollicite spécifiquement des commentaires sur les questions suivantes :

Quelles pratiques de sécurité reconnues les entités réglementées ont-elles mises en œuvre ou prévoient-elles de mettre en œuvre ? En particulier, sur quelles normes, approches, lignes directrices, etc. prévues par la loi NIST ou la loi sur la cybersécurité les entités s'appuient-elles ?
Quelles mesures les entités prennent-elles pour s'assurer que les pratiques de sécurité reconnues sont « en place » et utilisées dans toute l'entreprise ?
Quelles mesures les entités prennent-elles pour s'assurer que les pratiques de sécurité reconnues sont activement et systématiquement utilisées de manière continue pendant une période de 12 mois ?

Cette demande d'informations est l'occasion idéale pour les entités réglementées par la loi HIPAA d'indiquer au HHS comment elles mettent en œuvre les pratiques de sécurité reconnues et quelles informations ou clarifications le HHS devrait publier. C'est l'occasion pour les entités réglementées d'identifier les cadres qu'elles ont mis en œuvre et les raisons qui les ont poussées à le faire, en particulier si l'entité utilise un cadre autre que ceux prévus par la loi NIST ou la loi sur la cybersécurité identifiés dans la loi HITECH. En particulier, si une entité réglementée se demande si le cadre qu'elle a choisi est suffisant, le HHS peut fournir des commentaires à ce sujet en réponse aux commentaires reçus dans le cadre de la demande d'informations.

Les réponses à la demande d'informations doivent contenir une description des mesures mises en place par les entités, ainsi qu'une brève explication de la manière dont ces mesures répondent aux exigences de la définition fournie dans la loi HITECH. Les entités peuvent également profiter de leur réponse pour définir les événements ou les actions qui, selon elles, devraient être considérés comme le début de la période de rétrospection de 12 mois pour leurs pratiques de sécurité. En fournissant au HHS un aperçu de la manière dont les entités mettent en œuvre ou prévoient de mettre en œuvre leurs pratiques de sécurité, celles-ci peuvent contribuer à façonner l'interprétation de cette partie de la loi HITECH d'une manière qui soit adaptée aux risques et aux défis auxquels sont confrontées les entités de soins de santé.

Méthodes pour indemniser les personnes lésées

Le HHS sollicite également des commentaires sur les types de préjudices qui devraient être pris en compte dans la répartition des sanctions pécuniaires civiles (CMP) et des règlements financiers versés aux personnes lésées pour non-respect de la loi HIPAA. À l'heure actuelle, le préjudice n'est pas défini. Plus précisément, le HHS souhaite obtenir des commentaires sur des questions telles que :

Qu'est-ce qui constitue un préjudice indemnisable en cas de violation des règles HIPAA ?
Quel type de préjudice doit être pris en considération ? Par exemple, les préjudices passés par opposition aux préjudices futurs ? Les préjudices économiques par opposition aux préjudices émotionnels ? Les préjudices réels par opposition aux préjudices perçus ? Uniquement les préjudices identifiés comme facteurs aggravants dans l'évaluation des CMP (physiques, financiers, réputationnels et capacité à obtenir des soins de santé) ?
Comment identifier les personnes lésées ? Comment les informer ? Que faire si elles sont décédées ? Que faire si elles sont introuvables ? Dans quel délai après la conclusion d'un accord de règlement ou l'imposition d'une CMP les personnes doivent-elles présenter leurs demandes pour pouvoir bénéficier d'un dédommagement ?
Quelles méthodologies le HHS devrait-il envisager pour partager et distribuer les fonds aux personnes lésées ? Devrait-il y avoir un montant ou un pourcentage minimum ou maximum ? Devrait-il y avoir une procédure d'appel ? Le HHS invite le public à soumettre d'autres méthodologies à examiner.

Les commentaires doivent être soumis au plus tard le 6 juin 2022.

[email protected]

Madison 608.250.7420

Une femme aux longs cheveux blonds, vêtue d'un blazer noir, d'un haut noir et d'un collier de perles superposé, sourit dans un cadre professionnel, reflétant l'assurance polie que l'on retrouve souvent chez les avocats de Chicago et ceux qui se spécialisent dans le droit de la propriété intellectuelle.

[email protected]

Milwaukee 414.297.5864

Perspectives connexes

Voir tous les articles

12 mars 2024 La loi sur les soins de santé aujourd'hui

Médicaments anticancéreux : les conjugués anticorps-médicaments (ADC) continuent leur progression

Au cours des dernières années, les difficultés économiques ont entraîné une baisse du nombre de transactions, les entreprises et les sociétés de capital-investissement réévaluant leurs dépenses.

12 février 2024 La loi sur les soins de santé aujourd'hui

Harmonisation de la loi HIPAA et de la partie 2 : ce que les organismes de santé doivent savoir

Les programmes de lutte contre les troubles liés à la consommation de substances psychoactives et les entités réglementées par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) qui cherchent à rationaliser leurs pratiques et leurs processus en matière de confidentialité et de sécurité ont reçu une bonne nouvelle du ministère américain de la Santé et des Services sociaux la semaine dernière.

19 juillet 2023 La loi sur les soins de santé aujourd'hui

La boîte à outils IP est essentielle dans la découverte de médicaments basée sur l'IA

Cet article donne un aperçu des considérations relatives à la propriété intellectuelle pour les entités engagées dans la découverte de médicaments, des avantages et des défis liés à l'utilisation de la technologie IA/ML à cette fin, et de la manière de gérer les avancées résultant de collaborations entre entreprises dans ce domaine.