HHS modifie la règle de confidentialité HIPAA pour protéger les informations sur la santé reproductive

Le 26 avril 2024, l’Office for Civil Rights (OCR) du ministère américain de la Santé et des Services sociaux a publié une règle finale visant à fournir de nouvelles protections pour la confidentialité des informations sur la santé reproductive en vertu de la Health Insurance Portability and Accountability Act (HIPAA).¹ La règle finale, dont une version proposée a été publiée en avril 2023,² modifie les réglementations sur la confidentialité promulguées en vertu de la HIPAA (la règle de confidentialité) en établissant de nouveaux garde-fous contre certaines utilisations et divulgations d’informations identifiables individuellement sur la santé reproductive. Ces amendements à la règle de confidentialité (les amendements) représentent une partie importante des efforts de l’administration Biden-Harris pour protéger l’accès aux soins de santé reproductive à la suite de la décision de la Cour suprême concernant le droit à l’avortement en Dobbs c.Jackson Women’s Health Organization.³

L’objectif principal des amendements est de restreindre les circonstances dans lesquelles les entités réglementées par la HIPAA peuvent divulguer les informations sur la santé reproductive d’un individu aux fins d’une enquête ou de poursuites contre des personnes pour avoir recherché, obtenu, fourni ou facilité des soins de santé reproductive légaux, y compris l’avortement. . Environ 51 000 personnes et 350 organisations ont déposé des commentaires sur la version proposée des modifications dans les deux mois suivant sa publication.⁴ Comme bon nombre de ces commentaires l’ont confirmé à l’OCR, les craintes d’être tenues responsables de leur implication dans les soins de santé reproductive dans l’après-Dobbs L’environnement peut dissuader les individus de recourir à des soins médicaux, à leur détriment et au détriment de l’efficacité du système de santé. Ce résultat est précisément en contradiction avec les politiques qui sous-tendent la règle de confidentialité.⁵

Les modifications apportées à la règle de confidentialité entreront en vigueur le 25 juin 2024 et les entités réglementées devront se conformer à la plupart d’entre elles d’ici le 22 décembre 2024.⁶

Contexte : la règle de confidentialité

La règle de confidentialité comprend des dispositions détaillées conçues pour protéger la confidentialité des « informations de santé protégées » (PHI) des individus, qui comprennent la plupart des informations de santé identifiables individuellement créées, reçues, conservées ou transmises par des « entités couvertes ».⁷ En vertu de la règle de confidentialité, les entités couvertes et leurs « associés commerciaux »⁸ (c’est-à-dire les entités réglementées par la HIPAA) n’ont pas le droit d’utiliser ou de divulguer des PHI sans obtenir une autorisation écrite de la personne à laquelle les PHI se rapportent, à moins qu’une exception spécifique ne s’applique. La règle de confidentialité détaille de nombreuses exceptions de ce type, par exemple pour les utilisations et les divulgations nécessaires au traitement d’un patient ou pour facturer l’assureur d’un patient pour un tel traitement, ainsi que les utilisations et les divulgations nécessaires à diverses fins de politique publique. Parmi ces objectifs de politique publique figurent les activités d’application de la loi ; la règle de confidentialité autorise expressément les entités couvertes et leurs associés commerciaux à divulguer des PHI aux forces de l’ordre dans certaines circonstances, notamment pour répondre à une assignation à comparaître ou à un mandat émis dans le cadre d’une enquête policière.

Implications des divulgations aux forces de l’ordre

Comme l’explique l’OCR dans son préambule aux modifications, l’exception « d’application de la loi » de la règle de confidentialité à l’exigence générale d’autorisation individuelle pourrait, à l’avenir.Dobbs environnement, menacent de saper l’objectif principal de la règle de confidentialité « offrir une plus grande protection à la vie privée des individus afin d’engendrer une relation de confiance entre les individus et les prestataires de soins de santé. »⁹ Comme l’OCR l’a observé, les mesures prises par de nombreux États pour restreindre l’accès à l’avortement aprèsDobbs a érodé les attentes des individus en matière de vie privée en ce qui concerne l’utilisation ou la divulgation de leurs informations sur la santé reproductive.^dix Les amendements visent ainsi à limiter la portée de l’exception d’application de la loi prévue par la règle de confidentialité d’une manière qui n’interfère pas avec les restrictions récemment adoptées par l’État en matière de soins de santé reproductive.

Pour atteindre cet objectif, les modifications ajoutent à la règle de confidentialité une interdiction de divulgation des PHI dans les cas où les PHI sont demandées dans le but d’enquêter ou d’imposer la responsabilité à toute personne pour l’acte de rechercher, d’obtenir, de fournir ou de faciliter la santé reproductive. soins, ou pour identifier une personne en relation avec un tel objectif et:

Les soins de santé reproductive sont/ont été obtenus ou fournis dans un État où ces soins sont légaux et en dehors de l’État où l’enquête ou la procédure est autorisée.
Les soins de santé reproductive sont/étaient « protégés, requis ou expressément autorisés par la loi fédérale », quel que soit l’État dans lequel les soins de santé sont/étaient fournis.¹¹
L’entité réglementée qui reçoit la demande ne sait pas réellement que les soins de santé reproductive étaient illégaux et la personne requérante n’a fourni aucune information factuelle « démontrant une base factuelle substantielle » selon laquelle les soins de santé étaient illégaux.¹²

Pour garantir le respect de cette interdiction, les modifications exigent que les entités réglementées qui reçoivent des demandes d’informations médicales médicales potentiellement liées aux soins de santé reproductive à des fins d’application de la loi, ou à des fins de surveillance sanitaire, judiciaire ou administrative, ou à certaines fins d’identification individuelle, obtiennent une attestation signée du la partie requérante doit vérifier que l’utilisation ou la divulgation de ces PHI n’est pas interdite comme décrit ci-dessus. Les entités réglementées doivent présumer que les soins de santé reproductive en cause étaient licites dans les circonstances spécifiques dans lesquelles ils ont été fournis, à moins qu’elles ne disposent de connaissances réelles ou d’informations factuelles démontrant une « base factuelle substantielle » du contraire.¹³

Commentaires et modifications à la règle de confidentialité proposée

Comme indiqué, la version des amendements proposée par l’OCR a suscité des dizaines de milliers de commentaires de la part d’individus et d’organisations, notamment des procureurs généraux des États, de l’American Medical Association, du National Committee on Vital and Health Statistics, de la Planned Parenthood Federation of America, de l’American Civil Liberties Union. , et le Comité des avocats pour les droits civils, ainsi que des organisations professionnelles représentant les régimes de santé, les professionnels de la gestion de l’information sur la santé et les fournisseurs de systèmes, les employeurs, les épidémiologistes et les avocats.¹⁴ Plus de la moitié des commentaires exprimaient un soutien général aux modifications proposées et à leurs objectifs.¹⁵

Bien que l’OCR ait largement conservé dans les modifications finales les dispositions qu’elle avait proposées en 2023, elle a apporté un certain nombre d’ajustements de clarification et quelques changements de fond. Parmi ces changements figurait la suppression d’une proposition d’interdiction de s’appuyer sur l’autorisation d’un individu comme base pour divulguer les renseignements personnels sur la santé reproductive de l’individu dans des circonstances qui nécessiteraient autrement une attestation. L’OCR avait proposé cette interdiction parce qu’elle craignait que les personnes cherchant à accéder aux données de santé reproductive d’un individu puissent exercer des pressions sur l’individu et le contraindre effectivement à signer une autorisation autorisant la divulgation de ses données de santé reproductive à ces personnes. Les commentaires reçus par l’OCR en réponse à l’interdiction proposée ont cependant convaincu l’agence que, dans l’ensemble, il était préférable de laisser intact le droit d’un individu d’autoriser de telles divulgations. Bien que l’OCR ait clairement indiqué qu’elle restait préoccupée par la contrainte ou la coercition exercée par les personnes cherchant des informations de santé protégées liées à la santé reproductive, elle a conclu que : « Le droit des individus d’accéder à leurs informations de santé protégées et de choisir de les divulguer à une autre personne est une pierre angulaire de la loi HIPAA. , et en tant que tel, nous ne donnons pas suite à (cette) proposition.¹⁶ L’OCR a déclaré qu’elle surveillerait en permanence les plaintes qu’elle reçoit et les résultats des mesures coercitives des agences afin d’identifier toute coercition potentielle.¹⁷

Conclusion

Afin de se préparer à se conformer aux modifications d’ici le 22 décembre 2024, les entités réglementées doivent mettre à jour leurs politiques et procédures de conformité en matière de confidentialité HIPAA et recycler le personnel pour comprendre quand les informations concernant les soins de santé reproductive peuvent ou non être fournies aux entités chargées de l’application de la loi et à d’autres responsables. . En ce qui concerne les mises à jour requises des avis de pratiques de confidentialité des entités couvertes (mentionnées dans la note de bas de page 6 ci-dessus), l’OCR prévoit de fournir un modèle d’avis qui facilitera les mises à jour d’ici la date requise (16 février 2026).

N’hésitez pas à contacter les auteurs de cet article ou leurs collègues de l’équipe de confidentialité, de cybersécurité et de stratégie des données d’Arnold & Porter ou de l’équipe de réglementation des sciences de la vie et des soins de santé pour toute question supplémentaire concernant cette mise à jour de la règle de confidentialité et ses obligations pour les entités couvertes et les associés commerciaux. .

© Arnold & Porter Kaye Scholer LLP 2024 Tous droits réservés. Cet avis se veut un résumé général de la loi et ne constitue pas un avis juridique. Vous devriez consulter un avocat pour déterminer les exigences juridiques applicables dans une situation factuelle spécifique.

Archie Mitchell

Archie Mitchell, with a prestigious master’s degree from France and two decades of experience, is an authority in his field, renowned for making complex subjects engaging through his blog. At 49, he seamlessly merges academic knowledge with practical insights, aimed at educating and empowering his audience. Beyond his professional life, Archie’s hobbies and personal interests add depth to his writing, making it a valuable resource for both professionals and enthusiasts looking to expand their understanding.

Rédigé par

Archie Mitchell

Archie Mitchell, with a prestigious master's degree from France and two decades of experience, is an authority in his field, renowned for making complex subjects engaging through his blog. At 49, he seamlessly merges academic knowledge with practical insights, aimed at educating and empowering his audience. Beyond his professional life, Archie's hobbies and personal interests add depth to his writing, making it a valuable resource for both professionals and enthusiasts looking to expand their understanding.