HIPAA & GDPR - Quelles sont les différences ?

La confidentialité est essentielle dans le secteur de la santé. Les informations médicales d’un patient sont la propriété de ce patient et ne doivent être partagées qu’avec ceux qui sont directement responsables du traitement qu’il reçoit. C’est pourquoi des réglementations telles que HIPAA ou GDPR  ont été développées autour de la santé et pas seulement. 

Qu’est-ce que la HIPAA ?

La HIPAA, également connue sous le nom de Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie de 1996, est une loi américaine qui garantit que les organisations de santé maintiennent la sécurité et la confidentialité des Informations de Santé Protégées (ou PHI).

Qu’est-ce que le GDPR ?

Le Règlement Général sur la Protection des Données (GDPR) est une loi qui protège la vie privée de toutes les individus en exigeant que les entreprises aient des processus robustes en place pour la gestion et le stockage des informations personnelles. Cela aide à garantir que les utilisateurs ne sont pas contactés sans leur consentement explicite et que les données personnelles sont gardées en sécurité.

Quelles sont les différences entre la HIPAA et le GDPR ?

Le GDPR fixe des normes élevées pour toutes les données personnelles sensibles, tandis que la HIPAA ne traite que des informations de santé sensibles.

Au fil des ans, de nombreux professionnels de la conformité en santé ont étudié, mis en œuvre et remis en question la norme de confidentialité de la Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie (HIPAA).

Les PHI incluent toute information pouvant être utilisée pour identifier un patient, comme le nom, l’adresse, la date de naissance, les détails bancaires/carte de crédit, le numéro de sécurité sociale, les photos et les informations d’assurance combinées avec des informations de santé.

En fonction de votre organisation, vous devrez peut-être également prendre en compte le Règlement Général sur la Protection des Données (GDPR). Le GDPR est un règlement sur la protection des données et la vie privée dans l’Union Européenne (UE).

Relèvent de la conformité au GDPR les organisations qui répondent à l’un des critères suivants :

1. Sont opérationnellement basées dans l’UE
2. Offrent des biens ou services à des clients européens
3. Traite les données personnelles des utilisateurs européens

Il existe certainement un certain chevauchement entre les réglementations GDPR et HIPAA (par exemple, les deux se concentrent sur le droit des utilisateurs d’avoir leurs informations gardées et transmises de manière sécurisée et protégée), mais il y a des différences importantes à mentionner :

Quel type de données est l’objet du GDPR et de la HIPAA ?

1. Les nouvelles réglementations GDPR protègent toutes les données qui pourraient être utilisées pour identifier une personne, y compris des données sensibles comme la race ou l’ethnie, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance à un syndicat, les données génétiques ou biométriques, et les données de santé.
2. Les normes HIPAA ne s’appliquent qu’aux informations de santé détenues par des Entités Soumises, telles que les médecins, les employeurs qui offrent des avantages de santé ou les compagnies d’assurance. Les partenaires commerciaux comme les entreprises informatiques ou les services de transcription sont également soumis aux réglementations HIPAA.

Consentement requis par l’utilisateur dans le GDPR et la HIPAA

Le consentement pour partager des informations est également différent. En vertu du GDPR, le consentement explicite est obligatoire pour le traitement des données sensibles, tandis que la HIPAA permet la divulgation de PHI pour « traitement, paiement et fins opérationnelles » sans le consentement de l’individu.

Signalement des violations et des problèmes

La HIPAA et le GDPR exigent toutes deux le signalement des violations, mais il existe différents délais de notification. La HIPAA exige que les violations impliquant 500 personnes ou plus soient signalées dans un délai de 60 jours. Le GDPR, en revanche, exige que toutes les violations soient signalées à un régulateur GDPR désigné dans un délai de 72 heures.

Le droit « d’être oublié »

La principale différence entre le GDPR et la HIPAA est que, en vertu du GDPR, les individus ont le droit de demander la suppression de leurs données si họ le demandent, tandis que la HIPAA ne confère pas ce droit. Cela signifie que les organisations ne peuvent pas conserver les données indéfiniment et doivent les supprimer de manière permanente sur demande, contrairement à l’exigence de conservation de 7 ans prévue par la HIPAA.

Conclusion

Les organisations qui souhaitent respecter les exigences de conformité au GDPR et à la HIPAA doivent avoir une compréhension approfondie des réglementations et des exigences spécifiques décrites dans les deux normes. En le faisant, elles peuvent facilement créer un plan pour répondre à toutes les normes.

Nous conseillons fortement aux organisations de réaliser une évaluation des données pour identifier les risques potentiels pour les données et de prendre les mesures appropriées pour garantir la conformité aux exigences. Les organisations ont également la possibilité de collaborer sur la sécurité des données du patient, avec des entreprises qui offrent des plateformes de gestion de données et d’imagerie conformes à la HIPAA et au GDPR, comme Medicai.

Medicai gère les données de vos patients grâce à son infrastructure décentralisée basée sur le cloud pour l’imagerie médicale. Elle s’intègre à l’infrastructure PACS / VNA existante et accorde un accès unifié à l’imagerie médicale ou agit comme une solution PACS native dans le cloud. 

Notre solution d’accès aux données de santé offre un accès granulaire, à distance et rapide aux données des patients, tout en répondant aux exigences de conformité au GDPR et à la HIPAA.

Si vous souhaitez tester la solution d’imagerie médicale conforme au GDPR et à la HIPAA de Medicai, n’hésitez pas à contacter notre équipe de vente ou à réserver une démo :

Draeger, J. (6 décembre 2021). Comment le GDPR se compare-t-il à la HIPAA ? Le blog sur la conformité et l’éthique. https://www.complianceandethics.org/how-does-gdpr-compare-to-hipaa/

Règlement Général sur la Protection des Données (GDPR) | Accéder à Tufts. (n.d.). https://access.tufts.edu/general-data-protection-regulation-gdpr

Lutkevich, B. (28 août 2020). HIPAA (Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie). Santé informatique. https://www.techtarget.com/searchhealthit/definition/HIPAA