Est-ce une violation de la HIPAA de demander à quelqu’un le statut de vaccination COVID-19 ?

Maintenant que les personnes entièrement vaccinées n’ont plus besoin de porter de masques faciaux ou de pratiquer la distanciation physique dans la plupart des contextes, de nombreuses entreprises interrogent les clients sur leur statut de vaccination COVID-19 avant de leur permettre d’entrer ou de ne pas porter de masque. Cependant, certaines personnes prétendent que la Health Insurance Portability and Accountability Act de 1996 (HIPAA) interdit aux entreprises de le faire, ce qui est totalement faux.

Cette idée fausse est dangereuse car elle pourrait potentiellement induire en erreur les personnes qui ne comprennent pas pleinement ce que la HIPAA implique réellement. Pour comprendre pourquoi demander le statut vaccinal d’une personne n’est pas une violation de la vie privée, il est crucial de savoir quel type d’informations est protégé en vertu de la loi HIPAA, quelles entités sont tenues de respecter ses règles et le type de circonstances dans lesquelles cette protection s’applique.

Qu’est-ce que la HIPAA ?

La HIPAA est une loi fédérale qui vise à protéger votre vie privée en limitant la manière dont les informations sensibles sur votre santé peuvent être utilisées ou divulguées. Il vous donne également le droit d’examiner et d’obtenir une copie de votre dossier médical.

« Lorsque les gens se réfèrent à la HIPAA, ils désignent généralement la règle de confidentialité produite par le HHS conformément à l’autorisation du Congrès via la loi elle-même », James G. Hodge, Jr., JD, LLM, directeur du Center for Public Health Law and Policy en Arizona Université d’État, raconte Verywell. « À cette fin, la règle de confidentialité HIPAA fournit des normes de confidentialité et des protections étendues pour les informations de santé identifiables détenues par les entités couvertes. »

Contrairement à la croyance populaire, la HIPAA ne protège pas toutes sortes d’informations dans toutes les situations. De plus, tous les individus et organisations ne sont pas tenus de s’y conformer.

Entités couvertes

Seules certaines personnes et organisations ayant accès à vos informations médicales sont soumises à la règle de confidentialité HIPAA, telles que :

• Les prestataires de soins de santé, comme les prestataires de soins primaires, les médecins spécialisés ou les psychologues
• Plans de santé, tels que les compagnies d’assurance maladie ou les organismes de maintien de la santé (HMO)
• Centres d’échange d’informations sur les soins de santé, qui comprennent des entités publiques ou privées qui traitent des informations de santé non standard
• Associés commerciaux d’entités couvertes qui les aident dans l’exercice de leurs activités et fonctions de soins de santé, comme les transcripteurs médicaux ou les consultants

La responsabilité de protéger les informations de santé protégées incombe à ces seules entités, a déclaré à Verywell Michael S. Sinha, MD, JD, MPH, professeur auxiliaire à la Northeastern University School of Law et chercheur invité au NUSL Center for Health Policy and Law. Si une entité n’est pas couverte par HIPAA, elle n’a pas à se conformer à ses normes de confidentialité.

Informations de santé protégées (PHI)

Les entités couvertes collectent et utilisent régulièrement des informations sur la santé pour fournir des soins de santé. Ces enregistrements sont protégés par la loi HIPAA, qui comprend :

• Informations personnelles, telles que votre nom, adresse, numéro de sécurité sociale, numéro de bénéficiaire du régime de santé, numéros de téléphone ou images photographiques
• Dossiers médicaux, notes de cas cliniques, résultats de tests, diagnostics ou prescriptions
• Information sur l’assurance
• Systèmes d’enregistrement de gestion médicale maintenus par ou pour un plan de santé
• Dossiers de facturation et de paiement

« HIPAA ne protège que certains types d’informations dans certains établissements de soins de santé, pas toutes les informations dans tous les établissements », explique Sinha. Les informations sur la vaccination et les cartes de vaccination peuvent être classées comme PHI, mais demander le statut de quelqu’un n’entraîne pas automatiquement une violation de la loi HIPAA.

Est-ce une violation de la loi HIPAA de demander le statut vaccinal de quelqu’un ?

« Demander le [vaccination] le statut n’est pas en soi une violation de la HIPAA puisqu’aucun PHI n’a été divulgué », a déclaré à Verywell Jonathan Ishee, JD, MPH, MS, LLM, professeur adjoint d’informatique biomédicale à l’Université du Texas. Une violation ne se produirait que si une entité couverte divulguait des RPS à une personne non autorisée sans votre consentement.

N’importe qui peut demander à votre fournisseur de soins de santé votre statut vaccinal, mais ce ne serait une violation que s’il le divulguait sans autorisation. Lorsque des entités non couvertes telles que la famille ou des amis vous demandent directement votre statut, ce n’est pas une violation. Vous êtes également autorisé à divulguer vous-même ces informations.

« Les Américains pensent souvent que la règle de confidentialité HIPAA protège la confidentialité de leurs données de santé dans de nombreux contextes dans lesquels elle ne s’applique pas », a déclaré Hodge. « Si vous informez votre voisin de votre statut vaccinal COVID-19, la Règle ne s’applique pas. Si vous en parlez à votre employeur, encore une fois, la Règle ne s’applique pas directement.

Un autre point à retenir est que la HIPAA n’empêche pas les entreprises, les entreprises, les écoles ou les compagnies aériennes de demander si vous avez été vacciné ou non. S’ils vous demandent votre statut vaccinal avant de vous autoriser à entrer dans un établissement, à assister à des cours ou à venir travailler en personne, ou même à réserver un vol, ce n’est pas une violation. C’est toujours à vous de décider si vous souhaitez partager ces informations.

« Les employeurs ont le droit de demander aux employés leur statut vaccinal ou d’exiger une preuve de vaccination comme condition de maintien dans l’emploi », a déclaré Sinha. «De même, les collèges et les universités peuvent exiger une preuve de vaccination pour les professeurs, le personnel et les étudiants. Cela signifie qu’une personne peut perdre son emploi ou son admission à l’université si elle refuse de divulguer son statut vaccinal. HIPAA n’a aucun rôle dans cet échange d’informations.

Dans quelles circonstances y aura-t-il une violation de la loi HIPAA ?

Il n’y aurait une violation de la loi HIPAA que si une entité couverte divulguait le statut vaccinal d’un individu à une entité non couverte sans son autorisation. Par exemple, un fournisseur de soins de santé n’est pas autorisé à révéler le statut vaccinal d’une personne à son employeur sans son consentement.

« Si un médecin informe les médias du statut vaccinal COVID de son patient célèbre, sans l’autorisation écrite du patient, une violation s’est probablement produite », a déclaré Hodge. « Si un site Web de médias fournit les mêmes informations sur une célébrité, aucune violation de la règle de confidentialité HIPAA n’est survenue car le site Web de médias n’est pas une » entité couverte « en vertu de la règle. Le site peut avoir violé d’autres normes de confidentialité, qu’elles soient statutaires, réglementaires ou judiciaires, mais pas la règle de confidentialité elle-même.

Dans certaines situations qui profitent au bien public, telles que les procédures judiciaires et administratives, les fonctions gouvernementales essentielles ou les activités de santé publique, les entités couvertes peuvent utiliser ou divulguer des RPS à une entité non couverte sans autorisation. S’ils partagent le statut vaccinal d’une personne avec une personne non autorisée (un ami, un voisin ou un collègue) en dehors de ces divulgations autorisées, il s’agit probablement d’une violation de la loi HIPAA.

« Bien que la règle de confidentialité HIPAA fournisse un socle solide de protections de la vie privée dans les établissements de soins de santé, elle ne fournit pas de protections de la vie privée à toute épreuve en dehors de ces paramètres spécifiques », déclare Hodge.

Pendant cette pandémie de COVID-19, il est compréhensible de ressentir le besoin de protéger votre vie privée et vos informations de santé. Cependant, gardez à l’esprit que la loi HIPAA n’empêche personne de vous renseigner sur votre statut vaccinal, car elle ne viole pas la confidentialité médicale ou les droits individuels. Vous pouvez toujours refuser de divulguer votre statut vaccinal.

« HIPAA n’est pas quelque chose qu’un individu peut tenter d’invoquer comme bouclier si les employeurs ou les écoles posent des questions sur le statut de vaccination », a déclaré Sinha. « C’est un mot à la mode pratique et souvent mal orthographié, mais il n’a aucune pertinence dans ce contexte. »

Les informations contenues dans cet article sont à jour à la date indiquée, ce qui signifie que des informations plus récentes peuvent être disponibles lorsque vous lisez ceci. Pour les mises à jour les plus récentes sur COVID-19, visitez notre page d’actualités sur les coronavirus.