En ce qui concerne l’informatique, la conformité HIPAA signifie adhérer au Titre II. Il est également connu sous le nom de dispositions de « Simplification administrative », et comprend le respect des exigences de conformité HIPAA ci-dessus:

• Norme nationale d’identification des fournisseurs: Exige que chaque entité de soins de santé, comme les employeurs, les particuliers, les fournisseurs de soins de santé et les régimes de santé, ait un code d’identification de fournisseur unique à 10 chiffres – leur NPI (Identifiant national des fournisseurs).
• Normes relatives aux transactions et aux ensembles de codes : Exige que les organisations suivent un mécanisme standard pour l’EDI (échange de données informatisé), lors du traitement ou de la soumission des réclamations d’assurance.
• Règle de confidentialité HIPAA: Établit des normes nationales qui protègent les informations sur la santé des patients et garantit la sécurité de toute information identifiable individuellement.
• Règle de sécurité HIPAA : Établit des normes pour la sécurité des données des patients.
• Règle d’application de la loi HIPAA: Établit les lignes directrices pour enquêter sur les violations de la loi HIPAA.

En 2013, HHS a mis en place la règle HIPAA Omnbius, afin de mettre en œuvre quelques modifications à la version précédente, conformément à certaines directives, qui ont été fixées en 2009 par la loi HITECH. Il concerne principalement la responsabilité des associés commerciaux des entités couvertes. Cette règle modifie également les sanctions en cas de violation de la conformité HIPAA, les augmentant à un maximum de 1,5 million de dollars par incident.

Les violations de la loi HIPAA peuvent être très coûteuses pour une organisation de soins de santé. Tout d’abord, la Règle de notification de violation, définie dans l’omnibus, exige que les entités couvertes ainsi que l’un de leurs associés commerciaux informent les patients qu’ils suivent une violation de données. En plus de ces coûts, les organisations peuvent encourir des amendes après les audits effectués par le Bureau des droits civils (OCR). Les fournisseurs peuvent même faire face à des accusations criminelles pour violation de ces règles.

Les organisations sont en mesure de réduire le risque de mesures réglementaires en prenant de la pratique dans les programmes de formation pour la conformité HIPAA. L’OCR propose six programmes au total qui visent à éduquer les employés sur les règles de sécurité et de confidentialité. De nombreux autres groupes de formation et cabinets de conseil proposent également des programmes. Les fournisseurs peuvent même créer leurs propres programmes, englobant d’autres domaines tels que les politiques HIPAA actuelles, la loi HITECH et les processus de gestion à partir d’appareils mobiles et d’autres directives applicables.

Il n’existe pas de programme de certification officiel pour la conformité à la loi HIPAA, mais de nombreuses entreprises de formation offrent des informations d’identification qui indiquent la compréhension des lignes directrices et des règlements spécifiés par la loi.