La pandémie COVID-19 a présenté de nombreux défis et questions nouveaux pour les employeurs, de l'administration des congés de la loi Families First Coronavirus Response Act («FFCRA») à la gestion des performances des travailleurs à distance. Pour les prestataires de soins de santé, ces défis et questions n'ont été que l'un des nombreux fardeaux de fonctionnement pendant une pandémie. À mesure que les vaccins deviennent plus largement disponibles, la pandémie soulève de nouveaux défis, dont certains sont propres aux employeurs du secteur de la santé. Cet article se concentre sur les problèmes liés à la confidentialité des employés qui sont spécifiques aux employeurs du secteur de la santé qui fournissent des services médicaux liés au COVID-19 à leurs employés.

Problèmes spécifiques pour les employeurs du secteur de la santé

Les problèmes de confidentialité liés à la vaccination des employés et aux dossiers de test peuvent devenir beaucoup plus compliqués pour les employeurs de la santé. Le problème le plus épineux ici est la conformité HIPAA. En règle générale, les renseignements médicaux des employés sont exemptés de la définition des renseignements médicaux protégés («RPS»). À titre d’exemple, la note d’un fournisseur concernant un besoin d’adaptation ou la raison d’un congé protégé ne devient pas un RPS simplement parce que l’employeur qui le reçoit est un fournisseur de soins de santé. Mais COVID-19 a brouillé certaines lignes entre l'employé et le patient. Certains employeurs du secteur de la santé ont fourni des tests post-exposition, des tests de routine ou des vaccinations aux employés. Bien que ces soins soient essentiels au maintien du fonctionnement du système de santé pendant une pandémie, ils posent des questions complexes sur les RPS créés à partir de ces soins.

Confidentialité des données des employés du secteur de la santé pendant la pandémie COVID-19

Lorsqu'une entité couverte fournit des soins à l'un de ses employés en qualité de fournisseur de soins de santé, l'employé-patient n'est pas différent de tout autre patient aux fins de la HIPAA. Par exemple, si un employé se rend au service des urgences d'un hôpital dans lequel il travaille, le service des ressources humaines de l'entité couverte et le responsable de l'employé-patient n'ont pas plus accès aux RPS de l'employé-patient que le service des ressources humaines ou le responsable d'un non-employé. employeur. En l'absence d'une décharge signée de l'employé-patient ou d'une autre base légale de divulgation en vertu de la HIPAA, l'entité couverte ne peut pas utiliser le PHI en sa possession pour prendre des décisions en matière d'emploi ou à d'autres fins liées à l'emploi. De même, si un employé prend indépendamment un rendez-vous avec une entité couverte pour un test ou un vaccin COVID-19, le PHI qui en résulte nécessite les mêmes protections en vertu de la HIPAA que les PHI de tout autre patient.

À l’autre bout du spectre, la divulgation volontaire par un employé-patient d’un résultat de test à son entité-employeur couverte - même si elle est obtenue auprès d’une entité couverte - n’exige pas la gamme complète des protections HIPAA. Les informations de type PHI (comme un résultat de test) qu'un employé-patient divulgue volontairement au service des ressources humaines de l'entité couverte à des fins d'emploi ne relèvent pas de la définition réglementaire des PHI. Ces RPS peuvent être traités comme tout autre renseignement sur la santé des employés, c'est-à-dire conservé dans un dossier médical distinct et confidentiel.

Cette enquête devient plus complexe lorsque le dépistage ou la vaccination est directement lié à une fonction d'emploi. Déterminer quand une connexion suffisante existe est une question factuelle. Bien que les employeurs du secteur de la santé de l'Oregon ne puissent pas exiger la vaccination des employés, les employeurs peuvent exiger des tests de routine comme condition d'emploi et peuvent fournir un processus distinct pour les tests de routine COVID-19 des employés. Les employeurs peuvent également offrir une incitation financière aux employés qui reçoivent le vaccin COVID-19. Dans l'un ou l'autre scénario, les services de santé sont fournis à l'employé principalement dans le contexte de l'emploi plutôt qu'en tant que fournisseur de soins de santé. Mais un test post-exposition peut sembler différent dans le cadre de cette analyse, car il existe une base médicale sous-jacente pour le test, quelles que soient les raisons professionnelles pour lesquelles ces tests sont exigés. Les informations médicales générées par ces services de santé pourraient alors être un dossier d’emploi exempté de la définition de PHI de la HIPAA. Cependant, ces distinctions restent floues. Les scénarios suivants illustrent quelques exemples de ces circonstances factuelles.

Exemples:

L'hôpital emploie une infirmière autorisée A, un spécialiste de la facturation B et un agent de sécurité C. L'hôpital exige que les employés qui présentent des symptômes du COVID-19 restent à la maison du travail jusqu'à 72 heures après la disparition des symptômes. L'hôpital oblige les employés qui étaient en contact étroit avec une personne atteinte du COVID-19 sans EPI à rester à la maison du travail jusqu'à 14 jours après le contact.

Scénario 1 : A a des contacts réguliers et étroits avec des patients atteints du COVID-19, tout en portant un EPI. Comme condition d’emploi, l’hôpital exige que A subisse des tests de COVID-19 hebdomadaires, aux frais de l’hôpital. A reçoit ces tests à l'hôpital dans le même centre de test que le grand public.

Scénario 2 : Même scénario que 1, mais A reçoit des tests hebdomadaires dans une installation différente du grand public. L’hôpital achemine tous les tests des employés à travers un processus distinct des tests du public.

Scénario 3 : B développe des symptômes pseudo-grippaux et prend cinq jours de congé pour se rétablir. B programme un test COVID-19 à l'hôpital pendant ce temps libre. Pour documenter leur admissibilité à un congé de maladie d'urgence en vertu de la FFCRA, B envoie une copie de leurs résultats de test au service des ressources humaines de l'hôpital.

Scénario 4 : L'hôpital détermine que C a été exposé au COVID-19 au travail et informe C de cette exposition. C désire un test COVID-19 et programme un test dans le centre de test de l'hôpital, qui est ouvert au public. L’hôpital souhaite connaître les résultats des tests de C pour déterminer si C a exposé d’autres employés.

Scénario 5 : C obtient plus tard une vaccination contre le COVID-19 à l'hôpital. L'hôpital offre à tous les employés qui reçoivent un vaccin COVID-19 une prime en espèces. C fournit un dossier de sa vaccination au service des ressources humaines de l’hôpital pour recevoir la prime.

Dans les scénarios 1, 3, 4 et 5, les employés ont très probablement reçu des services de santé de l'hôpital en sa qualité de fournisseur de soins de santé plutôt qu'en tant qu'employeur. Le service des ressources humaines de l'hôpital ne peut pas utiliser ou accéder aux PHI des employés sans une autorisation de divulgation d'informations («ROI») correctement exécutée. Dans les scénarios 3 et 5, les employés ont volontairement divulgué leurs informations de santé au service des ressources humaines de l'hôpital. Les obligations du service des ressources humaines en matière de confidentialité sont les mêmes en ce qui concerne ces informations qu’elles le seraient pour les informations d’un autre fournisseur de soins de santé.

Le scénario 2 présente le cas le plus convaincant pour l'application de l'exemption de l'employeur à la définition des RPS pour un test COVID-19 ou une vaccination. Il y a des indications claires que l’Hôpital fournit le test pour des raisons strictement liées à l’emploi, et il existe une délimitation claire entre la fourniture générale de services de santé par l’Hôpital aux patients et ses tests d’emploi des employés. En revanche, dans le scénario 1, A peut considérer l'obtention d'un test hebdomadaire à l'hôpital plutôt que dans un autre établissement comme une question de commodité lors de la sélection d'un fournisseur de soins de santé.

Les scénarios 1 et 4 présentent une question plus confuse. Les employés ont reçu le test COVID-19 de l'hôpital aux mêmes conditions que le public. Les circonstances du test ne montrent pas clairement un lien avec les fonctions d’emploi de l’employeur. Cependant, il existe des bases potentiellement applicables pour divulguer des RPS limités sans l’autorisation de l’employé. En vertu de 45 CFR § 164.512 (b) (1) (v), une entité couverte peut divulguer des RPS générés à propos d'un employé lorsque (1) l'entité couverte fournit des soins de santé à l'employé à la demande de l'employeur, (2) le but des soins de santé est soit une surveillance médicale du lieu de travail, soit une évaluation d'une blessure ou d'une maladie liée au travail, (3) la divulgation est limitée aux résultats de l'évaluation ou de la surveillance, (4) l'employeur a besoin que les RPS se conforment aux exigences professionnelles de l'État ou du gouvernement fédéral. le droit de la santé, et (5) l'entité couverte fournit un avis écrit de la divulgation au moment des soins. La norme générale du «minimum nécessaire» s'appliquerait également à une telle divulgation.

Le critère le plus strict de cette exception de dépistage liée à l'emploi est la nécessité pour les RPS de se conformer à la législation fédérale ou fédérale sur la santé au travail. En théorie, un employeur pourrait exprimer la nécessité de dépister les employés symptomatiques exposés au COVID-19 pour répondre aux exigences de déclaration, comme un journal OSHA 300. Cependant, des tests de routine indépendamment de l'exposition ne sont pas nécessaires pour ces obligations de déclaration. Certaines lois des États concernant la vaccination des travailleurs de la santé, telles que l'ORS 433.416, exigent des documents attestant qu'un vaccin a été offert, mais pas s'il a été administré. À moins que l'entité couverte n'ait une obligation positive d'accéder aux RPS à des fins de conformité, son utilisation ou sa divulgation à des fins d'emploi est interdite sans retour sur investissement. De plus, étant donné que même l'exception du § 164.512 nécessite un avis écrit, le fardeau supplémentaire lié à l'obtention d'un retour sur investissement permettant la divulgation des résultats des tests est minime.

Pour compliquer davantage les choses, il est également possible que le paiement des tests des employés implique davantage HIPAA. Outre les prestataires médicaux, les régimes de santé collectifs sont également des entités couvertes. Et selon une interprétation large de la définition de régime collectif d'assurance-maladie, les tests peuvent relever de la définition d'une «prestation médicale», dont la disposition peut faire d'un employeur un régime d'avantages sociaux auto-assuré si plus de 50 employés sont couverts. Ainsi, un employeur peut avoir besoin de garantir la conformité HIPAA s'il paie directement les tests COVID-19 des employés. Même pour une entité couverte habituée à la conformité HIPAA en ce qui concerne les PHI des patients, les employeurs de la santé doivent être conscients des répercussions potentielles des paiements directs pour le test COVID-19.

Cela dit, les entités couvertes fournissant des tests COVID-19 ou des vaccins à leurs employés devraient par défaut traiter les RPS des employés comme elles le feraient pour tout autre RPS. Il n’existe pas de scénario clair dans lequel le personnel des ressources humaines d’une entité couverte peut examiner les renseignements personnels sur les renseignements personnels des employés sans qualification. Étant donné que les exceptions sont étroites et peu claires, une entité couverte doit obtenir un retour sur investissement avant d’accéder aux RPS de ses employés dans ses propres dossiers. Si l'employé refuse de donner cette autorisation, l'entité couverte doit analyser attentivement l'existence de toute exception permettant l'utilisation ou la divulgation, et consulter un conseiller juridique si nécessaire.

Considérations générales sur la confidentialité médicale

La plupart des employeurs sont familiarisés avec le traitement confidentiel des données médicales des employés en vertu de l'Americans with Disabilities Act («ADA»). Les informations médicales relatives à un employé, qu'elles soient demandées par l'employeur ou divulguées volontairement par l'employé, doivent généralement être traitées comme un dossier médical confidentiel. Ce traitement nécessite de conserver le dossier médical séparément du dossier général d'emploi et de limiter l'accès aux personnes autorisées par la loi à accéder aux informations. Bien que toutes les informations médicales ne relèvent pas de la protection de la vie privée de l'ADA, il est préférable de se tromper du côté de la confidentialité.

Les dispositions relatives aux informations médicales de l'ADA font partie des considérations relatives au COVID-19 d'un employeur depuis le début de la pandémie. Les informations telles que la vérification des symptômes et les rapports sur les conditions sous-jacentes qui créent un risque élevé de symptômes graves du COVID-19 restent soumises aux exigences de l'ADA. Les registres des vaccinations sont moins clairs. L'EEOC a laissé entendre que le fait de la vaccination en soi n'est pas une information médicale nécessitant un traitement confidentiel, mais met en garde contre le fait que la documentation prouvant que la vaccination a eu lieu peut contenir des informations médicales. La voie la plus sûre consiste à conserver tous les dossiers de vaccination fournis par un employé en tant que dossier médical confidentiel aux fins de l'ADA.