Qu’est-ce que la Minimum Necessary Rule de l’HIPAA ?

Qu’est-ce que la Minimum Necessary Rule de l’HIPAA ?

La règle du minimum requis de l’HIPAA (HIPAA Minimum necessary Rule) est un volet important de la norme HIPAA. Elle vise à empêche les entités couvertes d’accéder à plus de PHI qu’il leur est nécessaire.

Qu’est-ce que la règle du minimum requis ?

Faisant partie intégrante de la règle de confidentialité de l’HIPAA, cette extension impose aux entités couvertes de faire des efforts raisonnables pour n’accéder qu’au minimum de PHI nécessaires à leur activité.

Qu’est-ce que l’HIPAA ?

La Health Insurance Portability and Accountability Act (HIPAA) est un ensemble de lois qui s’appliquent aux hôpitaux, aux cabinets médicaux, aux compagnies d’assurance, aux organismes de santé, et à leurs partenaires commerciaux pour protéger les informations médicales protégées (PHI) des patients.

Ces règles concernent tout établissement ou toute personne ayant accès à des informations sur les patients, y compris les usagers, les médecins ou les patients.

L’HIPAA est réglementé par le ministère de la Santé et des Services sociaux (HHS) et impose des critères spécifiques de conformité :

La règle de conformité (The Privacy Rule)

C’est la première exigence de l’HIPAA, et le fondement de toutes les règlementations sur les PHI. Elle s’applique aux :

  • « Entités couvertes » (CE): Hôpitaux, cabinets médicaux, compagnies d’assurance et fournisseurs de soins de santé
  • « Associés commerciaux » (BA): Tout prestataire qui travaille avec une entité couverte et propose un service impliquant des PHI. Il peut s’agir de services financiers, de stockage de données, de messagerie électronique ou de services cloud.

En outre, la règle de confidentialité fixe les responsabilités qui incombent aux entités couvertes et à leurs associés commerciaux. Ainsi, ils ont l’obligation de mettre en œuvre toutes les mesures nécessaires pour protéger la confidentialité des PHI contre toute divulgation non autorisée en dehors de la relation patient/organisme. Les CE et BA ne doivent en aucun cas autoriser la divulgation non autorisée de PHI, d’informations personnelles identifiables (PII) ou d’informations financières liées à des soins de santé.

La loi prévoit cependant certains cas pour lesquels la divulgation non autorisée exceptionnelle de ces informations est justifiée : recherche, exigences légales, service public ou urgences.

La règle de sécurité (The Security Rule)

Pour faciliter la protection des PHI imposée dans le cadre de la règle de confidentialité, l’HIPAA prévoit également des mesures de sécurité. La règle de sécurité comprend trois niveaux d’exigences :

  1. Des contrôles techniques: Les organismes doivent mettre en œuvre la technologie et les systèmes nécessaires à la protection des PHI. Cela comprend l’utilisation du chiffrement HIPAA, un système de gestion des identifiants et des accès adapté, des systèmes de sécurité du périmètre, la protection du matériel et des périphériques, et autres contrôles.
  1. Des contrôles physiques : Les administrations doivent restreindre les accès aux systèmes informatiques hébergeant des PHI. Autrement dit, mettre en place un registre des visiteurs, des mesures de protection et de surveillance des serveurs, des postes de travail, des ordinateurs portables et des archives papier.
  1. Des contrôles administratifs : Les organismes doivent prouver que leurs politiques de confidentialité répondent aux exigences de l’HIPAA, c’est-à-dire que des process et des formations ont été déployés pour chaque étape de la vie de l’entreprise, telles que l’arrivée ou le départ d’un salarié.

Les modalités de mise en œuvre technique de ces règles sont vagues, de sorte qu’elles puissent évoluer avec les nouvelles menaces et technologies. Les critères de conformité HIPAA sont définis dans la National Institute of Standards and Technology Special Publication 800-66 : « Introduction aux règles de sécurité de la loi sur la portabilité et la responsabilité en matière d’assurance maladie ».

La règle de notification des violations (The Breach Notification Rule)

En cas de violation de l’HIPAA, l’entité couverte (ou son partenaire commercial) est tenu de suivre un ensemble de procédures de notification et de divulgation pour prévenir les patients concernés et le public de manière générale.

Dans le cas où un pirate parvenait à s’introduire dans un système de soins de santé, ou dans tout autre incident susceptible de compromettre des PHI, les CE et les BA ont l’obligation d’entreprendre les démarches suivantes :

  • Divulgation : l’organisme doit fournir les efforts nécessaires pour notifier les patients concernés en utilisant leurs coordonnées. Si la communication directe est impossible, des mesures à plus grande échelle devront être entreprises pour s’assurer que les patients soient bien avertis, notamment par des mises à jour sur un site Internet public et par une ligne d’assistance téléphonique gratuite.
  • Information du public : Si la violation concerne un grand nombre de personnes, alors l’organisme devra révéler publiquement la fuite aux médias des juridictions concernées.
  • Notification au gouvernement: l’organisme doit également informer le bureau du secrétaire du ministère de la Santé et des Services sociaux.

La règle omnibus (The Omnibus Rule)

La règle Omnibus est un complément de la réglementation HIPAA de 2013 destiné à moderniser certains critères face aux nouvelles technologies et menaces. Les principaux changements apportés sont :

  • La possibilité pour le patient de demander à ne pas divulguer ses informations médicales de santé à l’assurance maladie, sauf exigé par la loi
  • L’interdiction pour les organismes d’utiliser les PHI à des fins marketing
  • L’extension des responsabilités aux BA, qui étaient limitées jusque là en cas de violation HIPAA. les partenaires commerciaux font désormais l’objet de contrôles rigoureux en matière de conformité HIPAA (ou d’absence de conformité), au même titre que les CE. Ils sont entièrement responsables en cas de violation, même au service d’une entité couverte.

Qu’est-ce que la Minimum Necessary Rule de l’HIPAA ?

Contrairement aux autres règles évoquées précédemment, la règle du minimum requis n’est pas une section distincte de l’HIPAA, mais plutôt une annexe à la règle de confidentialité qui définit comment les CE et les BA peuvent utiliser les PHI.

Cette règle stipule que les entités couvertes et leurs associés commerciaux doivent limiter au maximum l’utilisation et la divulgation des PHI et s’en tenir au « minimum requis » pour remplir leur mission.

Comme d’autres aspects de l’HIPAA, le sens du terme « requis » est souple et laissé à l’appréciation de l’organisme régi (sous réserve de pouvoir le justifier). En réalité, tant que l’entreprise justifie quel minimum d’informations lui est nécessaire, les sanctions potentielles en cas de divulgation seront beaucoup moins sévères que si elle avait simplement refusé de se plier aux règles.

Il y a néanmoins quelques exceptions à la règle :

  • Un prestataire peut fournir des informations au-delà de ses besoins dans le but de dispenser un traitement
  • Si le traitement ou la divulgation des informations médicales est autorisé par la règle de confidentialité
  • Toute divulgation autorisée par le ministère de la Santé et des Services sociaux
  • Toute divulgation exigée par la loi.

Pour se conformer à cette règle du minimum requis, les entreprises doivent justifier de quelles données médicales personnelles elles ont besoin, et comment exactement elles vont les utiliser. En outre, elles doivent mettre en place des contrôles d’accès stricts en fonction des postes de travail, afin de limiter l’accès et les utilisations des PHI. Ces protocoles de sécurité doivent être détaillés dans la stratégie de gestion des cyberrisques des organisations.

Enfin, les organismes doivent assurer la traçabilité des communications et archiver les audits. Elles doivent intégrer les collaborateurs dans leur démarche, via des programmes de formation et de sensibilisation aux sanctions encourues en cas de violation de données.

Mise en conformité « Minimum Necessary Rule » de l’HIPAA avec Kiteworks

Pour répondre à ces exigences, les organisations ont besoin de protéger les PHI contre toute divulgation non autorisée, de limiter les accès au strict nécessaire, de suivre et tracer toutes les actions réalisées et de pouvoir détecter une éventuelle fuite malgré tous les contrôles de sécurité HIPAA.

Vous ne pouvez plus compter sur des systèmes manuels, mais allez devoir mettre en place une plateforme adéquate qui puisse gérer tous ces critères de manière automatique. Elle doit vous permettre de stocker et échanger des PHI en toute sécurité, d’enregistrer et d’archiver les journaux audits, les contrôles et les analyses de conformité.

INSERT BANNER TO https://info.kiteworks.com/webinar-addressing-the-biggest-gap-in-your-zero-trust-strategy

Les réseaux de contenu privés compatibles avec Kiteworks possèdent les caractéristiques suivantes :

  • Sécurité et conformité : Kiteworks utilise le chiffrement AES-256 pour les données au repos et TLS 1.2+ pour les données en transit. L’appliance virtuelle de la plateforme, les contrôles granulaires, l’authentification, les autres intégrations de piles de sécurité et les rapports d’audit et de consignation permettent de prouver facilement et rapidement la conformité aux règles de sécurité.

    La plateforme Kiteworks intègre des rapports de conformité pour les réglementations gouvernementales et industrielles, telles que HIPAA, la norme de sécurité de l’industrie des cartes de paiement (PCI DSS), SOC 2 et le RGPD.

    En outre, Kiteworks revendique la certification et la conformité aux normes FedRAMP, FIPS (Federal Information Processing Standards) et FISMA (Federal Information Security Management Act). Kiteworks facilite également la conformité au CMMC 2.0 (Cybersecurity Maturity Model Certification) et est reconnu pour ses contrôles de niveau PROTECTED par l’IRAP (Infosec Registered Assessors Program).

  • Journaux d’audit : Grâce aux audits de conformité en temps réel de la plateforme Kiteworks, les attaques sont détectées plus rapidement et vous disposez de la chaîne des preuves utiles pour les analyses forensiques..


Comme le système centralise et normalise toutes les entrées, le syslog unifié et les alertes de Kiteworks feront gagner un temps précieux aux équipes responsables de la sécurité, tout en aidant les équipes en charge de la conformité à bien préparer les audits.

  • Intégration SIEM : Kiteworks prend en charge l’intégration avec les principales solutions de gestion des informations et des événements de sécurité comme IBM QRadar, ArcSight, FireEye Helix et LogRhythm. la plateforme dispose également de Splunk Forwarder et d’une application Splunk App.
  • Gouvernance et transparence : le tableau de bord du RSSI dans Kiteworks permet aux entreprises de voir leurs informations en temps réel : où elles se trouvent, qui y accède, comment elles sont utilisées et si les données envoyées, partagées ou transférées sont conformes aux réglementations et aux normes. Le tableau de bord du RSSI permet aux dirigeants de prendre des décisions en toute connaissance de l’état de conformité de l’organisation.
  • Hébergement single-tenant: les transferts de fichiers, le stockage de fichiers et l’accès des utilisateurs se font sur un module Kiteworks dédié, déployé en local sur les ressources IaaS de l’organisation, ou hébergée single-tenant sur le cloud par Kiteworks par le serveur Kiteworks Cloud.

Cela signifie qu’il n’y a pas d’exécution partagée, de répertoires et de ressources partagés, ni de risque de violation ou d’attaque intercloud.

Découvrez comment Kiteworks vous accompagne vers la conformité HIPAA en demandant une démo personnalisée adaptée à vos besoins spécifiques.

RESSOURCES COMPLÉMENTAIRES

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks