Qu’est-ce qu’une violation de la HIPAA et que devez-vous faire si vous en avez une ?

Votre organisation a subi une violation de la HIPAA – que devez-vous faire maintenant ? Qui devez-vous informer, et que devez-vous leur dire ? Êtes-vous sujet à des sanctions ?

Nous expliquerons tout cela et bien plus encore ci-dessous.

Qu’est-ce qu’une violation de la HIPAA ?

Une violation de la HIPAA est “une utilisation ou une divulgation non autorisée en vertu de la règle de confidentialité qui compromet la sécurité ou la confidentialité des informations médicales protégées”. Cela signifie que si quelqu’un d’autre accède illégalement aux données du patient – même accidentellement – c’est une violation.

En termes de protections, les données de santé ont certaines des exigences de sécurité les plus restrictives et rigoureuses aux États-Unis. Il y a une bonne raison à cela : les données médicales sont généralement considérées comme totalement privées pour la personne concernée, de telle sorte qu’elles ne devraient jamais être partagées en dehors de la relation entre un patient et son médecin, son fournisseur de soins de santé ou son payeur d’assurance.

Télécharger le livre électronique HIPAA

Les organisations de santé utilisant principalement des méthodes électroniques pour stocker et transmettre les dossiers des patients, la HIPAA a mis en place plusieurs couches de réglementations et de contrôles autour des médias numériques, y compris la transmission en réseau, le stockage en base de données, et les ordinateurs mobiles comme les tablettes et les ordinateurs portables. Si les données médicales sont compromises, accessibles ou volées de quelque manière que ce soit pendant n’importe quelle durée dans l’un de ces endroits, cela sera qualifié de violation de la HIPAA qui appellera des réponses et des rapports spécifiques.

En 2013, la règle Omnibus de la HIPAA a modifié ce que “violation” signifie en termes juridiques et a étendu la responsabilité légale de ces violations aux “associés d’affaires” (entreprises contractantes et tierces parties travaillant dans l’industrie de la santé aux côtés des fournisseurs).

Quelle est la différence entre une violation de la HIPAA et une infraction à la HIPAA ?

Une violation de la HIPAA est une utilisation ou une divulgation non autorisée des informations médicales protégées qui est moins grave qu’une infraction. Une violation de la HIPAA peut ou non entraîner une sanction financière ou d’autres sanctions, tandis qu’une infraction est une violation grave des règles de la HIPAA qui peut entraîner des sanctions, des amendes et d’autres mesures correctives. Une violation de la HIPAA peut impliquer l’utilisation inappropriée ou la divulgation des informations médicales protégées au sein d’une organisation, comme un employé divulguant les informations médicales protégées d’un patient ou d’autres informations connexes sans autorisation.

Une infraction à la HIPAA, en revanche, implique généralement la divulgation non autorisée des informations médicales protégées à une personne ou une entité non autorisée, ou l’accès par une personne ou une entité non autorisée aux informations médicales protégées. Une infraction peut également inclure la perte d’informations médicales protégées non sécurisées, comme dans le cas d’un accès physique ou électronique non autorisé.

Une attaque de ransomware est-elle considérée comme une violation de la HIPAA ?

Oui, une attaque de ransomware est considérée comme une violation de la HIPAA et déclenchera les exigences de notification de la HIPAA. La HIPAA exige que les entités couvertes et leurs associés d’affaires informent les individus et le Département de la Santé et des Services sociaux (HHS) de toute violation des informations médicales protégées non sécurisées.

Pourquoi y a-t-il beaucoup plus de violations de données dans le secteur de la santé que dans les autres secteurs ?

Plusieurs facteurs contribuent au nombre élevé de violations de données dans le secteur de la santé. L’une des principales raisons est que les organisations de santé ont tendance à stocker plus de données personnelles sensibles – comme les dossiers médicaux, les informations d’assurance et les informations de paiement – que les autres industries. Ces données sont très lucratives sur le dark web, car elles peuvent être utilisées pour commettre des vols d’identité et des fraudes à l’assurance.

Deuxièmement, ces informations médicales protégées sensibles sont stockées sur plusieurs systèmes, pas seulement sur des ordinateurs et des serveurs mais sur un nombre écrasant de différents dispositifs médicaux et dispositifs portables. Ces dispositifs sont conçus pour la fonctionnalité avant tout ; la sécurité des dispositifs est rarement, voire jamais, une priorité. Ces dispositifs sont également faciles à égarer et encore plus faciles à exploiter. La sécurité des dispositifs médicaux, en fait, est un sérieux problème de gestion des risques.

Qu’est-ce que la règle de confidentialité de la HIPAA ?

Plus précisément, les violations de la HIPAA relèvent de la règle de confidentialité, qui est l’une des trois principales règles de conformité HIPAA:

  1. La Règle de Confidentialité. Cette règle établit les bases pour la confidentialité des informations de santé électroniques personnelles (ePHI), y compris la définition de ce qu’est réellement l’ePHI. Cette règle définit également dans quelle mesure les informations des patients doivent rester privées au-delà de la sécurité en termes de transmission et de partage, et qui est responsable de la gouvernance de cette confidentialité.
  2. La Règle de Sécurité. La Règle de Sécurité définit les méthodes et les mesures pour sécuriser l’ePHI à travers le stockage, la transmission et l’accès. Cela inclut des définitions pour des aspects de la sécurité des données comme le chiffrement HIPAA, la gestion des risques et les rapports.
  3. La Règle de Notification de Violation. Cet aspect régit les exigences pour les organisations lorsqu’une violation de sécurité se produit. Comprend des directives sur quand, comment et à quelle fréquence notifier ceux qui sont affectés par les violations de sécurité dans les systèmes de santé.

La Règle de Confidentialité est la pierre angulaire des autres règles car elle définit littéralement quelles données sont considérées comme personnelles et protégées. Elle établit les normes de protection, ce qui est requis par les organisations qui gèrent les ePHI de santé, et quand et comment ces ePHI peuvent être divulguées, le cas échéant.

Résumé de la Règle de Notification de Violation de la HIPAA

La Règle de Notification de Violation de la HIPAA se concentre sur la protection des informations médicales protégées des patients. Cette règle établit les exigences et les procédures que les entités couvertes et leurs associés d’affaires doivent suivre en cas d’accès non autorisé aux informations médicales protégées. La Règle de Notification de Violation vise à assurer une notification en temps opportun des individus affectés, du Département de la Santé et des Services Humains (HHS), et dans certains cas, des médias. En fin de compte, la Règle de Notification de Violation de la HIPAA est conçue pour atténuer le potentiel dommage d’une violation et prévenir les futures violations.

Selon la Règle de Notification de Violation, les entités couvertes doivent notifier les individus affectés sans retard déraisonnable mais au plus tard 60 jours après la découverte d’une violation. La notification devrait inclure une description de la violation, les types d’informations médicales protégées impliquées, les mesures que les individus devraient prendre pour se protéger, et les actions que l’organisation entreprend pour atténuer l’impact et prévenir les occurrences futures. Si la violation affecte 500 individus ou plus, l’entité couverte doit notifier le HHS simultanément et parfois alerter les médias. Pour les violations impliquant moins de 500 individus, l’entité couverte doit tenir un journal et le soumettre au HHS annuellement.

L’adhésion à la Règle de Notification de Violation de la HIPAA assure la transparence, une réponse en temps opportun et des efforts de remédiation, aidant à restaurer la confiance entre les patients et les prestataires de soins de santé tout en maintenant l’intégrité et la confidentialité des informations de santé sensibles.

Quand et comment devez-vous signaler une violation de la HIPAA ?

La Règle de Notification de Violation de la HIPAA définit une violation comme une divulgation non autorisée de ePHI. Toute divulgation non autorisée ou non permise est considérée comme une violation à moins que l’organisation touchée ne puisse prouver que l’accès illégal n’a pas compromis les données de santé confidentielles.

Selon la règle, l’organisation touchée doit notifier aux individus affectés les données qui ont été compromises par écrit ou par courrier électronique, et ils doivent le faire dans les 60 jours suivant la découverte de l’accès illégal. La lettre devrait inclure les informations suivantes :

  1. Une description de la violation de la HIPAA.
  2. Les types de données compromises.
  3. Les efforts de mitigation qui sont pris par l’organisation.
  4. Les mesures qu’un patient devrait prendre pour se protéger ou protéger ses données.
  5. Informations optionnelles pour la protection du crédit, y compris des ressources pour vérifier et surveiller leur crédit ou placer une notification de fraude sur leur rapport de crédit.

Si l’organisation ne peut raisonnablement contacter 10 personnes affectées ou plus (en raison d’informations obsolètes), elle doit également publier un avis sur son site web pendant au moins 90 jours après la découverte de la violation. S’il y a 10 personnes ou moins, l’organisation affectée peut utiliser des appels téléphoniques ou d’autres avis écrits.

Si la violation du HIPAA impacte plus de 500 personnes, alors l’organisation doit en outre fournir des informations à des médias importants dans l’État de juridiction.

Enfin, toutes les organisations affectées doivent informer le Secrétaire à la Santé par écrit ou via un formulaire en ligne.

Dans la plupart des cas, une violation doit être signalée. L’exception à cette règle est si l’organisation affectée peut démontrer qu’il y a une faible probabilité que les pirates aient accédé ou stocké des ePHI en effectuant une évaluation des risques basée sur les facteurs suivants :

  1. Les types de ePHI affectés.
  2. Le type de violation et les identifiants utilisés pour y accéder.
  3. La visualisation réelle (ou non) des données.
  4. L’ampleur où le risque contre l’utilisation ou le vol des ePHI a été atténué.

C’est-à-dire, si une organisation de santé peut montrer qu’une violation de données n’a pas exposé de données en raison de l’absence d’identifiants ou d’une combinaison de facteurs qui rendraient impossible son vol ou sa visualisation, alors l’organisation peut se dispenser d’informer les parties affectées. Cela peut ressembler à quelques erreurs :

  1. Un employé accède involontairement à des informations sur les patients par accident dans le cadre de son travail.
  2. Deux personnes autorisées exposent des données l’une à l’autre dans la même organisation ou une organisation différente.
  3. Les données compromises ne seront, très probablement, pas sauvegardées en dehors des systèmes sécurisés.

Que se passe-t-il après avoir fait une notification de violation de données HIPAA à HHS ?

Une fois qu’une entité couverte ou un associé commercial a notifié à HHS une violation de données, plusieurs étapes sont prises pour s’assurer que la violation est correctement traitée et que toutes les actions nécessaires sont mises en œuvre pour prévenir les occurrences futures. Il est crucial pour les organisations de comprendre le processus qui suit une notification de violation. Le processus comprend la préparation à d’éventuelles enquêtes, les efforts de remédiation et les sanctions.

Après avoir reçu la notification de violation, le Bureau des droits civils (OCR) de HHS examine les informations soumises et peut initier une enquête pour évaluer les circonstances entourant la violation. L’objectif principal de l’enquête est de déterminer s’il y a eu des violations des règles de confidentialité, de sécurité ou de notification de violation du HIPAA. L’OCR peut demander des informations ou des documents supplémentaires à l’entité couverte ou à l’associé commercial et effectuer des visites sur site si nécessaire.

Si l’OCR identifie une violation du HIPAA, l’entité couverte ou l’associé commercial peut faire face à des sanctions, y compris des amendes financières, des plans d’action correctifs et dans certains cas, un accord de résolution. La gravité des sanctions dépend de facteurs tels que l’ampleur de la violation, le niveau de négligence et l’historique de conformité de l’organisation. L’organisation doit coopérer pleinement avec l’OCR pendant l’enquête et démontrer des efforts pour remédier à tout problème identifié.

Pendant ce temps, l’organisation devrait également se concentrer sur le renforcement de ses pratiques de confidentialité et de sécurité, sur l’adressage des vulnérabilités et sur la mise en place de mesures correctives pour prévenir les violations futures. En améliorant leur conformité au HIPAA, les organisations peuvent minimiser les sanctions potentielles et mieux protéger les informations de santé de leurs patients.

Où devez-vous signaler les violations du HIPAA si vous êtes victime d’une violation de données ?

Si vous soupçonnez être victime d’une violation de données impliquant vos PHI et pensez qu’il y a eu une violation du HIPAA, il est essentiel de prendre des mesures et de signaler l’incident. Signaler les violations du HIPAA aide à garantir que les parties responsables sont tenues pour responsables et que des mesures sont prises pour prévenir des violations similaires à l’avenir.

La première étape pour signaler une violation du HIPAA est de contacter l’entité couverte, comme le fournisseur de soins de santé ou la compagnie d’assurance, responsable de la maintenance de vos PHI. Informez-les de la violation suspectée et demandez une enquête sur l’affaire. Ils sont tenus d’enquêter, de prendre des mesures correctives et d’informer les individus affectés conformément à la règle de notification de violation du HIPAA.

Si vous n’êtes pas satisfait de la réponse de l’entité couverte ou si vous pensez qu’ils ne prennent pas les mesures appropriées, vous pouvez déposer une plainte auprès de l’OCR du HHS.

Pour rappel, l’OCR est responsable de l’application des réglementations du HIPAA et de l’enquête sur les violations potentielles. Vous pouvez soumettre une plainte en ligne via le site web de l’OCR ou par courrier, fax ou email. Il est essentiel de déposer la plainte dans les 180 jours suivant votre première prise de conscience de la violation potentielle, bien que l’OCR puisse accorder une prolongation dans certaines circonstances.

En signalant les violations du HIPAA, vous jouez un rôle crucial dans le maintien de la confidentialité et de la sécurité de vos PHI et celles d’autres patients, en garantissant que les organisations de soins de santé respectent leurs responsabilités en vertu du HIPAA.

Que se passe-t-il si vous violez accidentellement la HIPAA?

Toutes les violations de la sécurité HIPAA ne sont pas dues à une négligence volontaire. Avec des exigences aussi complexes et des vecteurs d’attaque potentiels, il peut être compréhensible qu’une organisation manque accidentellement aux exigences de conformité HIPAA. Par exemple, des médecins peuvent s’envoyer des messages contenant des ePHI pour accélérer le traitement d’urgence. Dans ces cas, des systèmes sécurisés peuvent atténuer les conséquences plus importantes d’une divulgation sans compromettre la capacité d’un travailleur de la santé à agir rapidement et de manière décisive.

Il existe principalement plusieurs façons de violer accidentellement la HIPAA:

  1. Évitement intentionnel: Comme lorsqu’un médecin partage des informations en dehors des canaux conformes pour accélérer le traitement d’urgence.
  2. Exposition accidentelle: Divulgation faite sans intention de le faire.
  3. Divulgation intentionnelle: Soit en raison d’un vol ou d’un piratage. Se produit le plus souvent en raison d’un individu au sein de l’organisation.

Si vous ou votre organisation de santé violez accidentellement la HIPAA, vous devez le signaler dans les 60 jours suivant la découverte de la violation. Plus tôt vous envoyez la notification, mieux c’est, pour éviter les retombées des données perdues.

Suite à la violation accidentelle, remplissez toutes les exigences pour une violation de la HIPAA avec laquelle votre organisation doit se conformer (rapports, notifications, etc.). Il se peut que, puisque l’accès aux données était involontaire, dans ce cas, les exigences réelles de conformité pourraient être relativement petites.

Si la violation accidentelle était l’un des exemples potentiels ci-dessus (accédé de bonne foi en interne, entre deux personnes autorisées, ou il y a des preuves que les données ne seront pas conservées en dehors de l’organisation) alors vous n’avez peut-être pas à vous soucier trop de la violation.

Qualifier une violation d’accidentelle a un sens réel en ce qui concerne les amendes. Les pénalités pour les violations peuvent varier de 100 $ à 50 000 $ par incident (par enregistrement compromis) en fonction du type de données, de la source de la vulnérabilité et de savoir si elle était accidentelle ou due à une négligence volontaire.

Pourquoi le personnel doit être formé à signaler les violations de la HIPAA

La formation adéquate du personnel à signaler les violations de la HIPAA est essentielle pour maintenir la confidentialité et la sécurité des PHI des patients. Il y a plusieurs raisons à cela.

Tout d’abord, la formation du personnel aide à créer une culture de conformité et de sensibilisation au sein de l’organisation. En éduquant les employés sur l’importance des réglementations HIPAA et leur rôle dans la protection des PHI et de la confidentialité des patients, ils deviennent plus vigilants et proactifs pour identifier et traiter les risques potentiels. Cette sensibilisation accrue peut conduire à la prévention des violations et à une posture de sécurité plus robuste dans l’ensemble.

Deuxièmement, un personnel bien formé peut rapidement détecter et signaler les violations, garantissant que l’organisation peut immédiatement atténuer l’impact. Une notification et une réponse rapides sont essentielles pour limiter le préjudice potentiel pour les personnes concernées et minimiser l’exposition de l’organisation aux amendes et pénalités associées à la règle de notification de violation de la HIPAA.

De plus, la formation du personnel à signaler les violations de la HIPAA est cruciale pour maintenir la transparence et la responsabilité organisationnelles. Les employés doivent se sentir confiants pour signaler les violations ou les violations potentielles sans craindre de représailles, créant ainsi un environnement où la confidentialité et la sécurité sont prioritaires et activement soutenues.

Enfin, fournir au personnel les connaissances et les outils nécessaires pour signaler les violations de la HIPAA garantit que l’organisation se conforme à la HIPAA. Des mises à jour régulières de la formation et des rappels aident le personnel à rester informé sur les nouvelles menaces et les meilleures pratiques en évolution, renforçant ainsi l’engagement de l’organisation à maintenir la confidentialité et la sécurité des PHI.

Comment pouvez-vous atténuer l’impact d’une violation de la HIPAA?

Si une violation se produit, vous n’avez pas besoin de paniquer, mais vous devez prendre des mesures pour atténuer les dommages de la violation dès que possible.

  1. Effectuez une analyse de risque. Cette analyse décrit la chronologie de la violation, la cause et l’impact potentiel de la violation en fonction des informations recueillies. C’est là que vous pouvez déterminer où des violations peuvent avoir eu lieu et tracer la responsabilité à travers votre organisation. Vous voudrez également déterminer le type de données volées et qui a été affecté.
  2. Gérez toutes les exigences de notification que votre organisation peut avoir en fonction de la règle de notification de la HIPAA. Vous voudrez également contacter les forces de l’ordre ainsi que les firmes de sécurité tierces avec lesquelles vous avez des relations.
  3. Mettez en œuvre des mesures de sécurité spécifiques pour contrer la violation. Si la violation était associée à un mépris flagrant de la conformité, alors corriger le problème devrait être facile, si coûteux en termes de temps, d’argent et de réputation.

La meilleure atténuation, dans l’ensemble, est la prévention prédictive. Avoir des solutions conformes et sécurisées pour le stockage des données, la transmission et l’email conforme à la HIPAA tout en travaillant avec une entreprise experte et/ou un fournisseur de plateforme peut aider à prévenir les problèmes potentiels avant qu’ils ne deviennent de grandes violations.

Violations de données par les associés d’affaires

Les associés d’affaires sont des organisations tierces qui gèrent, stockent ou traitent des informations de santé protégées pour le compte d’entités couvertes, telles que les fournisseurs de soins de santé et les compagnies d’assurance. Comme les entités couvertes, les associés d’affaires doivent se conformer aux réglementations de confidentialité et de sécurité pour protéger les PHI qu’ils gèrent. Malheureusement, des violations de données peuvent encore se produire, et comprendre les causes et les conséquences communes de ces violations est essentiel pour les associés d’affaires et les entités couvertes.

Les violations de données impliquant des associés d’affaires peuvent résulter de divers facteurs, tels que l’erreur humaine, des mesures de sécurité inadéquates ou des cyberattaques ciblées. Ces violations peuvent entraîner la divulgation, l’altération ou la destruction non autorisées de PHI, mettant les patients en danger d’usurpation d’identité, de fraude financière et de perte de confidentialité. Les causes courantes incluent les campagnes de phishing, les politiques de mot de passe faibles, l’accès non autorisé, l’élimination inappropriée de PHI et les appareils perdus ou volés contenant des informations sensibles.

Lorsqu’une violation de données impliquant un associé d’affaires se produit, l’associé d’affaires et l’entité couverte doivent prendre des mesures immédiates pour évaluer l’étendue de la violation, identifier les individus affectés et atténuer les dommages potentiels. Conformément à la règle de notification de violation de la HIPAA, ils doivent notifier les individus affectés, le HHS OCR et dans certains cas, les médias sur la violation. Le non-respect de cette obligation peut entraîner des pénalités financières importantes, des dommages à la réputation et une perte de confiance parmi les patients et les partenaires.

Les partenaires commerciaux devraient mettre en œuvre des politiques de sécurité robustes pour prévenir les violations de données, effectuer des évaluations régulières des risques, fournir une formation aux membres de l’équipe et maintenir des plans de réponse aux incidents. En abordant de manière proactive les vulnérabilités potentielles et en se conformant aux réglementations HIPAA, les partenaires commerciaux peuvent mieux protéger les informations médicales protégées qu’ils gèrent et minimiser le risque de violations coûteuses.

Restez conforme à l’HIPAA et évitez les violations avec Kiteworks

Kiteworks offre aux entités couvertes et à leurs partenaires commerciaux une solution sécurisée et conforme de partage de fichiers et de transfert sécurisé de fichiers pour l’email, le partage sécurisé de fichiers, le transfert sécurisé de fichiers et le SFTP. Avec des contrôles d’accès granulaires et un chiffrement de premier ordre, Kiteworks garantit que seuls les utilisateurs autorisés ont accès aux informations médicales protégées, et que ces informations et autres informations sensibles restent privées en transit et au repos. Kiteworks s’intègre parfaitement à une gamme d’applications d’entreprise et d’infrastructure de sécurité, ce qui en fait un atout inestimable pour les organisations qui doivent gouverner, protéger et contrôler leur contenu sensible en conformité avec l’HIPAA et d’autres réglementations et normes de confidentialité des données.

De plus, Kiteworks offre une visibilité inégalée sur toutes les activités de fichiers, à savoir qui a envoyé quel fichier à qui, quand et comment, permettant aux entreprises de maintenir un contrôle total sur leurs documents et d’améliorer leur posture de sécurité globale. Avec Kiteworks, les organisations de santé peuvent naviguer en toute confiance dans un paysage numérique semé de risques et de menaces, sachant que leurs informations médicales protégées et autres contenus sensibles sont envoyés, partagés, reçus et stockés en toute sécurité.

Pour découvrir comment Kiteworks peut vous aider à atteindre la conformité à l’HIPAA, planifiez une démonstration personnalisée aujourd’hui.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks