Guide de conformité HIPAA pour les entreprises
Lors de la manipulation d’informations médicales personnelles, la conformité HIPAA est indispensable pour votre entreprise et la confidentialité de vos clients.
Qu’est-ce que la conformité HIPAA ? La conformité HIPAA suit la Health Insurance Portability and Accountability Act, qui spécifie les réglementations requises des individus et des entités qui gèrent des informations médicales protégées.
Une Liste Complète des Exigences de Conformité HIPAA
Qu’est-ce que l’HIPAA ?
La Health Insurance Portability and Accountability Act est une loi de 1996 adoptée par le Congrès pour établir des normes nationales autour de la protection des informations de santé privées. Avant cette loi, il n’y avait pas de normes nationales pour sécuriser les informations des patients. L’HIPAA a été motivée par une préoccupation du Congrès selon laquelle ce type d’information était trop important pour rester en dehors de la surveillance et de la réglementation.
Signée en loi par le président Bill Clinton le 21 août 1996, l’HIPAA établit certaines exigences et normes pour les comportements des prestataires de soins de santé. Celles-ci incluent quelques réglementations de base :
- Les prestataires de soins de santé ne doivent pas divulguer les informations des patients à des tiers sans l’autorisation explicite du patient.
- Les prestataires doivent également mettre en place des mesures de sécurité appropriées pour garantir que les informations des patients ne soient pas divulguées lors du traitement ou des opérations commerciales.
- Les dossiers papier traditionnels doivent être remplacés par une tenue de dossiers 100% numérique (et des contrôles de sécurité appropriés) avec l’ajout du HITECH Act en 2009.
Pour régir l’industrie de la santé, le gouvernement met en place quelques définitions de base :
- Informations médicales protégées : Les PHI sont la pierre angulaire de toutes les réglementations et représentent les informations identifiables concernant un patient relatives à son traitement ou au paiement de celui-ci. Cela peut inclure des informations médicales, des notes de médecins, des informations de pharmacie et des informations personnelles, telles que des adresses et des informations de paiement rendues dans le cadre du traitement. Les PHI doivent être protégées par les prestataires de soins de santé à travers des contrôles techniques et administratifs. Elles ne doivent jamais être divulguées par les prestataires sans l’autorisation directe du patient.
- Entités couvertes : Les entités couvertes sont les organisations réglementées dans l’industrie de la santé, soumises à la gouvernance et aux pénalités en vertu de l’HIPAA. Les EC incluent les hôpitaux, les compagnies d’assurance, les cabinets de médecins et les pratiques privées.
- Associés commerciaux : Les vendeurs et partenaires tiers des EC qui fournissent des services tels que le traitement des paiements, les applications cloud et le stockage de fichiers sont des associés commerciaux. Les AC ne travaillent pas directement avec les patients, mais ils fournissent des services qui gèrent les PHI. Sous la loi HIPAA moderne, les AC sont tout aussi responsables de la conformité que les EC. Cette responsabilité est codifiée dans des accords d’associé commercial ; des contrats requis entre les EC et les AC.
Quelles sont les exigences de conformité HIPAA?
Comme tout autre cadre, l’HIPAA a une série d’exigences de conformité que les EC et les AC doivent respecter. Ces exigences sont réparties sous quelques règles majeures qui incluent les suivantes :
- La Règle de Confidentialité : La règle de confidentialité est l’épine dorsale des réglementations de santé, énonçant les exigences de base des EC et des AC pour protéger la confidentialité de leurs patients. Principalement, ces organisations ne sont pas autorisées à divulguer les PHI sauf dans des circonstances très spécifiques.
- La Règle de Sécurité : La Règle de Sécurité décrit les exigences de sécurité pour les EC et les AC sous l’HIPAA. Cette règle comprend des directives pour les contrôles techniques, administratifs et physiques que les organisations doivent utiliser pour protéger les PHI.
- La Règle de Notification de Violation : Si le système d’un EC ou d’un AC est violé et que les PHI sont divulguées, ces organisations ont des obligations spécifiques envers le public, leurs patients et le gouvernement concernant la manière dont ils les informent et les mesures qu’ils prennent pour atténuer le problème.
- La Règle Omnibus : La Règle Omnibus, ajoutée à l’HIPAA en 2013, a mis à jour une grande partie du langage de l’HIPAA pour aborder les défis modernes. Notamment, elle a également restructuré la Règle de Notification de Violation pour mieux gérer les notifications. Elle a ajouté des exigences et obligations étendues pour les AC travaillant avec les PHI.
Quelles sont les exigences de sécurité pour la règle de sécurité HIPAA ?
La règle de sécurité régit les aspects techniques, administratifs et physiques de la protection des informations médicales protégées (PHI) :
- Technique : Concernant les contrôles et mesures de sécurité comme le chiffrement, les pare-feu, les logiciels malveillants, les configurations réseau, l’email, la sécurité des applications, le partage de fichiers conforme à HIPAA, etc.
- Administratif : Concernant les politiques, procédures et programmes en place pour maintenir et renforcer les efforts de sécurité, incluant la gestion des risques, la formation et l’éducation continue, et la gouvernance des données.
- Physique : Concernant la protection des emplacements et des dispositifs tels que les caméras et les verrous sur les centres de données et les bureaux, et les protections sur les postes de travail et les dispositifs mobiles.
Au cœur de ces règles se trouvent des directives plutôt que des plans précis. Par exemple, les exigences de sécurité technique ne sont pas spécifiées à un niveau logiciel ou de version. Au lieu de cela, la règle spécifie des exigences basées sur les technologies disponibles les plus sécurisées et légitimes.
La sécurité administrative est souvent la moins concrète de ces exigences. Les organisations doivent comprendre le processus de gestion de la sécurité des contrôles administratifs :
- Analyse des risques : Les CE et les BA doivent effectuer des évaluations précises et approfondies des risques potentiels et des vulnérabilités pour les PHI.
- Gestion des risques : Les organisations doivent utiliser l’analyse des risques pour informer les politiques de gestion afin de gérer, atténuer et réduire les risques et les vulnérabilités pour les PHI.
- Politique de sanction : Les organisations doivent avoir des politiques spécifiques pour les sanctions applicables aux employés qui enfreignent la conformité.
- Examen de l’activité du système d’information : Les organisations doivent régulièrement examiner les journaux d’audit, les rapports, les rapports d’accès et les rapports d’incidents de sécurité pour informer l’évaluation des risques et l’optimisation. L’évaluation des risques est la mesure et l’adressage des risques potentiels dans l’infrastructure informatique et la construction de politiques autour de ces évaluations.
Ces politiques incluent également la mise en œuvre de politiques pour conserver les données des patients pendant une certaine période, en fonction des informations et de leur utilisation.
De plus, les contrôles physiques sont souvent les plus négligés en raison d’un monde mobile moderne. Par exemple, en 2017, Concentra Health Services a payé environ 1,7 million de dollars pour régler des violations liées à un ordinateur portable volé qui n’était pas sécurisé, exposant des PHI. Sous HIPAA, les employés doivent contrôler et gérer les dispositifs, sécuriser ces dispositifs contre l’accès physique, et tous les centres de données contenant des PHI doivent avoir des verrous physiques et une surveillance en place. Enfin, tout support physique contenant des PHI doit être correctement éliminé afin que les PHI restantes ne puissent pas en être extraites.
Quelles sont les exigences en vertu de la règle de notification de violation ?
La conformité comprend comment un CE ou un BA doit répondre à une violation de HIPAA. À savoir, ces organisations doivent avoir en place un plan qui permet une notification étendue des parties affectées.
Les exigences pour la conformité sous la règle de notification de violation incluent les suivantes :
- Les organisations doivent notifier les individus affectés par les violations de données. Cette notification doit se faire sous forme de courrier de première classe ou d’email (si autorisé par le patient). Supposons que l’organisation dispose d’informations obsolètes pour dix patients affectés ou plus. Dans ce cas, elle doit également publier des notifications de violation sur son site web pendant au moins 90 jours, incluant un numéro d’information gratuit.
- Les violations affectant 500 patients dans une seule juridiction doivent en outre notifier les médias importants sous forme de communiqué de presse au plus tard 60 jours après la découverte de la violation.
- Dans tous les cas, l’organisation doit notifier le bureau du Secrétaire à la Santé et aux Services Humains (HHS). Si la violation affecte plus de 500 patients, elle doit le faire dans les 60 jours. Si elle concerne moins de 500 patients, l’organisation peut fournir des notifications de violation annuellement.
- Les associés d’affaires doivent notifier les CE partenaires de toute violation dans les 60 jours suivant sa découverte.
- Les CE et les BA doivent prouver qu’ils ont respecté ces exigences.
Maintenir la conformité HIPAA avec la technologie sécurisée
La conformité HIPAA est l’une des réglementations de conformité les plus strictes aux États-Unis, et les organisations travaillant dans le secteur de la santé en tant qu’entités couvertes ou associés d’affaires doivent respecter ces exigences sans faute. Ces réglementations s’appliquent à toutes les technologies et pratiques—il est crucial pour les organisations d’utiliser une technologie conforme.
Pour le contenu sensible envoyé par email, le partage de fichiers, le transfert sécurisé de fichiers, les interfaces de programmation d’applications (API) et les formulaires Web, Kiteworks fournit une gouvernance, une conformité et une sécurité complètes. Planifiez une démonstration sur mesure pour en savoir plus.