DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Conformité HIPAA

Conformité HIPAA

La Conformité HIPAA, ou l’Health Insurance Portability and Accountability Act, protège les informations sensibles des patients. Celle-ci a été établie en 1996 et contient différentes règles qui régulent comment les données de santé privées doivent être protégées, utilisées et divulguées à chaque étape de leur existence. Toutes les entités concernées, les associés commerciaux et les tiers travaillant avec des données sensibles doivent suivre ces règles et protéger les Informations de Santé Protégées (PHI). Cette loi affecte l’industrie de la santé aux États-Unis. La législation consiste en règles strictes de protection des données, car les données des patients sont des informations très attrayantes pour les criminels. La HIPAA est régulée par le Département de la Santé et des Services Sociaux (HHS) et appliquée par l’Office des Droits Civiques (OCR). Regardons de plus près les définitions et les règles pour clarifier comment être conforme à la HIPAA.

Définitions Principales

La HIPAA a des définitions importantes pour la compréhension. Nous allons les décrire ici.

PHI ou Informations de Santé Protégées est toutes les données liées aux soins de santé de chacun. Cela inclut des informations telles que le nom, l’adresse, la date de naissance, le numéro de sécurité sociale, et bien d’autres données sensibles comme les rapports sur tous les traitements médicaux, les conditions de santé mentale, les paiements, etc.

ePHI ou Informations de Santé Électroniques est la même chose que les PHI, mais toutes ces informations sont conservées, transmises et reçues sous format électronique.

Entités couvertes sont toutes les personnes qui travaillent avec des PHI. Elles peuvent être des médecins, des infirmières, tout autre personnel de santé ayant accès aux informations, des bureaux de dédouanement des soins de santé et des agences d’assurance. Il est important de mentionner que les entités couvertes sont responsables de signaler les violations et de payer des amendes si cela se produit.

Associés d’affaires sont toutes les personnes fournissant différents services aux entités couvertes et ayant accès aux PHI, par exemple, des avocats, des entreprises de TI, des comptables et d’autres personnels non médicaux.

Vous devez connaître ces éléments pour comprendre comment et avec qui la conformité HIPAA fonctionne.

Règles de Confidentialité et de Sécurité HIPAA

La Règle de Confidentialité HIPAA est une règle fondamentale de la loi. Elle s’applique uniquement aux entités couvertes, ce qui signifie que chaque fournisseur de soins de santé, bureau de dédouanement des soins de santé et autres agences de soins de santé doivent s’y conformer. Ce devrait être votre première étape vers la conformité HIPAA. Cette règle spécifie des mesures de protection pour les PHI, limite l’accès aux informations, et fournit des conditions pour l’utilisation et la divulgation des informations privées sans accord du patient. De plus, les patients ont certains droits spéciaux, par exemple demander des corrections de leurs PHI et obtenir une copie de ces informations.

La Règle de Sécurité HIPAA s’applique uniquement aux ePHI et ne traite pas des PHI transmises oralement ou par écrit. Cette règle spécifie des mesures de sécurité administratives et techniques que les entités couvertes doivent mettre en œuvre pour la protection des données. La Règle de Sécurité protège la confidentialité, l’intégrité et la disponibilité de toutes les données que les entités couvertes créent, maintiennent ou transmettent. De plus, il y a des points qui stipulent que vous devez identifier et éliminer les menaces à la sécurité de l’information. De plus, tout le personnel des entités couvertes doit se conformer aux exigences réglementaires. La Règle de Sécurité vous permet de choisir quelles solutions mettre en place pour les mesures de sécurité. Cela dépend de la taille, des ressources et de la nature de l’entité couverte.

Vous devez mettre en œuvre les mesures suivantes pour protéger l’information :

  • La sauvegarde technique consiste à protéger et à accorder l’accès aux informations. Si vous voulez être conforme à la HIPAA, vous devez vous assurer que les données sont sécurisées à toutes les étapes de leur existence en mettant en œuvre des politiques et des procédures. Cette sauvegarde se compose de 4 catégories : le contrôle d’accès, le contrôle d’audit, les contrôles d’intégrité et la sécurité des transmissions.
  • La sauvegarde physique consiste à prévenir l’accès physique aux ePHI, peu importe où elles sont placées. Seules les personnes autorisées doivent avoir accès à ces informations et à leur emplacement.
  • La sauvegarde administrative consiste à mettre en œuvre des politiques et des procédures. Les responsables de la confidentialité et de la sécurité seront responsables de la formation du personnel, de l’analyse et de l’identification des risques de sécurité, etc.

Violations Courantes

Pour être conforme à la HIPAA, vous devez comprendre que la plupart des violations sont internes. Si quelqu’un a égaré le papier contenant les informations d’un patient ou a laissé le lieu de travail déverrouillé par inadvertance, ce sont encore des violations. Voici quelques violations courantes :

  • Appareils volés avec des PHI ou des ePHI ;
  • Cyberattaques (logiciels malveillants, attaques de rançongiciel, etc.) ;
  • Cambriolage du bureau ;
  • Envoi des PHI à la mauvaise personne ou partenaire ;
  • Discussion des PHI en public ;
  • Publication des PHI sur les réseaux sociaux.

Pour vous protéger, vous devez analyser la nature de votre entreprise et les partenaires avec qui vous travaillez. Il est essentiel de travailler uniquement avec des partenaires également conformes à la HIPAA. Cela vous aidera à réduire la possibilité de recevoir des amendes si une violation se produit malgré tout.

La Règle de Notification des Violations HIPAA

Tout d’abord, nous devons clarifier ce qu’est une violation de données selon la HIPAA. Ici, nous avons qu’une violation est une « utilisation ou divulgation non autorisée compromettant la sécurité ou la confidentialité des informations de santé protégées ». En d’autres termes, une violation de données est simplement un accès non autorisé aux PHI. Vous pouvez prévenir les violations de données en utilisant des mesures de sécurité robustes, de la formation et des logiciels de détection des attaques et des menaces.

La Règle de Notification des Violations possède 2 types de violations qui diffèrent entre elles par le nombre d’individus affectés. Si une violation affecte moins de 500 individus, une entité couverte doit notifier le HHS une fois par an, au plus tard 60 jours avant la fin de l’année civile au cours de laquelle la violation a été découverte. De plus, les entités doivent notifier les individus affectés dans les 60 jours suivant la violation.

Si une violation affecte plus de 500 individus, une entité couverte doit notifier le HHS et l’OCR dans les 60 jours suivant la découverte de la violation. En outre, vous devez notifier les agences locales d’application de la loi. De plus, toutes les violations significatives sont affichées sur le Portail du Département de la Santé et des Services Sociaux des États-Unis.

Le Système d’Amendes et de Pénalités

Peu importe à quel point vous êtes préparé pour la conformité HIPAA, vous devez toujours être conscient des amendes et des pénalités. La HIPAA a 2 catégories de pénalités : Cause Raisonnable et Négligence Volontaire. La somme minimale des violations pour Cause Raisonnable est de 100 $ par incident, et la somme maximale pour les deux cas est de 50000 $ par incident.

Le montant dépend de votre connaissance de la violation et du degré de négligence. Si vous ne saviez pas à propos de la violation et ne pouviez pas la prévenir, la somme minimale sera de 100 $ par violation. Le niveau suivant est lorsque l’entité aurait dû connaître la violation, mais n’a pas pu la prévenir pour une raison quelconque. Cela coûtera à l’entité jusqu’à 50000 $. Si l’entité était négligente et n’a pas corrigé la violation dans les 30 jours, l’amende minimale sera de 50000 $ par violation. De plus, il peut y avoir une peine sous forme d’emprisonnement.

HIPAA et COVID-19

Depuis la pandémie, la situation dans l’industrie de la santé a changé. Et la HIPAA a changé aussi. Il y a de nouveaux bulletins, directives et autres éléments différents pour aider les entités et les associés commerciaux à réaliser la conformité en cette période. La chose la plus importante pour la conformité en ce moment est le travail à distance et la télésanté. Les PHI sont conservées à différents endroits, même sur les appareils des patients. C’est pourquoi les amendes et les pénalités ont été suspendues pendant un certain temps.

Mais malgré ce fait, tous les prestataires de soins de santé devraient protéger les informations des patients et utiliser des mesures supplémentaires pour protéger les informations sensibles. Vous devez revoir toutes les procédures et politiques pour réduire le risque de violation pendant cette période. De plus, la formation et l’éducation actives du personnel sur les règles de protection des PHI lors du travail à domicile vous aideront à réduire les risques de violation de données. Cela peut être une formation supplémentaire en plus de celle obligatoire annuelle. En outre, vous pouvez mettre en œuvre une authentification à deux facteurs ou des biométries pour les appareils contenant des PHI.

La HIPAA est l’une des réglementations les plus strictes et complexes en matière de protection des données sensibles. Elle a été créée spécialement pour garder les PHI des patients privées, quoi qu’il arrive. Pour être conforme à la HIPAA, vous devez tout documenter. Vous devez consigner toutes les violations, toutes les organisations avec lesquelles les PHI sont partagées. Vous devez également avoir des plans de correction et documenter chaque lacune qui a été corrigée et les dates auxquelles cela a été fait. Notre Conformité Réglementaire de Base de Données DataSunrise (DDRC) vous aidera à être conforme à la plupart des lois et règlements, y compris la HIPAA. Notre fonction de masquage obscurcit les données sensibles, de sorte que les cybercriminels n’auront pas les informations originales. De plus, nous proposons une évaluation des vulnérabilités pour vous permettre de trouver et de corriger les vulnérabilités afin d’éviter certaines cyberattaques. Avec une audit de base de données, vous pouvez surveiller l’activité de la base de données et donner différents niveaux d’accès. En outre, chez DataSunrise, nous pouvons trouver et masquer les données sensibles partout.

Suivant

Conformité PCI DSS

Conformité PCI DSS

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informations générales
Ventes
Service clientèle et support technique
Demandes de partenariat et d'alliance
Informations générales :
info@datasunrise.com
Ventes :
sales@datasunrise.com
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
partner@datasunrise.com