DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Conformité HIPAA

Conformité HIPAA

HIPAA, ou Health Insurance Portability and Accountability Act, protège les informations sensibles des patients. Elle a été établie en 1996 et contient différentes règles qui régulent la façon dont les données de soins de santé privées doivent être protégées, utilisées et divulguées à tout stade de leur existence. Tous les entités couvertes, les partenaires commerciaux et les tiers qui travaillent avec des données sensibles doivent suivre ces règles et protéger et sécuriser les Informations de Santé Protégées (IIP). Cette loi affecte le secteur de la santé aux États-Unis. La loi se compose de règles strictes de protection des données, car les données des patients sont des informations très attractives pour les criminels. HIPAA est régulée par le Département de la Santé et des Services Sociaux (HHS) et appliquée par le Bureau des Droits Civils (OCR). Regardons de plus près les définitions et les règles pour clarifier comment être conforme à HIPAA.

Principales définitions

HIPAA a quelques définitions importantes à comprendre. Nous allons les décrire ici.

IIP ou Informations de Santé Protégées est toutes les données associées aux soins de santé. Cela comprend des informations telles que le nom, l’adresse, la date de naissance, le numéro de sécurité sociale et de nombreuses autres données sensibles comme les rapports sur tous les traitements médicaux, les états de santé mentale, les paiements, etc.

ePHI ou Informations de Santé Électroniques est la même chose que l’IIP, mais toutes ces informations sont conservées, transmises et reçues au format électronique.

Entités couvertes désigne toutes les personnes qui travaillent avec les IIP. Cela peut inclure les médecins, les infirmières, tout autre personnel de santé ayant accès aux informations, les centres de traitement des données médicales et les agences d’assurance. Il est important de mentionner que les entités couvertes sont responsables de signaler les violations et de payer les amendes si elles ont lieu.

Partenaires commerciaux désigne toute personne fournissant différents services aux entités couvertes et ayant accès aux IIP, par exemple les avocats, les entreprises informatiques, les comptables et autres personnels non médicaux.

Vous devez connaître ces éléments pour comprendre comment et avec qui la conformité HIPAA fonctionne.

Règles de confidentialité et de sécurité HIPAA

La règle de confidentialité HIPAA est une règle fondamentale de la loi. Elle s’applique uniquement aux entités couvertes, ce qui signifie que chaque prestataire de soins de santé, centre de traitement des données médicales et autre agence de soins de santé doit se conformer à cette règle. Cela devrait être votre première étape vers la conformité HIPAA. Cette règle spécifie les mesures de sauvegarde pour les IIP, limite l’accès aux informations et prévoit les conditions d’utilisation et de divulgation des informations privées sans l’accord du patient. De plus, les patients ont certains droits spéciaux, par exemple demander des corrections de leurs IIP et obtenir une copie de ces informations.

La règle de sécurité HIPAA s’applique uniquement aux ePHI et ne traite pas les IIP transmises oralement ou par écrit. Cette règle spécifie les mesures de sauvegarde administratives et techniques que les entités couvertes doivent mettre en œuvre pour la protection des données. La règle de sécurité protège la confidentialité, l’intégrité et la disponibilité de toutes les données que les entités couvertes créent, maintiennent ou transmettent. De plus, il y a des points qui stipulent que vous devez identifier et éliminer les menaces à la sécurité de l’information. En outre, tout le personnel des entités couvertes doit se conformer aux exigences réglementaires. La règle de sécurité vous permet de choisir les solutions à mettre en œuvre pour les mesures de sécurité. Cela dépend de la taille, des ressources et de la nature de l’entité couverte.

Vous devez mettre en œuvre les mesures suivantes pour protéger les informations :

  • La sauvegarde technique concerne la protection et l’octroi de l’accès aux informations. Si vous souhaitez être conforme à HIPAA, vous devez vous assurer que les données sont sécurisées à toutes les étapes de leur existence en mettant en œuvre des politiques et des procédures. Cette sauvegarde se compose de 4 catégories : contrôle d’accès, contrôle d’audit, contrôles d’intégrité et sécurité des transmissions.
  • La sauvegarde physique consiste à empêcher l’accès physique aux ePHI, peu importe où elles se trouvent. Seules les personnes autorisées devraient avoir accès à ces informations et à leur emplacement.
  • La sauvegarde administrative concerne la mise en œuvre de politiques et de procédures. Les responsables de la confidentialité et de la sécurité seront responsables de la formation du personnel, de l’analyse et de l’identification des risques de sécurité, etc.

Violations courantes

Pour être conforme à HIPAA, vous devez comprendre que la plupart des violations sont internes. Si quelqu’un perd un papier contenant des informations sur un patient ou laisse son lieu de travail déverrouillé sans le vouloir, ce sont toujours des violations. Voici quelques violations courantes :

  • Dispositifs volés contenant des IIP ou ePHI;
  • Cyberattaques (logiciels malveillants, attaques par rançongiciels, etc.);
  • Cambriolage de bureaux;
  • Envoi de IIP à la mauvaise personne ou partenaire;
  • Discussion de IIP en public;
  • Publication de IIP sur les réseaux sociaux.

Pour vous protéger, vous devez analyser la nature de votre entreprise et les partenaires avec lesquels vous travaillez. Il est essentiel de ne travailler qu’avec des partenaires également conformes à HIPAA. Cela vous aidera à réduire la possibilité de recevoir des amendes en cas de violation.

La règle de notification des violations HIPAA

Tout d’abord, nous devons clarifier ce qu’est une violation de données selon HIPAA. Une violation est une “utilisation ou divulgation non autorisée qui compromet la sécurité ou la confidentialité des informations de santé protégées”. En d’autres termes, une violation de données est tout simplement un accès non autorisé aux IIP. Vous pouvez prévenir les violations de données en utilisant des mesures de sécurité robustes, la formation et des logiciels détectant les attaques et les menaces.

La règle de notification des violations distingue 2 types de violations qui diffèrent selon le nombre de personnes affectées. Si une violation affecte moins de 500 personnes, une entité couverte doit notifier le HHS une fois par an, au plus tard 60 jours avant la fin de l’année civile au cours de laquelle la violation a été découverte. En outre, les entités doivent notifier les personnes touchées dans les 60 jours après la survenue de la violation.

Si une violation affecte plus de 500 personnes, une entité couverte doit notifier le HHS et l’OCR dans les 60 jours suivant la découverte de la violation. De plus, vous devez notifier les agences locales d’application de la loi. En outre, toutes les violations significatives sont affichées sur le Portail du Département de la Santé et des Services Sociaux des États-Unis.

Le système d’amendes et de pénalités

Peu importe à quel point vous êtes bien préparé pour la conformité HIPAA, vous devez toujours être conscient des amendes et des pénalités. HIPAA a 2 catégories de pénalités : Cause raisonnable et Négligence volontaire. La somme minimale de la violation par cause raisonnable est de 100 $ par incident, et la somme maximale pour les deux cas est de 50000 $ par incident.

La somme dépend de votre connaissance d’une violation et du degré de négligence. Si vous ne saviez pas qu’une violation s’est produite et que vous ne pouviez pas l’empêcher, la somme minimale est de 100 $ par violation. Le niveau suivant est lorsque l’entité aurait dû savoir à propos de la violation, mais ne pouvait pas l’empêcher pour une raison quelconque. Cela coûtera à l’entité jusqu’à 50000 $. Si l’entité était négligente et n’a pas corrigé la violation dans les 30 jours, l’amende minimale sera de 50000 $ par violation. De plus, il peut y avoir une peine de prison.

HIPAA et COVID-19

Depuis la pandémie, la situation dans le secteur de la santé a changé. Et HIPAA a également changé. Il y a de nouveaux bulletins, des guides, et d’autres différentes choses pour aider les entités et les partenaires commerciaux à mener la conformité en cette période. Le point le plus important pour la conformité en cette période est le travail à distance et la télésanté. Les IIP sont conservées à différents endroits, même dans les appareils des patients. C’est pourquoi les pénalités et amendes ont été suspendues pendant un certain temps.

Mais malgré ce fait, tous les prestataires de soins de santé devraient sécuriser les informations des patients et utiliser des mesures supplémentaires pour protéger les informations sensibles. Vous devez revoir toutes les procédures et politiques pour réduire le risque de violation pendant cette période. De plus, une éducation et une formation actives du personnel sur la façon de protéger les IIP lors du travail à domicile vous aideront à réduire les risques de violation des données. Cela peut être une formation supplémentaire en plus de la formation annuelle obligatoire. De plus, vous pouvez mettre en œuvre une authentification à deux facteurs ou des biométries pour les appareils contenant des IIP.

HIPAA est l’une des réglementations les plus strictes et complexes pour protéger les données sensibles. Elle a été créée spécialement pour garder les IIP des patients privées, quoi qu’il en soit. Pour être conforme à HIPAA, vous devez documenter tout. Vous devez consigner toutes les violations, chaque organisation avec laquelle les IIP sont partagées. De plus, vous devez avoir des plans de remédiation et vous devez documenter chaque écart qui a été corrigé et les dates de correction. Notre gestionnaire de conformité DataSunrise (DDRC) vous aidera à être conforme à la plupart des actes et règlements, y compris HIPAA. Notre fonction de masquage camoufle les données sensibles, afin que les cybercriminels n’aient pas accès aux informations d’origine. De plus, nous offrons une évaluation des vulnérabilités qui vous permet de détecter et de remédier aux vulnérabilités pour éviter certaines cyberattaques. Grâce à un audit de base de données, vous pouvez surveiller l’activité de la base de données et attribuer différents niveaux d’accès. De plus, chez DataSunrise, nous pouvons trouver et masquer des données sensibles partout.

Suivant

Conformité PCI DSS

Conformité PCI DSS

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]