Qu'est-ce que la conformité HIPAA ?
La loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) de 1996 couvre toutes les entités de soins de santé américaines qui traitent des informations électroniques sur la santé des patients (ePHI). Le site Les règles de conformité HIPAA sont strictes et exigent le respect de plusieurs mesures de protection techniques, administratives, physiques et de la vie privée, qui sont toutes appliquées par le Département américain de la santé et des services sociaux (HHS).
Informatique en nuage conforme à la HIPAA
L’informatique en nuage conforme à l’HIPAA crée un ensemble unique de défis pour les organismes de santé américains, de nombreux professionnels de la santé choisissant de confier cette responsabilité à un partenaire d’hébergement en nuage.
Le respect strict des règles de sécurité et de confidentialité de l’HIPAA est obligatoire, et la signature d’un accord d’association commerciale (BAA) doit être conclu entre toutes les entités.
Garanties techniques
Ceux-ci se concentrent sur la mise en œuvre de contrôles de l’infrastructure du cloud pour protéger les ePHI. Les exigences obligatoires comprennent des contrôles d’accès pour les utilisateurs approuvés de la plateforme, l’utilisation de noms d’utilisateur uniques et l’application d’une politique de mot de passe forte sont attendues, en utilisant les éléments suivants L’authentification multifactorielle (MFA) et les listes de contrôle d’accès sont fortement recommandées.
Tous les ePHI doivent être cryptés en transit (réseau) et au repos (stockage), en utilisant au minimum la norme de cryptage AES256. De nombreux contrôles d’audit sont nécessaires pour tout matériel, logiciel ou infrastructure traitant des ePHI. Il est nécessaire d’activer des fonctions telles que la journalisation améliorée, l’audit de l’accès des utilisateurs, l’audit des autorisations et de l’utilisation du système.
Toute infrastructure en nuage doit être conforme aux niveaux appropriés de mises à jour de sécurité des micrologiciels et des logiciels (patching). Cette approche limite l’exposition des services de cloud computing aux vulnérabilités des systèmes d’exploitation et aux violations de données.
Toutes les entités du BAA ont la responsabilité de protéger l’intégrité des données ePHI. Les contrôles techniques sur les données garantissent qu’elles ne sont pas consultées, modifiées ou détruites d’une manière non approuvée. Les plates-formes de gestion des événements liés à la sécurité (SIEM) sont configurées pour auditer et alerter sur toute modification apportée aux ePHI, les alertes sont contrôlées et remontées si nécessaire.
Sauvegardes physiques
Des mesures de protection physique sont mises en place pour toutes les entités de la BAA, notamment en ce qui concerne les installations physiques (bâtiments), l’utilisation des postes de travail et l’étiquette des appareils électroniques. Des contrôles des bâtiments sont mis en place pour vérifier l’accès des employés aux bâtiments, aux salles de serveurs et aux installations hébergeant des ePHI. L’objectif principal est d’empêcher la falsification ou le vol des données ePHI. Tout accès peut être retracé et faire l’objet d’un rapport 24 heures sur 24, 7 jours sur 7.
Elle comprend également la création et le test d’une stratégie de reprise après sinistre (DR), l’objectif principal étant d’être capable de restaurer l’accès aux ePHI en cas d’incident majeur. Les scénarios courants comprennent l’accès à un centre de contrôle DR alternatif et à une solution technique DR hébergée dans d’autres locaux.
Selon le ministère de la santé, toute personne ou entité qui exerce des fonctions ou des activités pour le compte d'une entité couverte et qui demande à l'associé d'accéder aux renseignements médicaux personnels est considéré comme un associé. Cette personne ou cette organisation peut également fournir des services à une entité couverte. Il peut s'agir, par exemple, d'un consultant qui effectue des examens de l'utilisation des hôpitaux ou d'un avocat qui a accès aux RPS lorsqu'il fournit des services juridiques à un prestataire de soins de santé.
Health IT Security
L’étiquette des dispositifs est une exigence difficile, mais obligatoire, de l’HIPAA. Elle concerne tout dispositif numérique, station de travail/serveur et support numérique. Tous les terminaux informatiques sont protégés en standard par des mesures comprenant des écrans de verrouillage automatisés et un logiciel empêchant la copie de données à partir d’une clé USB.
Des contrôles supplémentaires sont mis en place sur la manière dont l’infrastructure de cloud computing est sauvegardée, y compris les politiques de conservation des données, les exigences de réplication et la redondance matérielle. Il existe des règles supplémentaires qui régissent la manière dont les données et les supports sont détruits, généralement par destruction certifiée.
Garanties administratives
Il s’agit des politiques et procédures qui régissent la conduite du personnel de l’entité BAA. Les exigences comprennent des mesures pour effectuer une évaluation des risques, la gestion des risques et l’application de rapports et de plans d’urgence.
Des responsables HIPAA dédiés sont affectés par chaque entité BAA, ces employés supervisent l’ensemble du paysage de la conformité. Veiller à ce que chaque processus convenu soit documenté et revu en permanence. D’autres tâches telles que l’établissement de rapports, la gestion des mots de passe, le contrôle des connexions et l’attribution de programmes de formation sont effectuées.
Les entités du BAA doivent savoir quels sont les ePHI conservés, et où ils résident sur l’infrastructure. Les utilisateurs doivent avoir un accès approprié aux DPI électroniques pour accomplir leur travail, mais cet accès doit être contrôlé et surveillé. Les droits d’accès doivent toujours être accordés selon le principe du moindre privilège.
Vie privée et application de la loi
Les règles de confidentialité et d’application sont la colle qui lie la législation HIPAA. La règle de confidentialité définit comment les ePHI peuvent être traités, utilisés ou divulgués par toutes les entités BAA. Le règlement relatif à la protection de la vie privée sous-tend un grand nombre des garanties administratives mentionnées ci-dessus, qui forment la politique de protection de la vie privée prééminente.
Qu'est-ce qu'un renseignement médical protégé ?
Les PHI désignent tout ce qui a trait à la santé, au traitement ou à la facturation. C’est tout ce qui peut identifier un patient, y compris :
- Nom
- Dates (par exemple, date de naissance, date du traitement)
- Localisation (adresse postale, code postal, etc.)
- Numéros de contact (numéro de téléphone, fax, etc.)
- Informations de contact sur le Web (courriel, URL ou IP)
- Numéros d’identification (sécurité sociale, licence, compte médical, VIN, etc.)
- Informations sur l’identité physique (photo, empreintes digitales, etc.)
Les patients ont le droit de consulter les informations médicales les concernant, le personnel est formé à la politique de confidentialité et des mesures sont mises en place pour limiter les violations de la règle, comme des procédures de licenciement. Toutes les entités BAA ont la responsabilité de s’assurer qu’il n’y a pas de divulgation d’ePHI, cependant, si des violations se produisent, il y a une procédure stricte de violation à suivre.
Si un employé d’une entreprise viole les dispositions de l’HIPAA, même involontairement, l’entreprise peut se voir infliger une amende allant jusqu’à 1,5 million de dollars (plafond annuel par entreprise). Parmi les infractions les plus courantes, on trouve les ePHI avec des informations manquantes, les entités qui négligent de signer le BAA, l’utilisation d’ordinateurs portables pour stocker les ePHI, le fait de jeter des documents de santé confidentiels. Notre guide sur les violations de l’HIPAA donne des détails importants sur les violations et les pratiques d’application.
Choisir un partenaire d'hébergement conforme à la HIPAA
Les conséquences d’une violation de l’HIPAA peuvent être extrêmes. Même si vous n’êtes pas condamné à des millions d’euros d’amende, ce n’est pas une bonne façon de dépenser de l’argent, et ce n’est pas amusant de se retrouver sur le Le mur de la honte HIPAA.
Pour ces raisons, il est extrêmement important de choisir un partenaire technologique spécialisé dans l’hébergement de soins de santé et qui est certifié SOC 2 TYPE II et SOC 3 TYPE II et audité HIPAA et HITECH, comme le fait Atlantic.Net. Leurs serveurs cloud SSD offrent une garantie de disponibilité de 100 % et peuvent être lancés en moins de 30 secondes. Ce ne sont là que deux des nombreuses raisons pour lesquelles ils ont mérité notre recommandation de choix n°1 pour Hébergement conforme à la loi HIPAA.