• Home
  • Blog
  • Qu’est-ce que la conformité HIPAA ? Liste de contrôle et guide HIPAA complet pour 2022
  • Blog
  • Qu’est-ce que la conformité HIPAA ? Liste de contrôle et guide HIPAA complet pour 2022

Qu’est-ce que la conformité HIPAA ? Liste de contrôle et guide HIPAA complet pour 2022

Signification de HIPAA

L’HIPAA est un acronyme qui signifie Health Insurance Portability and Accountability Act. Cette loi américaine a été conçue pour fournir des normes de confidentialité afin de protéger les dossiers médicaux des patients. Les informations relatives à la santé qui sont fournies aux plans de santé, aux hôpitaux, aux prestataires de soins de santé et aux médecins doivent toutes être protégées par l’HIPAA.

Qu'est-ce que la conformité HIPAA ?

La conformité à la loi HIPAA (Health Insurance Portability and Accountability Act) respecte les garanties physiques, administratives et techniques décrites dans la loi HIPAA.

Comment se conformer à la loi HIPAA ?

Il y a beaucoup de choses à réaliser pour devenir conforme à l’HIPAA. Depuis que le site a été adopté par le 104e Congrès des États-Unis et promulgué par le président Bill Clinton le 21 août 1996, il y a eu quatre amendements majeurs :

  • L’amendement à la règle de sécurité (2003)
  • L’amendement de la règle de confidentialité (2003)
  • La règle de notification des violations (2009)
  • La règle omnibus finale (2013)
Notre objectif est de passer en revue la liste de contrôle de la conformité HIPAA pour 2022 afin que vous puissiez vous assurer que vous êtes en conformité avec la loi HIPAA. N’oubliez pas de consulter notre Les meilleurs hébergeurs de sites web conformes à la loi HIPAA pour héberger le site web de votre entreprise.

Liste de contrôle de conformité HIPAA 2022 : Règles HIPAA

Image Source: https://www.atlantic.net/

Protections techniques

  • Cryptage du réseau : Tout ePHI doit répondre aux normes cryptographiques du NIST lorsqu’il est transmis sur un réseau externe.
  • Contrôler/enregistrer l’accès : Chaque utilisateur doit se voir attribuer un nom d’utilisateur unique et un code PIN contrôlés de manière centralisée. Une journalisation détaillée est nécessaire pour suivre tous les accès (et tentatives) aux ePHI.
  • Déconnexion automatique : Les utilisateurs doivent être déconnectés après un laps de temps spécifique, recommandé entre 30 secondes et 3 minutes.

Protections physiques

  • Contrôler l’accès : Les personnes qui ont un accès physique au stockage des données doivent être soigneusement suivies. Des mesures raisonnables doivent être prises pour empêcher toute entrée non autorisée.
  • Gérer les postes de travail : Une politique doit être rédigée pour définir les postes de travail qui peuvent avoir accès aux données de santé et ceux qui sont limités. Il doit décrire la manière dont un écran doit être protégé contre les parties et l’utilisation appropriée du poste de travail.
  • Protéger et suivre : Si un appareil mobile est utilisé par un utilisateur puis transmis à un autre utilisateur, il faut rédiger une politique relative aux appareils mobiles qui supprime les données avant que l’appareil ne soit remis à un autre utilisateur.

Protections administratives

  • Évaluations des risques : Une évaluation complète des risques doit être réalisée pour toutes les données relatives à la santé.
  • Former le personnel : Tous les employés doivent être formés à tous les protocoles d’accès aux ePHI et comprendre comment identifier et reconnaître les menaces potentielles de cybersécurité comme les attaques de phishing. Toutes les sessions de formation doivent être enregistrées et conservées.
  • Prévoir les imprévus : La continuité des activités doit être assurée en préparant des processus pour assurer la sécurité des données.
  • Bloquer l’accès : Vérifiez que les sous-traitants et autres parties n’ont pas reçu d’accès et ne peuvent pas consulter les données personnelles électroniques. Des accords commerciaux doivent être signés avec tous les partenaires.
  • Documenter les incidents de sécurité : Tout incident de sécurité doit être reconnu par le personnel et celui-ci doit le signaler.

Règle de confidentialité de l'HIPAA

  • Répondre aux demandes : Les demandes d’accès des patients doivent être traitées dans les 30 jours.
  • Informer les patients : Un APN est tenu d’informer les patients des politiques de partage des données.
  • Former le personnel : Tout le personnel doit être formé au respect de la vie privée et doit comprendre ce qui peut et ne peut pas être partagé en interne ou en externe.
  • Intégrité des ePHI : Des mesures appropriées doivent être prises pour maintenir l’intégrité des ePHI et des identifiants personnels individuels des patients.
  • Autorisation d’utiliser les données personnelles électroniques : La permission doit être accordée par le patient pour utiliser les DPHI expurgées à des fins de recherche ou de marketing.
  • Mise à jour des formulaires/copies : Les formulaires d’autorisation doivent faire référence aux changements dans le traitement des vaccinations scolaires, à la restriction des ePHI en ce qui concerne la fermeture des plans de santé, et aux droits des patients sur leurs dossiers électroniques.

Règle de notification des violations de l'HIPAA

  • Notifier les patients : Les patients et le département HHS doivent être informés de toute violation des ePHI. Si les dossiers de plus de 500 personnes ont été violés, les médias doivent être informés. Si la violation est inférieure à 500, un formulaire de piratage à petite échelle doit être soumis via le site Web de l’OCR. Toutes les notifications doivent être effectuées dans les 60 jours suivant leur découverte.
  • 4 éléments : Les messages de notification de violation doivent contenir quatre éléments, à savoir : Une description des ePHI et des identifiants personnels impliqués dans la violation, qui a obtenu un accès non autorisé, si les détails ont été consultés ou acquis, et le degré de réussite de l’atténuation des risques.

Règle HIPAA Omnibus

  • Actualiser les BAA : vous devez mettre à jour vos Business Associate Agreements (BAA) pour refléter les changements de la règle Omnibus.
  • Envoyez de nouvelles copies : De nouvelles copies du BAA doivent être envoyées et signées pour rester en conformité.
  • Mise à jour de la politique de confidentialité : Les politiques de confidentialité doivent être mises à jour pour refléter les changements de la règle Omnibus.
  • Moderniser les NPP : Le journal HIPAA conseille de “mettre à jour les NPP pour couvrir les types d’informations qui nécessitent une autorisation, le droit de refuser la correspondance à des fins de collecte de fonds et doit tenir compte des nouvelles exigences de notification des violations”.
  • Former le personnel : Tout le personnel doit être informé de la règle Omnibus par le biais d’une formation approfondie.

Les services de santé aux États-Unis ont des exigences normatives parmi les plus rigoureuses au monde. Les informations électroniques sur la santé des patients (ePHI) sont protégées par la législation introduite dans la loi de 1996 sur la portabilité et la responsabilité de l’assurance maladie. L’HIPAA et les amendements ultérieurs à la Security Rule et à la Privacy Rule édictent des mesures de contrôle strictes sur les ePHI.

Par conséquent, la législation HIPAA exige que plusieurs mesures de protection physiques, administratives et techniques soient mises en place avant l’hébergement des ePHI. Ces mesures ont conduit de nombreux professionnels de la santé à externaliser leurs services informatiques auprès de fournisseurs d’hébergement conformes à la loi HIPAA, beaucoup dans le but d’accélérer la transformation numérique et d’améliorer les capacités de collaboration du cloud VPS.

Les soins de santé et le cloud VPS ont une synergie dynamique et un potentiel réellement révolutionnaire. Il est possible qu’une législation stricte ait ralenti l’adoption des services de cloud VPS par le passé. Aujourd’hui, cependant, l’intégration des soins de santé dans le nuage se développe à un rythme important.

Que devez-vous rechercher lorsque vous choisissez votre fournisseur d’hébergement HIPAA ? Voici nos observations sur les raisons pour lesquelles les organismes de soins de santé se tournent vers le cloud.

1. Sécurité

Les meilleures pratiques en matière de sécurité constituent l’essence même de la législation HIPAA. Tous les règlements ont pour seul objectif de sécuriser les ePHI. C’est la seule raison pour laquelle l’HIPAA existe. Les partenaires hébergeurs ont le devoir de fournir une infrastructure conforme, sécurisée et robuste.

Le fournisseur d’hébergement et les tiers du champ d’application doivent conclure un accord d’association commerciale (BAA). Il incombe donc à toutes les parties de comprendre quels systèmes et quel emplacement géographique les données ePHI sont hébergées, transférées et stockées. Les données ePHI doivent être sécurisées en transit et au repos à tout moment.

L’accès des employés est contrôlé, audité et constamment maintenu en utilisant le principe du moindre privilège. Des contrôles physiques des bâtiments sont nécessaires pour vérifier l’accès aux centres de données hébergeant des ePHI et leur sortie. Certains fournisseurs d’hébergement cloud VPS font passer la sécurité au niveau supérieur en cryptant toutes les données HIPAA, même s’il ne s’agit que d’une recommandation de la législation.

Les administrateurs des fournisseurs de VPS en nuage sont responsables des mises à jour de sécurité, des mises à jour des micrologiciels et des activités d’analyse et de correction des vulnérabilités. Un antivirus de qualité professionnelle mis à jour est indispensable, de même qu’un système de prévention des intrusions (IPS) qui enregistre, vérifie et automatise les réponses 24 heures sur 24 et 7 jours sur 7 à une équipe d’experts en sécurité.

Les professionnels de la santé peuvent utiliser la sécurité HIPAA en tant que service et se connecter directement à la plateforme de sécurité de l’hébergeur. Il s’agit d’un avantage considérable pour l’organisme de santé et l’une des principales raisons pour lesquelles l’externalisation vers un fournisseur HIPAA est si populaire.

2. Continuité des activités et reprise après sinistre

La règle de sécurité HIPAA a ajouté un certain nombre d’exigences détaillées pour la planification de la continuité des activités et de la reprise après sinistre. La règle exige l’élaboration d’un processus à suivre en cas de scénario de crise ou de catastrophe.

Un plan de récupération des données doit également être mis en œuvre. Il s’agit d’un programme de sauvegarde et de protection des systèmes contenant des ePHI. Ceci est réalisé par le biais d’un calendrier de sauvegarde prédéfini et de capacités de réplication préalablement convenues dans le BAA. Les données sont normalement répliquées dans au moins un autre centre de données.

Un plan de reprise après sinistre (DRP) est établi, qui couvre les responsabilités techniques et administratives de l’hébergeur. Il s’agit notamment de la capacité de basculer les services commerciaux de base vers un autre site en cas de défaillance catastrophique, et de la capacité de récupérer et d’accéder aux données ePHI à partir d’une sauvegarde.

Tous les plans de continuité doivent être testés et revus au moins une fois par an. S’il n’existe pas de plan avant de faire équipe avec un partenaire d’hébergement HIPAA, une analyse de l’impact sur l’entreprise est nécessaire pour identifier et classer par ordre de priorité les composants informatiques critiques qui relèvent du plan.

La planification de la continuité des activités et de la reprise après sinistre est essentielle pour la conformité à la loi HIPAA. Cependant, les complexités techniques de la création d’une plateforme redondante et à sécurité intégrée sont difficiles à réaliser en interne. C’est une autre raison importante pour laquelle l’externalisation est si populaire. Les partenaires d’hébergement HIPAA disposent déjà de l’infrastructure en place et les organismes de santé n’ont qu’à se connecter au service.

3. Collaboration

Les applications réglementées par l’HIPAA sont conçues pour partager les ePHI entre les utilisateurs autorisés et les systèmes autorisés. Le partage des données ouvre un énorme potentiel de collaboration. Cette capacité accélère considérablement le diagnostic et offre aux professionnels de la santé un environnement de travail collaboratif et agile.

L’interopérabilité des données et l’informatique en nuage sécurisée permettent aux organismes de soins de santé de rester pertinents sur le lieu de travail moderne. Elle ouvre la porte à de nouvelles possibilités pour fournir de meilleurs soins aux patients. Plusieurs équipes peuvent travailler simultanément sur les mêmes projets, les communications sont améliorées grâce aux services de messagerie, aux communications de données 5G et aux outils de collaboration.

Les plateformes API permettent aux applications d’échanger des données et de partager des informations en toute sécurité. Les équipes situées dans des lieux géographiques différents peuvent collaborer à distance. Les applications médicales peuvent partager les données personnelles électroniques pour accélérer le processus de diagnostic.

Les équipes de soutien clinique bénéficient grandement du partage des informations médicales. Le partage d’images médicales, de résultats de tests historiques ou d’informations sur les antécédents familiaux améliore considérablement la qualité des soins. Les équipements médicaux peuvent se connecter directement aux services en nuage et partager instantanément les résultats médicaux, les photographies radiographiques ou les relevés du pouls du patient.

En plus de toutes ces capacités, l’internet des objets combiné à la collaboration en matière de données peut être utilisé pour créer d’énormes ensembles de données. Ces données peuvent être exploitées par des plateformes d’intelligence artificielle et d’apprentissage automatique qui recherchent des tendances et sont capables d’analyser d’énormes volumes de données en un rien de temps. Les médecins peuvent ainsi consacrer plus de temps au traitement des patients qu’à l’examen de piles de documents.

4. Évolutivité

Un autre avantage majeur de l’hébergement HIPAA est l’évolutivité des services en nuage. Les hôpitaux, les cliniques et les cabinets médicaux ingèrent d’énormes quantités de données. Les données sont stockées numériquement sur une plateforme sécurisée qui peut évoluer et protéger l’intégrité des données.

La taille des groupes médicaux augmente et le fournisseur d’hébergement doit grandir avec vous. Les plans de calcul et de réseau peuvent être mis à niveau avec un impact minimal, et des ressources peuvent être ajoutées aux serveurs en cliquant sur un bouton.

L’hébergement de bases de données en est un exemple. Les bases de données en nuage éliminent la complexité de la gestion des bases de données et peuvent être mises à l’échelle rapidement et à un coût raisonnable, souvent à la demande.

Le fournisseur d’hébergement gère l’ensemble du service en nuage, ce qui dispense un service informatique sur place de gérer et de maintenir les mises à niveau du système ou de la base de données. Le fournisseur est responsable de l’approvisionnement en logiciels, des correctifs de sécurité et de tout problème rencontré, tout en respectant un accord de niveau de service de 100 %.

5. Expérience

Un fournisseur d’hébergement ayant une grande expérience dans la fourniture de services de cloud conformes à la loi HIPAA peut faire la différence entre une migration vers le cloud réussie et sans heurts, ou une expérience difficile avec une courbe d’apprentissage abrupte, ce qui n’est pas idéal lorsqu’on envisage la conformité HIPAA pour les startups. Il est hautement souhaitable de choisir un partenaire d’hébergement conforme à la loi HIPAA, une organisation qui fait régulièrement l’objet d’un audit et qui publie les résultats de ses audits dans le secteur public.

L’expérience permet de concrétiser un certain nombre de services essentiels. La conformité est un facteur extrêmement important. Recherchez d’autres accréditations telles que les certifications SOC 2 TYPE II et SOC 3 TYPE II, et la conformité HITECH. Cela permet de garantir que le fournisseur d’hébergement HIPAA a fait l’objet d’un audit par un tiers indépendant qualifié et qu’il peut démontrer son engagement à fournir la meilleure sécurité informatique et un hébergement conforme.

Avec un fournisseur expérimenté, vous avez plus de chances d’atteindre les objectifs les plus élevés du secteur en matière d’accords de niveau de service (SLA), de temps de récupération et de points de récupération. Cela présente un avantage considérable dans les scénarios de catastrophe. L’assistance technique du fournisseur est également susceptible d’être considérablement améliorée s’il fournit des services HIPAA depuis longtemps.

Related Posts: