Les Loi sur la portabilité et l'accessibilité de l'assurance maladie (HIPAA) est un règlement conçu pour protéger les informations relatives aux soins de santé des patients aux États-Unis. Certaines organisations ayant accès à des informations de santé protégées (PHI) sont tenues de mettre en œuvre les contrôles de sécurité, les processus et les procédures décrits dans la réglementation HIPAA.
L'HIPAA définit deux types d'organisations qui doivent se conformer à ses exigences :
En vertu de la loi HIPAA, les entités couvertes et les associés commerciaux doivent se conformer à la loi HIPAA. Les entités couvertes sont directement réglementées par l'Office for Civil Rights (OCR) du ministère de la santé et des services sociaux (HHS). Les exigences de l'HIPAA sont appliquées aux associés commerciaux par le biais de leurs contrats avec les entités couvertes.
Toutefois, le règlement ne s'applique qu'aux organisations qui répondent à la définition d'entités couvertes ou d'associés commerciaux au sens de la loi. Les autres organisations qui ont accès à des informations sur la santé mais qui ne les reçoivent pas d'entités couvertes ne sont pas soumises aux réglementations de l'HIPAA. Par exemple, les développeurs d'applications de santé et de fitness qui recueillent des informations sur la santé directement auprès des utilisateurs, mais qui ne sont pas des organismes de santé, ne sont pas tenus de se conformer à ses directives.
Cependant, ces organisations pourraient en bénéficier. L'HIPAA décrit les meilleures pratiques pour la protection des PHI et le respect de ces meilleures pratiques peut réduire l'exposition d'une organisation aux cyber-menaces ainsi que la probabilité et l'impact d'une violation potentielle des données. En outre, en cas de violation ou d'incident de sécurité, le respect du règlement permet de démontrer que l'entreprise a fait preuve de diligence raisonnable et s'est efforcée de protéger les données de ses clients.
L'HIPAA est divisée en deux règles principales : la règle de confidentialité et la règle de sécurité. À ces règles s'ajoutent la Breach Notification Rule, qui décrit comment les organisations doivent signaler une violation de PHI, et la Omnibus Rule, qui a étendu les exigences de l'HIPAA aux associés commerciaux.
Règle sur la protection de la vie privée. Les normes de confidentialité des informations de santé identifiables individuellement (règles de confidentialité) imposent aux organismes de soins de santé de protéger certains types d'informations de santé qui leur sont confiées. Le règlement sur la protection de la vie privée définit les cas dans lesquels il est possible d'accéder aux PHI et de les divulguer. Elle définit également les garanties que les entités couvertes doivent mettre en place pour protéger les PHI et donne aux patients certains droits concernant leurs PHI.
Règle de sécurité. Les normes de sécurité pour la protection des informations électroniques protégées sur la santé (Security Rule) décrivent les contrôles de sécurité informatique que les entreprises doivent mettre en place pour les informations protégées sur la santé (PHI) qui sont stockées ou transférées par voie électronique. Il fournit des contrôles, des processus et des procédures de sécurité informatique concrets que les organisations doivent mettre en place pour satisfaire aux exigences de protection des données énoncées dans le règlement sur la protection de la vie privée.
La loi HIPAA est conçue pour protéger les informations personnelles fournies par les patients aux entités couvertes et à leurs partenaires commerciaux. Le HHS définit dix-huit types d'identifiants de PHI, notamment
HIPAA Conformité est obligatoire pour les entités couvertes, et ces organisations peuvent être pénalisées en cas de non-Conformité. L'HIPAA définit quatre niveaux de violation :
La plupart des violations de la loi HIPAA comprennent la violation de PHI, intentionnellement ou non. Parmi les violations les plus courantes de la loi HIPAA, on peut citer
L'obtention de la conformité HIPAA est un processus en plusieurs étapes. Voici quelques mesures clés à prendre :
L'objectif principal de l'HIPAA est de protéger les PHI confiés aux entités couvertes et à leurs associés commerciaux. Les règles de confidentialité et de sécurité de l'HIPAA imposent aux organisations de contrôler et de surveiller l'accès aux PHI et de les protéger contre tout accès non autorisé.
Point de contrôle offre une variété de solutions qui aident à les prestataires de soins de santé et d'autres organisations pour se conformer à l'HIPAA et à d'autres réglementations. Point de contrôle CloudGuard performs Supervision de la conformitéLe système d'information sur la gestion des ressources humaines est un outil de gestion des ressources humaines, de collecte de données et de génération de rapports pour les environnements basés sur le cloud computing. Pour en savoir plus sur l'obtention de cloud Conformité avec CloudGuard, vous pouvez consulter les sites suivants inscrivez-vous pour un démo gratuit.