What is HIPAA Compliance?

Les Loi sur la portabilité et l'accessibilité de l'assurance maladie (HIPAA) est un règlement conçu pour protéger les informations relatives aux soins de santé des patients aux États-Unis. Certaines organisations ayant accès à des informations de santé protégées (PHI) sont tenues de mettre en œuvre les contrôles de sécurité, les processus et les procédures décrits dans la réglementation HIPAA.

Fiche produit Blade Compliance (conformité) Demander une démo

What is HIPAA Compliance?

Qui doit se conformer à la loi HIPAA et pourquoi ?

L'HIPAA définit deux types d'organisations qui doivent se conformer à ses exigences :

  • Entités couvertes : L'HIPAA définit les "entités couvertes" comme des organisations de soins de santé et leurs employés qui ont accès aux PHI. Il s'agit des médecins, des infirmières et des compagnies d'assurance.
  • Associés commerciaux : En vertu de la loi HIPAA, les "associés commerciaux" sont des organisations qui fournissent aux entités couvertes des services impliquant l'accès aux informations personnelles. Par exemple, une organisation qui s'occupe de la facturation pour un prestataire de soins de santé a accès au nom, à l'adresse, etc. des patients, qui sont protégés en tant que PHI en vertu de la HIPAA.

 

En vertu de la loi HIPAA, les entités couvertes et les associés commerciaux doivent se conformer à la loi HIPAA. Les entités couvertes sont directement réglementées par l'Office for Civil Rights (OCR) du ministère de la santé et des services sociaux (HHS). Les exigences de l'HIPAA sont appliquées aux associés commerciaux par le biais de leurs contrats avec les entités couvertes.

 

Toutefois, le règlement ne s'applique qu'aux organisations qui répondent à la définition d'entités couvertes ou d'associés commerciaux au sens de la loi. Les autres organisations qui ont accès à des informations sur la santé mais qui ne les reçoivent pas d'entités couvertes ne sont pas soumises aux réglementations de l'HIPAA. Par exemple, les développeurs d'applications de santé et de fitness qui recueillent des informations sur la santé directement auprès des utilisateurs, mais qui ne sont pas des organismes de santé, ne sont pas tenus de se conformer à ses directives.

 

Cependant, ces organisations pourraient en bénéficier. L'HIPAA décrit les meilleures pratiques pour la protection des PHI et le respect de ces meilleures pratiques peut réduire l'exposition d'une organisation aux cyber-menaces ainsi que la probabilité et l'impact d'une violation potentielle des données. En outre, en cas de violation ou d'incident de sécurité, le respect du règlement permet de démontrer que l'entreprise a fait preuve de diligence raisonnable et s'est efforcée de protéger les données de ses clients.

Quelles sont les règles de l'HIPAA ?

L'HIPAA est divisée en deux règles principales : la règle de confidentialité et la règle de sécurité. À ces règles s'ajoutent la Breach Notification Rule, qui décrit comment les organisations doivent signaler une violation de PHI, et la Omnibus Rule, qui a étendu les exigences de l'HIPAA aux associés commerciaux.

Règle sur la protection de la vie privée. Les normes de confidentialité des informations de santé identifiables individuellement (règles de confidentialité) imposent aux organismes de soins de santé de protéger certains types d'informations de santé qui leur sont confiées. Le règlement sur la protection de la vie privée définit les cas dans lesquels il est possible d'accéder aux PHI et de les divulguer. Elle définit également les garanties que les entités couvertes doivent mettre en place pour protéger les PHI et donne aux patients certains droits concernant leurs PHI.

 

Règle de sécurité. Les normes de sécurité pour la protection des informations électroniques protégées sur la santé (Security Rule) décrivent les contrôles de sécurité informatique que les entreprises doivent mettre en place pour les informations protégées sur la santé (PHI) qui sont stockées ou transférées par voie électronique. Il fournit des contrôles, des processus et des procédures de sécurité informatique concrets que les organisations doivent mettre en place pour satisfaire aux exigences de protection des données énoncées dans le règlement sur la protection de la vie privée.

Les données protégées par l'HIPAA

La loi HIPAA est conçue pour protéger les informations personnelles fournies par les patients aux entités couvertes et à leurs partenaires commerciaux. Le HHS définit dix-huit types d'identifiants de PHI, notamment

  1. Nom
  2. Adresse
  3. Dates clés 
  4. Numéro de sécurité sociale
  5. Numéro de téléphone
  6. Adresse électronique
  7. Numéro de fax
  8. Numéro de bénéficiaire du régime de santé
  9. Numéro de dossier médical
  10. Numéro de certificat/licence
  11. Numéro de compte
  12. Identifiants de véhicules, numéros de série ou numéros de plaques d'immatriculation
  13. les identificateurs d'appareils ou les numéros de série
  14. Adresse IP
  15. URL de sites web
  16. Photos de face
  17. Identifiants biométriques tels que les empreintes digitales ou vocales
  18. Tout autre numéro, caractéristique ou code d'identification unique

Violations courantes de la loi HIPAA

HIPAA Conformité est obligatoire pour les entités couvertes, et ces organisations peuvent être pénalisées en cas de non-Conformité. L'HIPAA définit quatre niveaux de violation :

  • Niveau 1 : L'entité couverte n'était pas au courant de la violation, et la violation n'aurait pas pu être évitée de manière réaliste si l'entité couverte avait fait un effort de bonne foi pour se conformer à l'HIPAA. Les sanctions vont de 100 à 50 000 dollars.
  • Niveau 2 : L'entité couverte était au courant de la violation, mais celle-ci n'était pas évitable compte tenu des efforts déployés de bonne foi pour se conformer à l'HIPAA. Les sanctions vont de 1 000 à 50 000 dollars.
  • Niveau 3 : La violation est due à une "négligence délibérée" des règles de l'HIPAA que l'entité couverte s'est efforcée de corriger. Les sanctions vont de 10 000 à 50 000 dollars.
  • Niveau 4 : La violation est due à une "négligence délibérée" que l'entité couverte n'a pas tenté de corriger. Les sanctions commencent à 50 000 dollars.

La plupart des violations de la loi HIPAA comprennent la violation de PHI, intentionnellement ou non. Parmi les violations les plus courantes de la loi HIPAA, on peut citer

  • Appareil perdu ou volé
  • logiciel rançonneur et autre logiciel malveillant
  • Informations d'identification de l'utilisateur compromises
  • Partage accidentel de données par courrier électronique, médias sociaux, etc.
  • Effraction d'un bureau
  • Violation des dossiers médicaux électroniques (DME)

Liste de contrôle de la conformité HIPAA

L'obtention de la conformité HIPAA est un processus en plusieurs étapes. Voici quelques mesures clés à prendre :

  1. Déterminez vos obligations en matière de conformité : Comme indiqué précédemment, l'HIPAA s'applique aux entités couvertes et, par leur intermédiaire, à leurs partenaires commerciaux. En vertu de la loi HIPAA, les entités couvertes sont définies comme étant les prestataires de soins de santé, les plans de santé et les centres d'échange d'informations sur les soins de santé. Leurs partenaires commerciaux sont toutes les organisations avec lesquelles ils partagent des informations sur la santé publique. 
  2. Apprenez les règles de l'HIPAA : Les règles de confidentialité et de sécurité de l'HIPAA définissent les responsabilités d'une entité couverte ou d'un associé commercial dans le cadre de l'HIPAA. La compréhension des contrôles, des politiques et des processus requis est essentielle pour atteindre et maintenir la conformité. 
  3. Identifier l'étendue de la conformité : Le HHS définit dix-huit types de données qui sont considérées comme des PHI et doivent être protégées en vertu de la loi HIPAA. Il est essentiel de savoir où ces types de données sont stockés, traités et transmis dans l'environnement informatique d'une organisation pour déterminer quels systèmes et quel personnel sont soumis aux dispositions de l'HIPAA. 
  4. Perform a Gap Assessment: Une organisation peut avoir mis en place certains des contrôles HIPAA requis, mais d'autres peuvent manquer. Une évaluation des écarts par rapport aux exigences de l'HIPAA est nécessaire pour identifier les domaines dans lesquels l'entreprise ne satisfait pas aux exigences de conformité. 
  5. Déployer les contrôles manquants : Une évaluation des lacunes peut permettre d'identifier les domaines dans lesquels l'organisation n'est pas conforme. Après avoir identifié ces lacunes, élaborez et mettez en œuvre une stratégie pour les combler. 
  6. Créez la documentation requise : L'HIPAA exige que les entités couvertes disposent de certaines politiques et procédures documentées. Si des processus manquent ou ne sont pas documentés, générez les documents nécessaires. 
  7. Préparez-vous aux audits de conformité : Pour réussir un audit de conformité, il faut pouvoir démontrer à un auditeur que les contrôles, processus et procédures de sécurité d'une organisation répondent aux exigences du règlement. Élaborez un plan pour la réalisation de l'audit et rassemblez les données et les rapports nécessaires avant l'audit.

Comment Check Point peut vous aider

L'objectif principal de l'HIPAA est de protéger les PHI confiés aux entités couvertes et à leurs associés commerciaux. Les règles de confidentialité et de sécurité de l'HIPAA imposent aux organisations de contrôler et de surveiller l'accès aux PHI et de les protéger contre tout accès non autorisé.

Check Point offre une variété de solutions qui aident à les prestataires de soins de santé et d'autres organisations pour se conformer à l'HIPAA et à d'autres réglementations. Check Point CloudGuard performs Supervision de la conformitéLe système d'information sur la gestion des ressources humaines est un outil de gestion des ressources humaines, de collecte de données et de génération de rapports pour les environnements basés sur le cloud computing. Pour en savoir plus sur l'obtention de cloud Conformité avec CloudGuard, vous pouvez consulter les sites suivants inscrivez-vous pour un démo gratuit.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK