Liste de contrôle de conformité HIPAA
La conformité réglementaire est une expression qui fait frissonner même l’administrateur réseau le plus expérimenté. Depuis le Loi sur la portabilité et la responsabilité en matière d'assurance maladie ou HIPAA a été introduite en 1996, les entités couvertes détenant des informations de santé protégées (PHI) ou des informations de santé protégées électroniquement (ePHI) ont été sous pression pour assurer leur sécurité.
Les organisations qui ne parviennent pas à protéger ces données s’exposent à de graves conséquences financières, en fonction de leur niveau de sensibilisation. Annuel Objectifs HIPAA peut coûter jusqu'à 25 000 $ pour les organisations non conformes qui n'avaient aucune connaissance d'actes répréhensibles, 100 000 $ pour celles qui ont un motif raisonnable, 250 000 $ pour une négligence délibérée – corrigée et 1,5 million de dollars pour une négligence délibérée – non corrigée (qui serait ajustée en fonction de l'inflation).
Malheureusement, se conformer à la réglementation ne se résume pas à remplir quelques formulaires. La croissance du cloud computing et la lutte du secteur de la santé pour empêcher la divulgation des données des patients nécessitent une approche pratique de la sécurité des réseaux et des contrôles d’accès internes.
Dans cet article, nous allons examiner la réglementation HIPAA et vous fournir une liste de contrôle de conformité HIPAA pour vous aider à rester du bon côté de la réglementation et à protéger les informations de santé protégées des patients.
Qu’est-ce que la loi HIPAA ?
La HIPAA a été mise en place pour réglementer le traitement des informations de santé protégées. La loi a créé des normes à l’échelle de l’industrie en matière de traitement des données, de cybersécurité, d’initié, d’accès et de facturation électronique. L'une des réglementations les plus importantes qui ressortent des règles est que les données médicales doivent rester confidentielles .
Les réglementations s'appliquent aux entités couvertes, aux assureurs et aux chambres de compensation (qui traitent les transactions entre les entités couvertes et les assureurs). Si le prestataire de soins ne soumet pas de transaction électronique pour le paiement de l’assurance pour le traitement fourni aux patients, la HIPAA ne s’applique pas à eux.
Il convient également de noter le rôle des associés. Les associés commerciaux sont des entreprises qui fournissent des services nécessitant un accès persistant à des informations de santé protégées et sont soumises à la réglementation.
L’idée derrière la HIPAA est que les données des patients doivent être protégées contre les fraudeurs et autres entités malveillantes. À l’ère du cloud computing ; la diversité des points d’entrée rend la protection de ces données complexe. Toutes vos ressources physiques et virtuelles doivent être sécurisées contre les cyber-attaquants afin de protéger les données des patients.
Cependant, la conformité HIPAA n’est pas seulement une question de sécurité du réseau, mais également d’accès interne. Vous devez avoir mis en place des plans pour contrôler l'accès interne aux données des patients et garantir que le personnel respecte les exigences minimales d'utilisation et de divulgation.
Ces restrictions ont été mises en place pour permettre au secteur de la santé de réduire la divulgation inappropriée d'informations sur les patients. Tout le personnel et les associés doivent s'assurer de travailler en parallèle avec vos processus de sécurité réseau et ne pas compter uniquement sur eux pour protéger les données des patients.
La règle de confidentialité HIPAA
Le Règle de confidentialité HIPAA dicte la manière dont les PHI peuvent être consultées et gérées. La règle s'applique uniquement aux entités couvertes et stipule que des procédures doivent être mises en place pour protéger la confidentialité des données des patients. Cependant, les exigences en matière de règles de confidentialité peuvent également être intégrées aux accords de partenariat commercial.
Au-delà de l’exigence fondamentale de protéger les données des patients, les entreprises doivent également soutenir les droits des patients sur ces données. Il existe trois droits énoncés dans la HIPAA auxquels tous les patients ont droit :
- autoriser la divulgation de leurs PHI
- demander à tout moment l’accès à une copie de son dossier médical
- demander des corrections à leurs dossiers
Pour le détailler davantage, la règle de confidentialité HIPAA stipule que le consentement est requis de la part du patient afin de divulguer les données PHI. Dans le cas où un patient demande l’accès à ses données, les organisations disposent de 30 jours pour répondre. Ne pas répondre à temps peut exposer une entreprise à des responsabilités juridiques et à des amendes potentielles.
La règle de sécurité HIPAA
Le Règle de sécurité HIPAA est une exigence de sécurité qui décrit comment les ePHI doivent être gérées. La règle stipule que les entreprises doivent « mettre en œuvre les garanties nécessaires » pour protéger les données des patients. La règle de sécurité HIPAA et la règle de confidentialité HIPAA sont étroitement liées mais distinctes, car elles ont été mises en œuvre à trois ans d'intervalle.
Même si les garanties elles-mêmes ne sont pas ambiguës, la manière dont une entité détermine le niveau des « garanties nécessaires » et les met en œuvre de manière raisonnable et appropriée est plus complexe. Pour simplifier les exigences, la HIPAA divise les garanties en trois sections principales :
- Garanties administratives
- Garanties techniques
- Protections physiques
Garanties administratives
La règle de sécurité HIPAA définit les garanties administratives comme « des actions administratives, ainsi que des politiques et procédures visant à gérer la sélection, le développement, la mise en œuvre et le maintien de mesures de sécurité visant à protéger les informations électroniques sur la santé ». Il indique également que la gestion de la conduite du personnel fait partie de cette responsabilité.
Les garanties administratives suggèrent que les entreprises doivent mettre en œuvre des processus administratifs qui contrôlent l'accès aux données des patients et fournir une formation supplémentaire pour permettre aux employés d'interagir avec les informations en toute sécurité. Pour gérer la conduite du personnel, un employé doit être nommé pour gérer les politiques et procédures HIPAA.
Sauvegardes physiques
L'exigence de protection physique concerne la sécurisation des installations où se trouvent les données des patients et des ressources utilisées pour accéder aux données. Le contrôle de l’accès à ces zones est l’un des principaux messages à retenir de cette section.
Vous devez mettre en place des mesures pour contrôler l'accès à l'endroit où les données des patients sont traitées, protéger les appareils contre tout accès non autorisé (en utilisant des méthodes telles que l'authentification à deux facteurs) et pour contrôler/enregistrer les mouvements des appareils à l'intérieur ou à l'extérieur de l'établissement.
Sauvegardes techniques
Les « garanties techniques » sont un terme utilisé pour désigner les politiques et procédures techniques qui protègent les données des patients. L'authentification, les contrôles d'audit, les rapports d'audit, la tenue de registres, les contrôles d'accès et les déconnexions automatiques sont autant de mesures que les entreprises peuvent mettre en œuvre pour répondre à ces critères. Des mesures doivent également être mises en place pour garantir la sécurité des données, qu’elles soient stockées sur un appareil ou déplacées entre des emplacements.
Le récent déplacement de nombreux outils professionnels couramment utilisés vers le cloud crée des complications supplémentaires en matière de protection des données pour la conformité HIPAA. L'emplacement de Microsoft 365, de Google Workspaces et d'autres suites de productivité fréquemment utilisées pour gérer et accéder aux PHI signifie que non seulement vos magasins de données doivent être protégés, mais que les applications qui accèdent régulièrement aux PHI et les connexions à celles-ci doivent également être protégées. étroitement protégé. Heureusement, le domaine émergent de la sécurité des systèmes hybrides spécialisés répond à ces besoins. Vous pouvez combiner le contrôle d'accès aux applications et la protection des connexions avec des systèmes tels quePérimètre 81.
Vous devez également effectuer une évaluation des risques pour identifier les facteurs de risque et les menaces pour la sécurité des données ePHI. Vous devez alors prendre des mesures pour faire face à ces menaces spécifiques. L’exigence de garanties techniques est l’un de ces domaines dans lesquels l’embauche d’un consultant HIPAA qualifié portera ses fruits, car il s’assurera qu’il n’y a aucune lacune.
Coupon Périmètre 81Économisez 20 % sur les forfaits annuels Obtenez une offre > Coupon appliqué automatiquementLa règle de notification de violation
Le Règle de notification de violation précise comment les entreprises doivent réagir aux violations de données. La règle stipule que les organisations doivent informer les individus, les médias ou le secrétaire du HHS en cas de violation de données. Une violation est définie comme « une utilisation ou une divulgation interdite en vertu de la règle de confidentialité qui compromet la sécurité ou la confidentialité des informations de santé protégées ».
Suite à une violation, vous devez informer les parties concernées dès que possible mais au plus tard 60 jours après l'événement . Lors de la rédaction de la notification, vous devrez indiquer : quels identifiants personnels ont été exposés, la personne qui a utilisé l'ePHI, si l'ePHI a été acquise ou consultée et si le risque de dommage a été atténué.
Le signalement est un autre élément essentiel de la règle de notification des violations. Les violations plus petites affectant moins de 500 personnes doivent être signalées via le Site Internet du HHS chaque année (si plus de 500 personnes sont concernées, vous devez également contacter les médias). Surveiller de près les violations au cas par cas pour évaluer les dommages et réagir en conséquence est la clé du succès.
La liste de contrôle
Pour vous aider à rester conforme à la HIPAA, nous avons compilé une brève liste d'étapes que vous pouvez suivre ci-dessous. Veuillez noter que nous vous recommandons de faire appel à un consultant HIPAA expérimenté pour protéger vos données. Votre consultant sera en mesure d’effectuer une évaluation complète de vos pratiques de sécurité actuelles et d’identifier les domaines à améliorer.
Effectuer une évaluation des risques
La première chose que vous devez faire lors de la préparation à la conformité HIPAA est d’évaluer l’état de préparation global de votre entreprise. Ce que vous devez faire pour vous conformer à la réglementation dépend de vos processus de cybersécurité actuels. Réaliser une évaluation des risques qui évalue la manière dont les données PHI et ePHI sont gérées vous montrera les lacunes de votre politique de cybersécurité.
Pour de meilleurs résultats, travaillez avec un consultant en conformité HIPAA. Le consultant évaluera vos pratiques actuelles par rapport aux exigences du protocole d'audit OCR et vous fournira une liste de recommandations pour vous aider à vous conformer. Ils vous indiqueront également quand vous serez prêt à démarrer le processus de certification.
Travailler avec un expert est bénéfique car vous pourrez vous appuyer sur son expérience pour trouver des vulnérabilités que vous auriez pu négliger. Un consultant expérimenté aura une compréhension approfondie des exigences HIPAA et vous donnera les meilleures chances d’obtenir votre certification.
Remédier aux risques de conformité et affiner les processus
Lorsque les résultats de l’évaluation initiale montrent que vous avez des facteurs de risque à gérer, il est temps de modifier vos processus. Si vous travaillez avec des conseillers pour vous aider dans l’évaluation, ils pourront alors vous fournir des conseils spécifiques sur les politiques et procédures que vous devez mettre en œuvre.
Pour commencer, vous souhaiterez résoudre des problèmes de conformité plus petits avant d’essayer d’atteindre des objectifs plus larges. La mise en œuvre de mesures de base telles que la formation des employés aux pratiques de cybersécurité, aux directives d'utilisation minimale, aux directives de divulgation et à l'utilisation de l'authentification à deux facteurs sur les appareils peut aider à démarrer du bon pied.
À partir de là, vous pouvez commencer à définir des objectifs de remédiation plus complexes qui vous indiqueront les processus à prioriser. Bien que la sécurité du réseau soit très importante, il est essentiel que les employés soient conscients de l'importance des contrôles d'accès internes et évitent autant que possible de divulguer les informations sur les patients.
Gérer les risques à long terme (avec des outils de surveillance réseau)
Atteindre la conformité HIPAA n’est pas un effort ponctuel mais un défi constant. Votre stratégie à long terme s’articulera autour d’une gestion continue des risques pour garantir la sécurité des données des patients.
Un outil de surveillance du réseau ne vous assurera pas à lui seul la conformité, mais il peut vous aider à gérer certains de vos risques (à condition que vos contrôles d'accès internes soient respectés par les employés).
Vous souhaitez notamment utiliser un outil qui :
- utilise des analyses de vulnérabilité
- détecte les événements réseau
- analyse les journaux d'audit
- visualise les composants HIPAA avec une carte topologique
- surveille les connexions
- automatise l'analyse des événements
- et automatise les rapports de conformité.
Bien que vous puissiez tenter de surveiller les risques HIPAA avec plusieurs produits logiciels, il est beaucoup plus facile d'utiliser une plate-forme unifiée afin de pouvoir tout gérer au même endroit. Gardez à l’esprit qu’il suffit d’une seule vulnérabilité pour qu’un attaquant accède aux données confidentielles.
Conditions de conformité
Des problèmes surviennent lorsque les entreprises sous-traitent une partie de leur traitement ou stockage de données à des sociétés externes. Dans ces circonstances, l’entreprise dépend de la conformité de ces fournisseurs de services gérés (MSP) également à la norme HIPAA. La conformité doit donc être une condition de tout contrat signé pour des services informatiques externalisés.
L'exigence d'une chaîne de confiance entre une entreprise soumise aux obligations HIPAA et les entreprises qui la servent confère une grande responsabilité aux MSP. Sans la capacité de démontrer leur conformité à la loi HIPAA, les MSP ne pourront pas soumissionner pour des travaux auprès d'entreprises du secteur de la santé. Cela crée un impératif pour les MSP de se conformer à la loi HIPAA.
Comme indiqué ci-dessus, le moyen le plus simple de se conformer aux réglementations HIPAA consiste à acheter une plate-forme de produits logiciels déjà conformes aux spécifications HIPAA.
Les MSP ont besoin d'utilitaires d'accès à distance et d'outils d'administration système. Ils ont également besoin de plates-formes d'assistance pour l'accès des utilisateurs et l'assistance technique. Les utilitaires techniques d'une plate-forme MSP sont collectivement appelés système de surveillance et de gestion à distance (RMM). Les outils RMM ont accès à l'ensemble du système client et sont responsables de la sauvegarde et de l'archivage des données. Ils doivent donc être conçus en tenant compte des normes HIPAA.
Les outils nécessaires au MSP pour gérer son activité comprennent la gestion des équipes, la gestion des clients et la gestion des contrats. Cette catégorie d'utilitaires nécessite également un coffre-fort de mots de passe pour conserver les détails du compte d'accès de chaque client – et les conserver séparés et sécurisés. Les outils de gestion d'entreprise MSP sont connus sous le nom d'« automatisation des services professionnels » (PSA). Étant donné que le système PSA inclut des droits d'accès et des informations sensibles sur les entreprises clientes, il doit également être conforme aux exigences HIPAA.
fichiers.comdélivre à ses clients un BAA. Le service fonctionne comme un système de gestion de fichiers, comprenant un service de transfert et de distribution de fichiers. Alors que les sociétés concurrentes tentent d'éviter la conformité HIPAA, en s'appuyant sur leur rôle de transporteur, Files.com emprunte la voie complète de la conformité HIPAA.
files.com Commencez un essai GRATUIT de 7 jours
Vous obtenez un BAA avec le service proposé parExaVaultaussi. Cette plateforme de stockage cloud est administrée dans des centres de données qui mettent en œuvre des mesures de sécurité physique suffisantes qui valent à l'entreprise la certification ISO 27001. Vous pouvez obtenir un30 jours d'essai gratuitd'ExaVault.
ExaVault.com Commencez un essai GRATUIT de 30 jours
Consultez un consultant HIPAA expérimenté
Les défis liés au respect de la HIPAA sont considérables. Un petit oubli peut entraîner la divulgation d’informations privées sur les patients. Se renseigner sur les règles de la réglementation et faire appel à un consultant HIPAA expérimenté vous aidera à mettre en œuvre la meilleure protection pour votre entreprise et vos patients.
Travailler avec un consultant réduit le risque de lacunes en matière de conformité qui pourraient compromettre les PHI. Même s'il est possible d'y aller seul, il existe un risque plus élevé de mal interpréter le niveau de protection dont vous avez besoin pour protéger les données des patients. Un consultant expérimenté peut faciliter le processus et fermer la porte à des passifs financiers.
FAQ sur la liste de contrôle de conformité HIPAA
Quelles sont les 5 étapes vers la conformité HIPAA ?
Mettre en œuvre un plan de conformité HIPAA par étapes :
- Nommer un responsable de la confidentialité et de la sécuritéqui veillera à ce que le plan soit défini et mis en œuvre.
- Effectuer une évaluation des risques, qui identifie les vulnérabilités du système, les emplacements et types de données sensibles, ainsi que les risques liés aux tiers.
- Créer des politiques de confidentialité et de sécuritéqui spécifient les priorités de protection du système
- Organiser des accords de partenariat commercialqui constituent une exigence de la HIPAA pour partager la responsabilité avec les fournisseurs de systèmes qui géreront les données.
- Former les employésdans les meilleures pratiques et communiquer les conséquences de la divulgation des données.
Quelles sont les 10 violations HIPAA les plus courantes ?
Les 10 violations HIPAA les plus courantes sont :
- Tenir des registres non sécurisés
- Ne pas chiffrer les données.
- Intrusion du système
- Indiscrétion des employés
- Utilisation abusive procédurale des données
- Utilisation abusive des données par les employés
- Corruption des données ou suppression partielle qui change leur signification
- Suivi d'activité inadéquat
- Des dissimulations
- Protection insuffisante des équipements ayant accès aux données
Quelle est la clé de la conformité HIPAA ?
Un problème courant rencontré lorsque vous essayez d’atteindre la conformité HIPAA est que vous pouvez être déçu par des processus qui échappent à votre contrôle. Il s’agit d’un risque tiers et il concerne les politiques de sécurité des données des fournisseurs sur lesquels vous comptez. Des exemples de ces tiers sont les fournisseurs de stockage cloud, les services de traitement de données et les fournisseurs de services gérés qui surveillent les performances du système. Lorsque votre conformité est évaluée, les performances des entreprises avec lesquelles vous travaillez sont incluses dans l'examen et cela s'étend aux conformités qui les soutiennent si ces services de niveau inférieur traitent également les données sensibles que vous détenez.
Quelles informations sont protégées par HIPAA ?
HIPAA se préoccupe de la protection des informations personnelles liées à la santé des particuliers. C’est ce qu’on appelle les « informations de santé protégées » ou PHI. Alors que de nombreuses normes de protection des données, telles que le RGPD, s'étendent uniquement aux données conservées sur des supports numériques, la HIPAA exige la sécurité des données pour toutes les formes de stockage de données, y compris les enregistrements papier et également la divulgation orale.