-
- Pourquoi la règle de sécurité HIPAA est-elle importante ?
- Aperçu de la règle de sécurité de l'HIPAA
- Exigences des règles de sécurité de l'HIPAA
- La règle de notification des brèches de l'HIPAA
- Conformité et application de la loi HIPAA
- Meilleures pratiques pour la conformité HIPAA
- Tendances potentielles de la règle de sécurité HIPAA
- FAQ sur la règle de sécurité HIPAA
Table des matières
Quelles sont les règles de sécurité de l'HIPAA ?
Table des matières
La règle de sécurité de la loi sur la portabilité et la comptabilité de l'assurance maladie (HIPAA) a été promulguée en 2005, neuf ans après l'adoption de cette loi par le Congrès américain. Selon le ministère américain de la santé et des services sociaux, la règle de sécurité établit des normes nationales pour protéger les informations personnelles électroniques sur la santé des individus créées, reçues, utilisées ou conservées par une entité couverte.
La règle de sécurité est un sous-ensemble de la règle de confidentialité de l'HIPAA, qui fournit des normes pour la sécurisation des informations de santé protégées (PHI).
Pourquoi la règle de sécurité HIPAA est-elle importante ?
Avant la promulgation de la loi HIPAA, il n'existait pas de normes, d'exigences ou de procédures pour protéger les informations relatives à la santé des patients. Avec la numérisation croissante de la prestation de soins, les prestataires ont dû saisir, stocker, partager et protéger des volumes de données de santé électroniques en croissance rapide dans leurs systèmes.
La règle de sécurité a constitué une avancée majeure pour la protection des informations numériques, essentielle pour garantir la confidentialité et établir la confiance entre les patients et les prestataires de soins.
Vidéo 1 : La cybersécurité dans le monde changeant des soins de santé
Aperçu de la règle de sécurité de l'HIPAA
La règle de sécurité établit des normes pour la protection des PHI et des informations personnelles identifiables (PII) des patients. Elle crée également un cadre de conformité réglementaire pour la protection des IPI et des règles concernant la notification des personnes concernées en cas de violation.
Objectif et champ d'application
Selon le HHS, la règle de sécurité est conçue pour garantir que les entités couvertes mettent en place les garanties nécessaires pour protéger les données de santé des patients et les IIP. Il s'agit d'une réponse à la croissance exponentielle des informations sur la santé publique entre les entités couvertes et les entités non couvertes.
Le champ d'application de la règle de sécurité est assez large, couvrant les plans de santé, les centres d'échange de soins de santé et tout prestataire de soins de santé qui transmet des informations sur la santé.
4 Objectifs principaux
1. Assurer la confidentialité des PHI électroniques (ePHI).
Alors que de plus en plus de données sur les patients sont disponibles sous forme numérique, la protection des données à caractère personnel est une exigence absolue.
2. Identifier les menaces raisonnablement prévisibles et s'en protéger.
Si toutes les cybermenaces ne peuvent pas être identifiées à l'avance, les entités couvertes ont la responsabilité de protéger les informations des patients contre les menaces déjà en jeu.
3. Protéger contre les utilisations ou divulgations inadmissibles.
Ce point est important pour les fournisseurs car il couvre les outils technologiques, le personnel et les processus.
4. Assurer la conformité du personnel de l'entité couverte.
Tous les membres des entités couvertes doivent prendre les mesures nécessaires pour garantir la confidentialité et la sécurité des données des patients. Cela signifie que les entités couvertes doivent sensibiliser les employés aux exigences des règles de sécurité et les former à la conformité.
Exigences des règles de sécurité de l'HIPAA
La règle de sécurité exige des garanties administratives, physiques et techniques appropriées pour assurer la confidentialité, l'intégrité et la sécurité des informations électroniques protégées sur la santé (PHI).
1. Garanties administratives
Les garanties administratives visent à identifier et à déterminer les risques potentiels pour les PHI et à mettre en place des mesures qui réduisent les risques et les vulnérabilités en matière de sécurité. Elles prévoient également qu'un responsable de la sécurité soit tenu d'élaborer et de mettre en œuvre les règles et procédures de sécurité de l'entité couverte. Les prestataires sont également tenus d'évaluer régulièrement l'efficacité de leurs lignes directrices en matière de sécurité pour répondre aux exigences de la règle de sécurité de l'HIPAA.
2. Garanties physiques
Les garanties physiques couvrent des questions telles que la limitation de l'accès physique non autorisé aux installations, tout en permettant l'accès autorisé. Les entités couvertes sont également tenues de déployer des politiques et des procédures couvrant le traitement adéquat des données stockées électroniquement et des supports électroniques contenant des IIP et des IPS.
3. Garanties techniques
Les garanties techniques sont conçues pour mettre en place les politiques techniques adéquates qui garantissent que seules les personnes dûment autorisées peuvent accéder aux documents numériques et autres informations électroniques. Il s'agit non seulement du matériel, des logiciels et des services nécessaires à la saisie, au stockage et à la gestion des dossiers médicaux et de santé, mais aussi des références de sécurité et des procédures d'authentification qui régissent l'accès.
Ils comprennent également le cryptage et d'autres technologies conçues pour protéger contre l'accès inapproprié aux PHI et ePHI sur un réseau numérique.
La règle de notification des brèches de l'HIPAA
Le HHS définit une violation de données comme une utilisation ou une divulgation inadmissible en vertu de la règle de confidentialité qui compromet la sécurité ou la confidentialité des PHI. La prévention des brèches est une priorité incontestable pour les organisations de prestation de soins, et ce pour de nombreuses raisons. Toutefois, en cas de violation, la règle HIPAA Breach Notification Rule impose aux entités couvertes par la HIPAA et à leurs associés commerciaux de fournir une notification à la suite d'une violation de PHI non sécurisés.
En cas de violation de PHI non sécurisés, les entités couvertes doivent notifier la violation aux personnes concernées. Cette notification se fait généralement par courrier physique ou, si le patient a choisi de recevoir la correspondance de l'entité couverte par voie électronique, l'alerte peut se faire par courriel.
Les entités couvertes doivent également avertir le secrétaire du HHS de la violation et, dans certains cas, peuvent être amenées à avertir les médias. En outre, les associés commerciaux tiers doivent également alerter les personnes concernées si la violation a lieu chez eux ou par leur intermédiaire.
Conformité et application de la loi HIPAA
Le Bureau des droits civils du ministère de la santé et des services sociaux (HHS Office for Civil Rights) veille à la conformité et à l'application de la loi HIPAA pour la plupart des entités couvertes par la loi HIPAA. Parce qu'il est considéré comme un organisme chargé de l'application de la loi, la plupart des activités entreprises par l'Office des droits civils sont privées et ne sont généralement pas rendues publiques.
Les dispositions relatives à la conformité font partie de la règle d'application de la HIPAA, qui couvre les enquêtes, les sanctions civiles pécuniaires potentielles en cas de violation et les procédures d'audition.
Meilleures pratiques pour la conformité HIPAA
Les entités couvertes doivent adopter des pratiques commerciales, technologiques et opérationnelles intelligentes afin de s'assurer qu'elles sont en permanence en conformité avec la loi HIPAA. Celles-ci doivent couvrir des étapes telles que l'évaluation des risques, la surveillance des activités potentiellement inhabituelles du système, l'élaboration de rôles et de responsabilités clairs et les procédures de test en cas de violation des données ePHI.
Bien entendu, la mise en place des outils technologiques, des applications et des services adéquats est essentielle à l'établissement d'un cadre de conformité HIPAA approprié.
HHS fournit également des outils précieux pour aider les entités couvertes à comprendre les meilleures pratiques en matière de conformité à la loi HIPAA. L'Office for Civil Rights a produit une présentation vidéo à l'intention des entités couvertes par l'HIPAA et des associés commerciaux sur les "pratiques de sécurité reconnues". Les thèmes abordés sont les suivants
- L'amendement HITECH de 2021 concernant les pratiques de sécurité reconnues
- Comment les entités réglementées peuvent-elles démontrer que des pratiques de sécurité reconnues sont en place ?
- Comment l'OCR demande des preuves de pratiques de sécurité reconnues
- Ressources pour des informations sur les pratiques de sécurité reconnues
- Réponses de l'OCR aux questions sur les pratiques de sécurité reconnues
Vidéo 2 : Présentation vidéo des pratiques de sécurité reconnues par l'OCR
La formation interne avec les employés - praticiens, personnel médical, informatique, cybersécurité et tous les employés opérationnels - devrait faire partie d'un régime régulier pour s'assurer que l'ensemble de l'organisation prend les bonnes mesures pour sécuriser les ePHI et les PII.
Tendances potentielles de la règle de sécurité HIPAA
Depuis son entrée en vigueur, l'HIPAA est un texte législatif dynamique, qui fait régulièrement l'objet de mises à jour et d'extensions afin de refléter les changements intervenus dans le secteur des soins de santé et l'utilisation accrue de la technologie numérique. Voici quelques-uns des domaines clés que les décideurs des entités couvertes doivent comprendre et prendre en compte :
1. Renforcement des mesures de cybersécurité
En raison de l'évolution constante du paysage des menaces, les organismes de soins de santé doivent mettre en place les budgets, les processus, l'expertise et les outils nécessaires pour défendre l'organisation contre les menaces qui émergent rapidement.
2. Technologies émergentes
Les pare-feu nouvelle génération, les outils anti-ransomware, les services de renseignement sur les menaces, la sécurité du cloud, la gestion des identités, la détection et la réponse gérées, la sécurité des terminaux et la sécurité de l'Internet des objets médicaux (IoMT) sont des éléments essentiels d'un cadre technologique plus large en matière de cybersécurité.
3. Renforcement de la confidentialité des données et du consentement
Les organisations de soins de santé sont de plus en plus chargées de se conformer à des réglementations plus strictes en matière de confidentialité des données et de consentement, telles que le Règlement général sur la protection des données (RGPD) dans l'UE et les réglementations similaires actuellement en place à travers les États-Unis.
4. Gestion des fournisseurs tiers
Les associés commerciaux - personnes ou entités qui utilisent ou divulguent des informations sur la santé publique pour le compte d'une entité couverte - doivent également se conformer à la règle de sécurité. Les fournisseurs doivent contrôler régulièrement et systématiquement la manière dont les associés commerciaux et les autres tiers interagissent avec les RPS et les IPI, et s'assurer qu'ils suivent les lignes directrices appropriées pour le traitement et la protection de ces données.
5. Amélioration de la collaboration et du partage d'informations.
Tout comme les réglementations HIPAA en général, et la règle de sécurité en particulier, sont en constante évolution, les étapes nécessaires pour garantir la conformité et la confidentialité des données des patients le sont également.
L'augmentation spectaculaire du recours à des soins de santé spécialisés signifie que les informations sur les patients sont partagées plus fréquemment et avec un plus grand nombre de systèmes. Cela augmente les risques de violations et de problèmes réglementaires, ce qui incite les organisations à trouver davantage de moyens de collaborer pour protéger les données des patients, en particulier dans les processus de prestation de soins de santé interconnectés.
La diversité de la continuité des soins - hôpitaux, établissements de soins aigus, soins d'urgence, cabinets médicaux, soins ambulatoires et télémédecine - fait que cette tendance à une plus grande collaboration entre les prestataires est particulièrement cruciale pour l'accomplissement de la mission.
Découvrez comment Palo Alto Networks est le leader de choix en matière de cybersécurité pour les hôpitaux et les systèmes de santé du monde entier. Visitez https://www.paloaltonetworks.com/industry/healthcare.
FAQ sur la règle de sécurité HIPAA
Les cyberattaques contre les organisations de soins de santé menacent de perturber les opérations et d'avoir un impact sur la vie privée des patients. La règle de sécurité HIPAA garantit que chaque hôpital et système de santé dispose d'un environnement de cybersécurité solide qui empêche la compromission d'informations confidentielles.
La règle de sécurité HIPAA permet aux organisations de choisir leurs propres fournisseurs et solutions de cybersécurité, de sorte que chaque approche sera différente. Cependant, nous suggérons une approche de bout en bout qui protège l'ensemble de votre environnement, comme la cybersecurity consolidation, qui couvre toutes vos bases, y compris les réseaux, les clouds, les terminaux, les appareils et les utilisateurs.
La cybersécurité est absolument essentielle pour la conformité à la loi HIPAA. Mais surtout, une approche solide de la cybersécurité garantit que les violations et les perturbations ne se produisent pas, et que les organisations n'ont jamais à notifier les parties concernées ou le HHS d'une violation.
