Votre checklist pour être conforme à la HIPAA

La Health Insurance Portability and Accountability Act, ou HIPAA, est un cadre réglementaire instauré en 1996 et géré par le Department of Health and Human Services (HHS) ainsi que l’Office for Civil Rights (OCR). Il définit les obligations légales des organisations en matière de gestion des données de santé, notamment les droits à la confidentialité des patients, les contrôles de sécurité appropriés pour protéger la confidentialité des données et les exigences imposées aux organismes de santé en cas de violation de ces données par un tiers malveillant.

Des réglementations sont nécessaires pour garantir la confidentialité des informations médicales des patients, en raison de l’essor de la gestion électronique des dossiers, du transfert numérique des données et des services cloud.

Par conséquent, la sécurité physique des données, les normes de chiffrement utilisées pour leur protection, ainsi que les procédures de documentation, de transmission et de stockage des données, sont des éléments essentiels de la conformité HIPAA.

Dans cet article, nous allons examiner de près la conformité HIPAA, les acteurs concernés, les obligations à remplir pour prouver la conformité, les risques liés à la non-conformité, les stratégies clés pour démontrer la conformité HIPAA, et bien plus encore.

Quelles organisations doivent être conformes à la HIPAA ?

La conformité HIPAA concerne toute organisation ou personne qui crée, reçoit, conserve ou transmet des informations médicales protégées (PHI). Cela inclut les prestataires de soins de santé tels que les médecins et hôpitaux, les mutuelles et compagnies d’assurance santé, ainsi que toute autre organisation liée au secteur de la santé.

La conformité HIPAA s’applique également aux partenaires commerciaux, comme les sociétés de facturation tierces, les transcripteurs et les prestataires de services informatiques. En définitive, toute entité qui stocke, transmet ou traite des PHI doit respecter la réglementation HIPAA.

Plus précisément, les organisations devant prouver leur conformité HIPAA incluent :

• Fournisseurs d’assurance santé
• Centres de traitement des données de santé
• Prestataires de soins de santé (hôpitaux, médecins, dentistes, etc.)
• Partenaires commerciaux des entités couvertes (ex. sociétés de facturation et de stockage de documents)
• Pharmacies
• Établissements de soins de longue durée
• Institutions de recherche
• Autorités de santé publique
• Employeurs
• Écoles et universités

Ces organisations doivent respecter la HIPAA afin de garantir la sécurité des données de santé sensibles des patients et d’éviter toute divulgation à des personnes ou entités non autorisées. En prouvant leur conformité, elles mettent également en place des garde-fous pour garantir que les données ne sont utilisées que dans le but prévu et non à d’autres fins.

Quelles organisations sont exemptées de la conformité HIPAA ?

Les organisations qui ne créent pas, ne reçoivent pas, ne conservent pas ou ne transmettent pas de PHI n’ont pas besoin d’être conformes à la HIPAA. C’est le cas, par exemple, des commerces de détail et des restaurants. Toutefois, même les organisations qui ne sont pas directement impliquées dans la santé peuvent être soumises à la HIPAA. Par exemple, si une entreprise propose des services de stockage cloud pour des données de santé, elle doit prouver sa conformité HIPAA.

Termes réglementaires et de conformité HIPAA importants

Pour comprendre la conformité HIPAA et ses destinataires, il est important de connaître quelques termes clés :

Entité couverte

Il s’agit des hôpitaux, médecins, cliniques, agences d’assurance ou toute personne travaillant régulièrement avec des patients et leurs données privées.

Partenaire commercial

Prestataires de services travaillant en étroite collaboration avec des entités couvertes sans être en contact direct avec les patients. Les partenaires commerciaux traitent souvent des données privées via leurs produits technologiques, conseils, gestion financière, analyses de données ou autres services.

Informations médicales protégées (PHI)

Les PHI désignent toute information de santé permettant d’identifier une personne, créée, utilisée ou divulguée dans le cadre de la prestation de soins. Cela inclut : dossiers médicaux imprimés, notes manuscrites de médecins, conversations entre infirmières au sujet d’un patient.

Informations médicales personnelles électroniques (ePHI)

L’ePHI est une sous-catégorie de PHI. Il s’agit de PHI créée, stockée, transmise ou reçue électroniquement. Exemples : dossiers médicaux dans un système EHR, e-mails contenant des informations de santé, images radiologiques stockées dans le cloud, informations de facturation envoyées via des portails web sécurisés.

Pourquoi la conformité HIPAA est-elle nécessaire ?

La conformité HIPAA est essentielle pour garantir la sécurité des informations médicales confidentielles. Cette loi fédérale impose aux organisations, telles que les prestataires de soins, de préserver la confidentialité et la sécurité des données de leurs patients. Respecter ces normes est indispensable pour protéger les données sensibles, comme les dossiers médicaux, les informations d’assurance santé et autres informations personnelles identifiables et médicales protégées (PII/PHI).

Risques et sanctions pour les organisations non conformes à la HIPAA

Les organisations qui ne respectent pas la HIPAA s’exposent à de lourdes sanctions. Le Department of Health and Human Services (HHS) via l’Office for Civil Rights peut infliger des amendes, imposer des plans d’action correctifs et appliquer des sanctions civiles. Les entreprises peuvent également faire l’objet de poursuites pénales.

Si une organisation ne respecte pas ou cesse de respecter la HIPAA, elle est considérée comme en infraction. Les violations courantes de la HIPAA comprennent :

• Divulgation illégale d’ePHI à des personnes non autorisées, intentionnellement ou accidentellement
• Absence de protocoles de sécurité adéquats selon la HIPAA Security Rule
• Absence de protocoles administratifs ou de formation conformes aux exigences
• Défaut de notification appropriée aux personnes concernées et aux autorités en cas de violation de données
• Refus de mettre à jour, d’améliorer ou de corriger les lacunes de conformité existantes

Infractions civiles vs. pénales à la HIPAA

Les violations de la HIPAA sont de nature civile ou pénale. Il est important de distinguer les deux.

Les infractions civiles sont des cas de non-conformité accidentels ou sans intention malveillante, comme la négligence ou le manque de sensibilisation. Les sanctions sont généralement moins sévères pour ces cas :

• Pour les personnes ignorant la violation, l’amende est de 100 $ par incident.
• En cas de motif raisonnable sans négligence, l’amende minimale est de 1 000 $.
• La négligence volontaire entraîne une amende minimale de 10 000 $ par incident.
• La négligence volontaire sans correction immédiate de la violation entraîne une amende minimale de 50 000 $ par violation.

Les infractions pénales, en revanche, sont commises avec une intention malveillante, c’est-à-dire vol, profit ou fraude. Les sanctions incluent :

• Obtention ou divulgation délibérée d’ePHI : jusqu’à 50 000 $ d’amende et 1 an de prison.
• Fraude dans le cadre de la violation : jusqu’à 100 000 $ et 5 ans de prison.
• Violation avec intention de profit : jusqu’à 250 000 $ et jusqu’à 10 ans de prison.
• Violations répétées et multiples : plusieurs millions de dollars par an pour les organisations.

Exemples de violations de la HIPAA

Voici quelques exemples courants de violations de la HIPAA :

• Fraude. La violation la plus directe est le vol d’ePHI à des fins de profit. Les attaques de hackers ou d’initiés restent rares mais tendent à se multiplier avec l’adoption du cloud et le recours à des prestataires non éprouvés.
• Perte ou vol d’appareils. Le vol de matériel informatique était moins fréquent à l’ère des postes fixes. Mais avec la généralisation des appareils mobiles (ordinateurs portables, tablettes, smartphones), le risque que ces appareils tombent entre de mauvaises mains augmente.
• Manque de protection. La Security Rule définit les types de chiffrement HIPAA, pare-feu et autres mesures de sécurité à mettre en place. Beaucoup d’organisations ne les maîtrisent pas ou font confiance à un partenaire tiers non conforme.
• Accès non autorisé entre organisations. Qu’il s’agisse de partager des données avec une personne non autorisée ou d’utiliser des appareils ou e-mails non chiffrés, il est très facile pour un employé non formé d’accéder ou de transmettre de l’ePHI de manière inappropriée. La divulgation accidentelle de PHI est d’ailleurs la violation la plus fréquente, d’où la création d’une catégorie de sanctions moins lourdes pour ces cas.

Amendes pour non-conformité à la HIPAA

Exemples d’amendes pour non-conformité à la HIPAA :

• Jusqu’à 1,5 million $ pour une seule violation et jusqu’à 15 millions $ pour des violations multiples sur une année civile
• Jusqu’à 50 000 $ par violation pour usage abusif d’informations patient
• Jusqu’à 100 $ par violation pour défaut de réponse à une demande d’accès d’un patient
• Jusqu’à 250 000 $ ou 1 an de prison (ou les deux) pour obtention ou divulgation non autorisée d’informations médicales identifiables

Pourquoi les sanctions pour non-conformité à la HIPAA sont-elles si élevées ? Si les dossiers d’un patient sont volés, sa vie privée est compromise. Les dossiers volés peuvent servir à des usurpations d’identité ou des fraudes financières, entraînant des pertes ou l’utilisation abusive de prestations. Des informations médicales sensibles interceptées peuvent aussi servir à faire chanter ou harceler le patient.

Les 4 principales règles HIPAA et leur impact sur la conformité

Quatre règles principales composent le cadre HIPAA et définissent les exigences de conformité. Il s’agit :

1. La HIPAA Privacy Rule
2. La HIPAA Security Rule
3. La HIPAA Breach Notification Rule
4. La HIPAA Omnibus Rule

Chaque règle constitue un cadre pour un aspect de la conformité et éclaire des points essentiels des autres règles. Nous allons les détailler ci-dessous.

La HIPAA Privacy Rule

La HIPAA Privacy Rule établit la norme nationale en matière de droits des patients à la confidentialité et à la protection de leurs informations privées. Elle définit ce qu’est l’ePHI, comment la protéger, ses usages autorisés ou interdits, ainsi que ses modalités de transmission et de stockage.

Un autre volet de la Privacy Rule concerne la paperasse et les autorisations requises pour les entités traitant de l’ePHI.

Selon cette règle, toute donnée patient identifiable relève de la confidentialité et doit être protégée par l’entité couverte ou ses partenaires commerciaux. C’est ce qu’on appelle « informations médicales protégées » et cela inclut :

• Toute documentation passée, présente ou future sur l’état physique ou mental
• Tous les dossiers relatifs à la prise en charge du patient
• Et les dossiers concernant les paiements passés, présents ou futurs pour des soins de santé

La Privacy Rule précise que les seules situations où une entité couverte peut divulguer des informations médicales privées concernent des cas très spécifiques de soins, de recherche ou de procédures légales. Ces situations sont très limitées et sujettes à interprétation devant un tribunal. Il est donc plus sûr pour chaque entité couverte et ses partenaires commerciaux de protéger toutes les PHI plutôt que de se concentrer sur les exceptions.

Checklist de conformité à la HIPAA Privacy Rule

Cette checklist de la HIPAA Privacy Rule comprend 10 étapes essentielles que les organismes de santé et leurs partenaires commerciaux doivent suivre pour garantir la conformité. De la désignation d’un responsable de la confidentialité à la mise en place de protocoles pour la divulgation de PHI à des tiers, cette checklist couvre tous les aspects nécessaires à la protection des données de santé sensibles des patients. Le respect de ces recommandations permet d’éviter les violations HIPAA (et donc les amendes, sanctions et litiges) et de renforcer la confiance des patients dans le système de santé. Elle inclut :

1. Désigner un data privacy officer (DPO)
2. Élaborer et mettre en œuvre des politiques et procédures écrites
3. Proposer une formation à la sécurité aux membres du personnel
4. Obtenir le consentement du patient pour certaines divulgations
5. Maintenir des mesures de protection appropriées pour les informations médicales protégées (PHI)
6. Mettre en place un système de vérification et d’examen des demandes de PHI
7. Répondre aux demandes d’accès à la PHI des patients
8. Notifier les patients en cas de violation de PHI non sécurisée
9. Attribuer des identifiants uniques aux personnes et aux groupes
10. Établir des protocoles pour la divulgation de PHI aux partenaires commerciaux et autres tiers

La HIPAA Security Rule

Une fois la confidentialité et l’ePHI définies, il s’agit de protéger ces données. La HIPAA Security Rule a fixé les normes nationales pour les mécanismes de protection de l’ePHI. Ces mécanismes couvrent l’ensemble de l’organisation, incluant la technologie, l’administration, la sécurité physique des équipements et tout ce qui peut impacter la sécurité de l’ePHI.

Les contrôles définis dans cette règle sont répartis en trois groupes de mesures de sécurité :

1. Tâches administratives pour la conformité HIPAA : Cela inclut les politiques et procédures affectant l’ePHI ainsi que les technologies, la conception des systèmes, la gestion des risques et la maintenance de toutes les autres mesures de sécurité. Sont également concernés les aspects administratifs comme les ressources humaines et la formation du personnel.
2. Physique pour la conformité HIPAA : Les mesures physiques sécurisent l’accès aux équipements physiques : ordinateurs, routeurs, commutateurs, stockage de données. Les entités couvertes doivent garantir des locaux sécurisés où seules les personnes autorisées peuvent accéder aux données.
3. Technique pour la conformité HIPAA : La cybersécurité concerne les ordinateurs, appareils mobiles, le chiffrement, la sécurité réseau, la sécurité des appareils et tout ce qui touche à la technologie de stockage et de communication de l’ePHI.

Checklist de conformité à la HIPAA Security Rule

Notre checklist de la HIPAA Security Rule couvre 10 points clés à traiter pour protéger la PHI et l’ePHI. Cette checklist aide les organisations à garantir leur conformité et à protéger les données sensibles des patients contre les menaces et vulnérabilités :

1. Réaliser une analyse des risques pour identifier les menaces et vulnérabilités potentielles
2. Mettre en place des politiques et procédures pour maintenir et surveiller la sécurité de la PHI et de l’ePHI
3. Appliquer des contrôles d’accès pour limiter l’accès à la PHI/ePHI aux seules personnes autorisées qui en ont besoin pour leur travail
4. Veiller à ce que toute ePHI soit protégée par un chiffrement en transit et au repos, c’est-à-dire stockée de façon sécurisée
5. Mettre en place des procédures pour répondre aux incidents et violations de sécurité
6. Former tout le personnel aux politiques et procédures de sécurité HIPAA
7. Réviser et mettre à jour régulièrement les mesures de sécurité pour garantir leur efficacité
8. Établir un plan de reprise d’activité et de continuité, soit un plan de secours en cas de catastrophe ou d’urgence impactant la sécurité de la PHI/ePHI et la confidentialité des patients
9. S’assurer que tous les prestataires et sous-traitants tiers respectent les exigences de sécurité HIPAA
10. Effectuer des audits et évaluations réguliers pour garantir la conformité aux normes de sécurité HIPAA

La HIPAA Breach Notification Rule

La Breach Notification Rule définit la marche à suivre en cas de violation de sécurité. Il est quasiment impossible de protéger les données à 100 % et les organisations doivent prévoir des plans pour informer le public et les victimes d’une violation HIPAA de la situation et des mesures à prendre.

La Breach Notification Rule définit une série d’étapes à suivre pour rester conforme lors d’une violation, notamment :

1. Informer les personnes concernées par la violation. Les entités couvertes doivent adresser un avis formel et écrit aux victimes, par courrier ou e-mail (le cas échéant).
2. Si l’entité ne dispose pas des coordonnées de plus de 10 personnes concernées, elle doit publier un avis sur son site web pendant 90 jours ou dans les principaux médias écrits et audiovisuels.
3. L’avis doit être envoyé au plus tard 60 jours après la découverte de la violation.
4. Si la violation concerne plus de 500 personnes dans un État ou une autre juridiction, l’entité doit publier un avis public dans les médias locaux.
5. L’entité doit également notifier le secrétaire à la santé sous 60 jours si la violation concerne plus de 500 personnes. Sinon, elle peut faire un rapport annuel.

Ces règles de notification s’appliquent à toute violation signalée à l’entité couverte par l’un de ses partenaires commerciaux.

Checklist de conformité à la HIPAA Breach Notification Rule

Les organisations traitant de la PHI et de l’ePHI ont l’obligation légale de respecter la HIPAA Breach Notification Rule, qui impose de signaler rapidement toute violation compromettant la confidentialité des patients. Ne pas respecter ces exigences expose à de lourdes amendes, des conséquences juridiques et une atteinte à la réputation.

Cette checklist permet de garantir la conformité à la HIPAA Breach Notification Rule. Elle offre aussi d’autres avantages : renforcer la confiance des patients et partenaires, améliorer la préparation à la gestion des incidents et réduire le risque de futures violations.

1. Identifier et enquêter rapidement sur les violations, en déterminant leur ampleur, leur impact et les risques encourus.
2. Effectuer une évaluation des risques pour analyser la nature et l’étendue de la PHI concernée, les personnes y ayant accédé, si elle a été consultée et les mesures prises pour limiter le risque.
3. Documenter la violation avec des rapports détaillés sur les faits, les conclusions, les décisions et les mesures prises, même si aucune notification n’est requise.
4. Notifier les personnes concernées sous 60 jours : envoyer un avis écrit par courrier ou e-mail (si autorisé), expliquant les faits, les données concernées et les mesures à prendre.
5. Notifier le Department of Health and Human Services : si moins de 500 personnes sont concernées, notifier le HHS annuellement ; si 500 personnes ou plus sont concernées, notifier le HHS sous 60 jours via le portail dédié.
6. Notifier les médias si 500 personnes ou plus sont concernées dans un État ou une région sous 60 jours pour une large diffusion publique.
7. Appliquer des sanctions et mesures correctives, incluant des actions disciplinaires, une nouvelle formation ou des changements techniques.
8. Mettre à jour les politiques et procédures, y compris les plans de gestion des violations et les pratiques de confidentialité/sécurité en fonction des enseignements tirés.
9. Former le personnel aux procédures de gestion des violations pour qu’il soit capable de reconnaître, signaler et gérer une violation.
10. Sécuriser et chiffrer la PHI/ePHI pour réduire le risque de violation à signaler.

La HIPAA Omnibus Rule

Plus récente, l’Omnibus Rule étend la portée de la réglementation aux organisations extérieures aux entités couvertes. En résumé, elle impose des obligations de conformité aux partenaires commerciaux et sous-traitants. Les entités couvertes sont donc responsables des violations potentielles de leurs partenaires et doivent mettre à jour leur analyse des écarts, leur évaluation des risques et leurs procédures de conformité.

Checklist de conformité à la HIPAA Omnibus Rule

L’Omnibus Rule, finalisée en 2013, a renforcé la protection de la confidentialité et de la sécurité des informations médicales protégées (PHI). Elle a élargi le champ d’application de la HIPAA en rendant les partenaires commerciaux directement responsables, en renforçant les droits des patients et en clarifiant les règles sur la notification des violations, le marketing et les divulgations.

Prouver la conformité à l’Omnibus Rule est essentiel pour éviter des sanctions coûteuses, protéger la confiance des patients, renforcer les partenariats et montrer aux régulateurs un engagement fort en faveur de la confidentialité des données. En alignant politiques, formations et gestion des fournisseurs sur les exigences de l’Omnibus Rule, les organisations comblent les écarts de conformité et améliorent leur sécurité globale. Voici quelques recommandations pour la conformité à la HIPAA Omnibus Rule :

1. Réviser et mettre à jour les Business Associate Agreements (BAA) pour refléter les responsabilités et obligations élargies de l’Omnibus Rule.
2. Réaliser une analyse des risques sur toutes les PHI et ePHI, y compris celles détenues ou consultées par les partenaires commerciaux.
3. Mettre en place des politiques de sécurité et de confidentialité intégrant les nouvelles dispositions de l’Omnibus Rule, notamment sur l’utilisation des données, les droits des patients et la gestion des violations.
4. Former le personnel sur les nouvelles exigences, y compris les politiques HIPAA mises à jour, les changements de notification de violation et les droits des patients.
5. Respecter le droit des patients à restreindre la divulgation de leur PHI aux mutuelles lorsque les services sont payés de leur poche.
6. Mettre à jour la Notice of Privacy Practices (NPP) pour inclure les nouveautés de l’Omnibus Rule, telles que les droits de notification de violation et l’utilisation des informations génétiques.
7. Obtenir une autorisation écrite pour le marketing et la vente de PHI avant toute utilisation des données.
8. Renforcer les protocoles de notification des violations : toute utilisation/divulgation non autorisée de PHI est présumée constituer une violation, sauf si une évaluation des risques documentée prouve le contraire.
9. Surveiller la conformité des partenaires commerciaux pour vérifier régulièrement qu’ils protègent correctement la PHI et respectent leurs obligations HIPAA.
10. Tout documenter, y compris toutes les politiques, formations, évaluations et décisions liées à la HIPAA, pour prouver la conformité lors d’audits ou d’enquêtes.

Qu’est-ce que la HIPAA Enforcement Rule ?

La HIPAA Enforcement Rule est un ensemble de règles qui définit les procédures d’enquête et de sanctions en cas de violation des règles de confidentialité et de sécurité de la Health Insurance Portability and Accountability Act (HIPAA). Elle vise à garantir que les entités couvertes et leurs partenaires respectent la HIPAA et protègent la confidentialité et la sécurité des informations médicales protégées (PHI) des patients. La Enforcement Rule définit aussi les procédures de gestion des plaintes et d’enquête, incluant l’application de sanctions financières et de plans d’action correctifs.

Checklist de conformité à la HIPAA Enforcement Rule

La HIPAA Enforcement Rule précise comment le Department of Health and Human Services (HHS), via l’Office for Civil Rights (OCR), enquête sur les violations potentielles de la HIPAA et applique des sanctions en cas de non-conformité. Elle définit les procédures d’enquête, la structure des sanctions financières et le processus de résolution, y compris les plans d’action correctifs et les sanctions formelles.

Prouver la conformité à la Enforcement Rule est essentiel pour montrer aux régulateurs que votre organisation prend la confidentialité et la sécurité au sérieux. Cela permet de réduire les sanctions, d’éviter des mesures coercitives et de démontrer un programme de conformité bien gouverné. Être prêt à l’audit et réactif renforce aussi la confiance des patients, limite les risques et favorise une culture de responsabilité. Voici quelques recommandations pour prouver la conformité à la HIPAA Enforcement Rule :

1. Tenir une documentation complète des activités de conformité HIPAA, avec des dossiers détaillés sur les politiques, formations, évaluations des risques, réponses aux incidents et journaux d’audit pour démontrer la culture de conformité.
2. Répondre rapidement aux enquêtes et demandes ; coopérer pleinement et dans les délais avec le HHS et l’OCR lors d’enquêtes ou de contrôles.
3. Mettre en place une politique formelle de sanctions ; appliquer systématiquement des mesures disciplinaires en cas de violation HIPAA et documenter les actions prises contre les membres du personnel ou fournisseurs non conformes.
4. Effectuer des audits internes réguliers pour détecter les écarts de conformité et corriger les problèmes avant qu’ils ne deviennent des violations.
5. Développer un processus de plan d’action correctif (CAP) pour toute violation identifiée afin de résoudre les problèmes de conformité et d’éviter leur récurrence.
6. Former le personnel sur les conséquences des violations, y compris les sanctions civiles et pénales potentielles, pour promouvoir la responsabilité.
7. Mettre en place un processus clair de réception des plaintes, offrant aux patients et employés un moyen confidentiel et simple de signaler des violations présumées ou des préoccupations de confidentialité.
8. Garantir la supervision et la responsabilité de la direction en attribuant des rôles clairs avec le soutien de la direction pour assurer la préparation à la Enforcement Rule et la conformité.
9. Réviser et mettre à jour régulièrement les politiques et procédures pour rester aligné sur l’évolution de la législation et des tendances en matière d’application.
10. Faire appel à des experts juridiques et conformité si besoin en cas de problématiques complexes ou d’actions coercitives.

Dernières mises à jour HIPAA pour la conformité

Les dernières mises à jour de la HIPAA datent de 2013 et 2016.

En 2013, l’Omnibus Rule a été introduite, modifiant en profondeur la réglementation sur la gestion et la protection des informations médicales protégées (PHI). Parmi les principaux changements :

• Renforcement des droits des patients, notamment le droit d’accéder à leur PHI, d’en recevoir une copie et de demander des restrictions sur l’utilisation ou la divulgation de leur PHI
• Renforcement de l’application de la HIPAA, avec des amendes accrues en cas de non-conformité et obligation pour les partenaires commerciaux (prestataires tiers) de respecter la HIPAA
• Mise à jour des définitions de termes clés comme « partenaire commercial » et « informations médicales protégées »

En 2016, la Privacy Rule a été modifiée pour permettre à certaines entités couvertes, comme les prestataires de soins ou assureurs, de divulguer à la National Instant Criminal Background Check System (NICS) les noms des personnes identifiées comme souffrant de troubles mentaux. Ce changement fait suite à la fusillade de Sandy Hook en 2012 et vise à limiter l’accès aux armes à feu pour ces personnes. Toutefois, cette divulgation est encadrée par des conditions strictes, notamment l’obtention du consentement écrit de la personne concernée et l’information sur les conséquences potentielles de cette divulgation.

Qu’est-ce que la conformité HIPAA IT ?

La conformité HIPAA et la conformité HIPAA IT présentent quelques différences.

La conformité HIPAA regroupe les règles et réglementations du Department of Health and Human Services (HHS) pour protéger la confidentialité, la sécurité et l’intégrité des données médicales sensibles des patients. Cela inclut des exigences administratives, physiques et techniques, telles que la mise en œuvre de politiques, procédures et mesures de sécurité.

La conformité HIPAA IT, en revanche, concerne les aspects techniques de la Security Rule, notamment la mise en œuvre, la maintenance et la surveillance des mesures de sécurité techniques pour l’ePHI. Cela inclut la mise en place de contrôles d’authentification et d’accès robustes, des évaluations périodiques des risques de sécurité, ainsi que le chiffrement et la sécurisation des données stockées.

Existe-t-il une checklist spécifique de conformité HIPAA pour l’IT ?

Certaines organisations IT doivent être conformes à la HIPAA car elles traitent des données sensibles et/ou confidentielles protégées par la HIPAA. Elles doivent donc prendre toutes les mesures nécessaires pour garantir la conformité de leurs systèmes et procédures.

Les organisations IT devraient suivre ces recommandations pour prouver leur conformité HIPAA IT :

1. Désigner un responsable HIPAA Privacy chargé de développer et mettre en œuvre les mesures de sécurité.
2. Identifier et classer toutes les données relevant de la HIPAA.
3. Sensibiliser tout le personnel aux lois et réglementations HIPAA.
4. Élaborer et documenter les politiques et processus administratifs, techniques et physiques liés à la HIPAA.
5. Équiper tous les ordinateurs et postes de travail de mesures de sécurité suffisantes pour empêcher tout accès non autorisé.
6. Stocker de manière sécurisée tous les documents contenant des informations médicales protégées et limiter l’accès aux seules personnes autorisées.
7. Utiliser un logiciel de chiffrement approprié pour protéger les données au repos.
8. Adopter une navigation web sécurisée et des logiciels de sécurité pour les e-mails.
9. Éliminer correctement les documents et dossiers contenant des données patient : le broyage ou l’incinération sont les méthodes les plus sûres.
10. Établir et maintenir des procédures de gestion des violations de sécurité et des tentatives d’accès non autorisé.
11. Examiner et surveiller régulièrement les journaux d’accès pour détecter tout accès non autorisé.
12. Mettre en œuvre des procédures de journalisation et d’audit utilisateur poussées.
13. Élaborer et appliquer des procédures de sauvegarde conformes aux directives HIPAA.
14. Développer et maintenir un plan de continuité et de reprise après sinistre.

Premiers pas vers la conformité HIPAA

Si vous débutez dans la conformité HIPAA, voici quelques étapes à suivre pour engager votre organisation dans la démarche :

1. Élaborer un plan de conformité à la sécurité et à la confidentialité HIPAA.
2. Élaborer des politiques et procédures pour la gestion et la protection des informations médicales protégées (PHI).
3. Mettre en place des mesures de sécurité physiques, administratives et techniques pour protéger la PHI.
4. Former le personnel aux bonnes pratiques et protocoles HIPAA.
5. Faire signer aux employés des attestations HIPAA confirmant leur compréhension de leurs responsabilités et obligations.
6. S’assurer que les partenaires commerciaux, fournisseurs et sous-traitants ont signé un Business Associate Agreement (BAA) et sont conformes à la HIPAA.
7. Mettre en place des procédures de revue, d’audit et de mise à jour régulière de la conformité HIPAA.
8. Enregistrer et documenter toutes les mesures de sécurité et de confidentialité de la PHI.
9. Prévoir un plan de réponse aux incidents en cas de violation ou de perte de données.
10. Surveiller régulièrement la sécurité de la PHI et garantir la conformité totale avec la HIPAA.

Qu’est-ce que HITECH et quel est son lien avec la conformité HIPAA ?

Le Health Information Technology for Economic and Clinical Health Act, promulgué en 2009, a fait évoluer les exigences de conformité pour les années suivantes. Cette loi a modifié les obligations légales des organismes de santé dans plusieurs secteurs, y compris les soins directs et la sécurité sociale.

Avant HITECH, seuls 10 % des hôpitaux utilisaient des dossiers médicaux électroniques (EHR). HITECH a été déterminant pour accélérer la transition vers la gestion électronique des dossiers. Il a encouragé l’adoption de technologies de gestion numérique de l’ePHI et la conformité HIPAA, notamment via des incitations financières.

En 2017, grâce à HITECH, le taux d’adoption des EHR atteignait 86 %.

HITECH a aussi modifié la répartition des responsabilités en matière de conformité HIPAA. Pour encourager l’adoption des technologies, la loi a rendu les partenaires commerciaux directement responsables des violations, cette responsabilité devant figurer dans le Business Associate Agreement (BAA) avec l’entité couverte.

HITECH a également augmenté les sanctions en cas de violation et incité les autorités à poursuivre plus activement les contrevenants pour garantir la conformité.

Ressources pour la conformité HIPAA

Pour en savoir plus sur la HIPAA et ses exigences de conformité, rendez-vous sur les ressources suivantes :

1. Site HHS.gov
2. Site HIPAA Journal
3. HHS Office for Civil Rights
4. Centers for Medicare & Medicaid Services
5. National Institute of Standards and Technology
6. HHS Security Management Guidelines
7. HIPAA Security Rule
8. HIPAA Privacy Rule
9. Publications spéciales du National Institute of Standards and Technology (NIST)
10. HITECH Security and Breach Notification Act

Comment atteindre et maintenir la conformité HIPAA avec une checklist d’auto-audit

L’utilisation d’une checklist d’auto-audit HIPAA permet aux organismes de santé d’identifier les éventuelles non-conformités et de prendre des mesures correctives avant un audit du Department of Health and Human Services (HHS). Un auto-audit aide aussi à éviter des sanctions coûteuses pour violation de la HIPAA.

De plus, réaliser un auto-audit permet d’instaurer de bonnes pratiques de conformité HIPAA et d’améliorer la sécurité globale des données. Cela contribue également à instaurer la confiance des patients en démontrant un engagement fort pour la protection de leurs informations sensibles.

Utiliser une checklist d’auto-audit HIPAA est une étape clé pour maintenir la conformité et protéger les données des patients.

Voici une checklist pour réaliser un auto-audit de conformité HIPAA :

1. Définir le périmètre de l’audit, y compris les entités et processus à évaluer.
2. Examiner les politiques et procédures pour vérifier leur conformité à la HIPAA.
3. Vérifier que tous les membres du personnel ont suivi une formation HIPAA à jour.
4. Revoir les contrôles d’accès et s’assurer que seules les personnes autorisées accèdent à la PHI.
5. Évaluer les mesures de sécurité physiques, y compris le contrôle d’accès aux locaux et postes de travail.
6. Examiner les mesures de sécurité techniques, y compris les contrôles d’accès aux systèmes, le chiffrement de la PHI et les politiques de mots de passe.
7. Vérifier que des Business Associate Agreements sont en place avec tous les fournisseurs tiers ayant accès à la PHI.
8. Évaluer les procédures de gestion des incidents et s’assurer qu’elles sont à jour et efficaces.
9. Revoir les procédures de notification des violations et vérifier leur actualité et efficacité.
10. Vérifier que toute la documentation HIPAA requise est à jour et facilement accessible.
11. Évaluer la conformité à la Privacy Rule, notamment l’obtention et la documentation des autorisations des patients pour la divulgation de PHI.
12. Examiner la conformité à la Security Rule, y compris la réalisation régulière d’évaluations des risques et la correction des risques identifiés.
13. Vérifier que toutes les divulgations de PHI sont correctement autorisées et documentées, y compris pour les soins, le paiement et les opérations de santé.
14. Revoir la conformité à la Breach Notification Rule, notamment le signalement rapide de toute violation de PHI non sécurisée.
15. Évaluer la conformité à l’Omnibus Rule, notamment les nouvelles exigences pour les partenaires commerciaux et sous-traitants.
16. Vérifier que toute la PHI est éliminée conformément à la réglementation HIPAA.
17. Examiner la conformité aux lois locales et nationales pouvant impacter la HIPAA.
18. Réaliser des audits périodiques et corriger toute non-conformité.
19. Documenter tous les constats d’audit et les actions correctives.
20. Mettre en place un programme de conformité HIPAA incluant formation, suivi et audit continus.
21. Désigner un HIPAA Compliance Officer pour piloter la conformité dans toute l’organisation.
22. Suivre et protéger les appareils mobiles pour éviter qu’ils ne tombent entre de mauvaises mains, et s’assurer que toutes les données sont correctement chiffrées. Prévoir l’effacement à distance des données volées ou éviter de stocker la PHI sur des appareils mobiles.

Conformité HIPAA vs. conformité RGPD : quelle priorité ?

Le Règlement Général sur la Protection des Données (RGPD) de l’UE et la Health Insurance Portability and Accountability Act (HIPAA) sont deux réglementations distinctes visant à protéger la confidentialité des données personnelles. Le RGPD s’applique à toutes les entreprises traitant les données personnelles de citoyens européens, quelle que soit leur localisation, tandis que la HIPAA concerne les prestataires de soins, assureurs et leurs partenaires aux États-Unis. Cependant, avec la mondialisation des activités, il est essentiel de comprendre l’impact du RGPD sur la conformité HIPAA.

Le RGPD impose des exigences de protection des données plus strictes que la HIPAA, notamment :

Consentement explicite dans le RGPD

Le RGPD exige un consentement explicite avant de traiter les données personnelles, alors que la HIPAA requiert seulement une autorisation générale.

Droits des personnes concernées dans le RGPD

Le RGPD accorde aux individus un contrôle étendu sur leurs données : droit d’accès, de rectification et d’effacement. La HIPAA offre des droits d’accès et de modification plus limités.

Data Privacy Officer (DPO) imposé par le RGPD

Le RGPD impose à certaines organisations de désigner un DPO pour superviser la protection des données, ce que la HIPAA ne prévoit pas.

Notification des violations de données requise par le RGPD

Le RGPD impose de signaler toute violation de données sous 72 heures, alors que la HIPAA prévoit un délai de 60 jours.

Sanctions RGPD

Le RGPD prévoit des sanctions bien plus lourdes en cas de non-conformité : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. À titre de comparaison, les amendes HIPAA vont de 100 à 50 000 $ par violation, avec un plafond de 1,5 million $ par an.

Les organismes de santé et leurs partenaires traitant les données de citoyens européens doivent donc être conformes à la fois au RGPD et à la HIPAA. Ils doivent revoir leurs politiques et procédures de confidentialité, mettre en œuvre les changements nécessaires pour respecter le RGPD et former leur personnel aux exigences des deux réglementations. Le non-respect de l’une ou l’autre expose à de lourdes sanctions financières et à une atteinte à la réputation.

Kiteworks aide les organisations à atteindre la conformité HIPAA grâce à un Réseau de données privé

Le Réseau de données privé Kiteworks aide les entités couvertes et leurs partenaires à atteindre et maintenir la conformité HIPAA en protégeant la PHI et autres contenus sensibles partagés avec des tiers de confiance.

Kiteworks centralise les communications avec les tiers, telles que la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, le SFTP et les formulaires web, afin de permettre aux organisations de contrôler, protéger et tracer les accès, envois, stockages et réceptions de PHI. Les fonctions de sécurité et de conformité incluent :

• Une appliance virtuelle durcie, autonome et préconfigurée, intégrant une protection antivirus et un système de détection d’intrusion (IDS)
• Chiffrement AES des contenus au repos et chiffrement TLS 1.2 pour les contenus en transit, ainsi que des mesures de sécurité supplémentaires comme la rotation des clés, les délais de session, les contrôles d’intégrité et l’antivirus
• Rapports de conformité HIPAA et RGPD en un clic, démontrant la présence de mesures administratives, physiques et techniques conformes à la HIPAA
• Contrôles d’accès granulaires, autorisations selon les rôles et expiration des fichiers/dossiers pour limiter l’accès à la PHI aux seules personnes autorisées et pour la durée strictement nécessaire
• Options de déploiement sécurisé, y compris sur site, privé, hybride et cloud privé virtuel FedRAMP
• Détection, atténuation et analyse des menaces via un tableau de bord RSSI et des journaux d’audit exportables vers votre SIEM

Pour découvrir comment Kiteworks peut vous aider à atteindre la conformité HIPAA, réservez une démonstration personnalisée dès aujourd’hui.

Ressources complémentaires

• Étude de cas Les équipes médicales et administratives de NYC Health + Hospitals partagent la PHI de façon sécurisée et efficace
• Article de blog Les meilleurs formulaires conformes à la HIPAA
• Article de blog Chiffrement HIPAA : exigences, bonnes pratiques et logiciels
• Article de blog Envoyer un e-mail conforme à la HIPAA
• Article de blog Violation HIPAA : définition et gestion des conséquences