Ihre vollständige Checkliste zur Erreichung der HIPAA-Compliance

Les pénalités HIPAA peuvent être sévères, il est donc important de les éviter en respectant les exigences de conformité HIPAA. Voici une liste de vérification complète étape par étape pour la conformité HIPAA.

Les exigences de conformité HIPAA comprennent ce qui suit :

• Confidentialité : droits des patients à informations médicales protégées (PHI)
• Sécurité : mesures de sécurité physiques, techniques et administratives
• Application : enquêtes sur une violation
• Notification de violation : étapes requises en cas de violation
• Omnibus : associés d’affaires conformes

Conformité HIPAA : un bref aperçu

HIPAA est un cadre développé en 1996 pour définir les obligations légales d’une organisation vis-à-vis de régulations spécifiques dans la Health Insurance Portability and Accountability Act. Ces régulations établissent des normes pour des aspects critiques de la gestion des données de santé, incluant le droit des patients à la confidentialité, la nécessité de contrôles de sécurité appropriés pour protéger les données privées, et les exigences des organisations de santé si ces données ont été compromises par un tiers malveillant.

Important dans ce cadre est la notion de protection des données. La sécurité physique des données, les standards de chiffrement utilisés pour protéger ces données, et les procédures utilisées pour documenter, transmettre et stocker les données sont toutes des parties cruciales de HIPAA et de ses exigences sous-jacentes.

Géré par le Department of Health and Human Services et l’Office for Civil Rights, des régulations existent pour assurer la confidentialité des informations privées des patients dans un monde de conservation des dossiers électroniques, de transfert de données numériques et (plus récemment) de services cloud.

Conformité HIPAA : Quelles organisations doivent s’y conformer ?

Les organisations doivent se conformer à HIPAA pour garantir que les données de santé des patients sensibles sont sécurisées et non divulguées à des individus ou entités non autorisés. HIPAA fournit également des protections qui aident à garantir que les données sont utilisées uniquement à l’objectif prévu et non utilisées ou divulguées à d’autres fins.

Les entreprises qui doivent démontrer leur conformité avec la HIPAA incluent :

• Les fournisseurs d’assurance maladie
• Les centres de traitement administratif des soins de santé
• Les prestataires de soins de santé (hôpitaux, médecins, dentistes, etc.)
• Les associés commerciaux des entités couvertes (par exemple, les entreprises de facturation et les entreprises de stockage de documents)
• Les pharmacies
• Les établissements de soins de longue durée
• Les institutions de recherche
• Les autorités de santé publique
• Les employeurs
• Les écoles et universités

Le besoin de conformité HIPAA

La conformité HIPAA est nécessaire pour assurer la sécurité des informations de santé confidentielles. C’est une loi fédérale qui exige des organisations, telles que les prestataires de soins de santé, de maintenir la confidentialité et la sécurité des données de leurs patients. La conformité à ces normes est nécessaire pour la protection des données sensibles, telles que les dossiers médicaux des patients, les informations sur l’assurance santé et d’autres informations personnelles identifiables (PII) et informations médicales protégées (PHI).

Si les entreprises ne sont pas conformes à la HIPAA, elles peuvent faire face à de graves pénalités. Le Bureau des droits civils du Département de la Santé et des Services sociaux des États-Unis peut émettre des sanctions qui incluent des amendes et des pénalités, des plans d’action correctifs et des pénalités pécuniaires civiles. De plus, les entreprises peuvent être sujettes à des accusations criminelles. Les exemples d’amendes pour violation de la conformité HIPAA incluent :

• Jusqu’à 1,5 million de dollars pour une seule violation et jusqu’à 15 millions de dollars pour plusieurs violations dans une année civile
• Jusqu’à 50 000 dollars par violation pour l’utilisation abusive consciente des informations des patients
• Jusqu’à 100 dollars par violation pour défaut de fournir une demande d’accès d’un patient
• Jusqu’à 250 000 dollars ou jusqu’à 1 an de prison ou les deux pour avoir obtenu ou divulgué des informations de santé identifiables sans autorisation

Pourquoi ces pénalités sont-elles si élevées ? Si les dossiers d’un patient sont volés, la vie privée du patient peut être violée. Les dossiers volés peuvent être utilisés pour commettre une usurpation d’identité ou une fraude financière, entraînant des pertes financières ou l’utilisation non autorisée de prestations. Les informations médicales sensibles interceptées peuvent également être utilisées pour faire chanter le patient ou pour le cibler en vue de harcèlement.

Qui doit atteindre la conformité HIPAA ?

La conformité HIPAA s’applique à toute organisation ou individu qui crée, reçoit, conserve ou transmet des informations médicales protégées électroniques (ePHI). Cela inclut les prestataires de soins de santé tels que les médecins et les hôpitaux, les plans de santé, les compagnies d’assurance santé et toute autre organisation qui traite avec l’industrie de la santé. Cela s’applique également aux associés commerciaux, tels que les entreprises de facturation tierces, les transcripteurs et les prestataires de services informatiques. En fin de compte, toute entité qui stocke, transmet ou traite des ePHI doit se conformer aux réglementations HIPAA. Cette longue chaîne de soins de santé supply chain peut créer un risque significatif.

Les organisations qui ne créent, ne reçoivent, ne conservent ou ne transmettent pas des ePHI n’ont pas besoin de se conformer à la HIPAA. Les exemples incluent les détaillants et les restaurants. Cependant, même les organisations qui ne sont pas directement impliquées dans les soins de santé peuvent être soumises aux exigences de la HIPAA, par exemple, si elles fournissent des services tels que le stockage en cloud pour des informations liées à la santé.

Quelques termes réglementaires et de conformité HIPAA importants

Pour comprendre ce qu’est la conformité et à qui elle s’applique, il est important de connaître quelques termes clés :

Entité couverte

Ce sont les hôpitaux, médecins, cliniques, agences d’assurance, ou toute personne qui travaille régulièrement avec des patients et leurs données privées.

Associé commercial

Prestataires de services qui travaillent étroitement avec les entités couvertes sans travailler directement avec les patients. Les associés commerciaux manipulent souvent des données privées en raison de leurs produits technologiques, de leurs services de conseil, d’administration financière, d’analyse de données ou d’autres services.

Informations médicales personnelles électroniques (ePHI)

ePHI est le nom légal des données privées des patients stockées et transmises par des moyens électroniques. Toutes les règles de confidentialité, de sécurité et de rapport se réfèrent à la protection et à la gestion des ePHI.

Quelles sont les 4 principales règles HIPAA et comment impactent-elles la conformité ?

Quatre règles principales définissent la structure et le sens de tout ce qui est lié aux exigences de conformité :

1. La Règle de Confidentialité
2. La Règle de Sécurité
3. La Règle de Notification de Violation
4. La Règle Omnibus

Chaque règle fournit un cadre pour un aspect de la conformité et informe des aspects critiques des autres règles.

La règle de confidentialité HIPAA

La Règle de Confidentialité HIPAA établit la norme nationale pour les droits des patients à la vie privée et aux informations privées. De plus, elle met en place le cadre qui dicte ce qu’est l’ePHI, comment il doit être protégé, comment il peut et ne peut pas être utilisé, ainsi que la manière dont il peut être transmis et stocké.

Une partie supplémentaire de la Règle de Confidentialité concerne les documents et les dérogations qu’elle exige pour les entités traitant l’ePHI.

Dans cette règle, il est défini que toute donnée patient identifiable est soumise à la confidentialité couverte par l’entité couverte ou toute entreprise associée. C’est ce qu’on appelle les “informations médicales protégées” et inclut :

• Toute documentation passée, présente ou future sur les conditions physiques ou mentales
• Tous les dossiers concernant les soins du patient
• Et les dossiers faisant référence aux paiements passés, présents ou futurs pour les soins de santé

La règle stipule que les seuls scénarios dans lesquels les entités couvertes peuvent divulguer des informations de santé privées impliquent des situations de soins, de recherche ou légales très spécifiques. Ces situations sont elles-mêmes incroyablement restreintes et sujettes à interprétation devant un tribunal.

La meilleure règle à suivre est que, en ce qui concerne la confidentialité de l’ePHI, l’Entité Couverte et ses Associés d’Affaires ont l’obligation de le protéger.

Liste de vérification de la règle de confidentialité HIPAA

Cette liste de vérification de la Règle de Confidentialité HIPAA comprend 10 étapes essentielles que les organisations de santé et leurs associés commerciaux doivent suivre pour garantir la conformité avec la Règle de Confidentialité HIPAA. De la désignation d’un responsable de la confidentialité à l’établissement de protocoles pour la divulgation des informations médicales protégées à des tiers, cette liste couvre tous les aspects nécessaires pour protéger les informations de santé sensibles des patients. Le respect de ces directives aidera non seulement les organisations à éviter les violations de la HIPAA (et les amendes, pénalités et litiges subséquents), mais aussi à construire la confiance et la confiance des patients dans le système de santé. Elles incluent :

1. Désigner un responsable de la confidentialité
2. Développer et mettre en œuvre des politiques et procédures écrites
3. Fournir une formation aux membres du personnel
4. Obtenir le consentement des patients pour certaines divulgations
5. Maintenir des mesures de protection appropriées pour les informations médicales protégées (PHI)
6. Mettre en place un système pour examiner et vérifier les demandes de PHI
7. Répondre aux demandes des patients d’accès à leur PHI
8. Notifier les patients en cas de violation de PHI non sécurisée
9. Attribuer des identifiants uniques aux individus et aux groupes
10. Établir des protocoles pour la divulgation de PHI aux associés d’affaires et autres tiers

La règle de sécurité HIPAA

Avec la définition de la confidentialité et des informations médicales protégées électroniquement en place, l’étape suivante est de protéger ces données. La Règle de Sécurité HIPAA a établi les normes nationales pour les mécanismes requis pour protéger les données des informations médicales protégées électroniquement. Ces mécanismes s’étendent à l’ensemble de l’opération de l’entité couverte, y compris la technologie, l’administration, les mesures de protection physiques pour les ordinateurs et les dispositifs, et tout ce qui pourrait impacter la sécurité des informations médicales protégées électroniquement.

Les contrôles décrits dans cette règle sont organisés en trois groupes de mesures de protection :

1. Tâches administratives pour la conformité HIPAA

Cela inclut les politiques et procédures qui impactent les informations médicales protégées électroniquement ainsi que les technologies, la conception des systèmes, la gestion des risques et la maintenance liées à toutes les autres mesures de sécurité. Cela inclut également des aspects de l’administration des soins de santé comme les Ressources Humaines et la formation des employés.

2. Physique pour la conformité HIPAA

Les mesures de protection physiques sécurisent l’accès aux équipements physiques, y compris les ordinateurs, les routeurs, les commutateurs et les données de stockage. Les entités couvertes sont tenues de maintenir des locaux sécurisés où seules les personnes autorisées peuvent accéder aux données.

3. Technique pour la conformité HIPAA

La cybersécurité inclut les ordinateurs, les appareils mobiles, le chiffrement, la sécurité des réseaux, la sécurité des appareils, et tout ce qui est lié à la technologie réelle de stockage et de communication des informations médicales protégées électroniques (ePHI).

Liste de vérification de conformité à la règle de sécurité HIPAA

La liste de vérification de la règle de sécurité HIPAA couvre 10 domaines clés que les organisations doivent aborder pour protéger les informations médicales protégées électroniques (ePHI). De la réalisation d’évaluations des risques à l’établissement de plans de contingence pour les urgences, cette liste de vérification complète est conçue pour aider les organisations à assurer la conformité avec les normes de sécurité HIPAA et protéger les données sensibles des patients contre les menaces potentielles et les vulnérabilités.

1. Réaliser une analyse de risque pour identifier les menaces et vulnérabilités potentielles
2. Mettre en œuvre des politiques et procédures pour maintenir et surveiller la sécurité des informations médicales protégées électroniques (ePHI)
3. Limiter l’accès à l’ePHI uniquement aux individus autorisés qui nécessitent cet accès pour effectuer leurs fonctions professionnelles
4. S’assurer que tout l’ePHI est chiffré et stocké de manière sécurisée
5. Mettre en place des procédures pour répondre aux incidents de sécurité et aux violations
6. Former tous les membres du personnel aux politiques et procédures de sécurité HIPAA
7. Réviser et mettre à jour régulièrement les mesures de sécurité pour s’assurer qu’elles sont actuelles et efficaces
8. Établir un plan de contingence pour les désastres ou autres urgences pouvant affecter l’ePHI
9. S’assurer que tous les fournisseurs tiers et les contractants respectent les exigences de sécurité HIPAA
10. Réaliser des audits et des évaluations réguliers pour garantir la conformité aux normes de sécurité HIPAA

La règle de notification de violation HIPAA

La Règle de Notification de Violation spécifie ce qui se passe lorsqu’une violation de sécurité survient. Il est presque impossible de protéger les données avec une efficacité de 100%, et les organisations doivent avoir des plans en place pour notifier le public, et les victimes d’une violation HIPAA, sur ce qui s’est passé et quelles sont leurs prochaines étapes.

La règle de Notification de Violation définit une série d’étapes que toute Entité Couverte doit prendre lors d’une violation pour rester en conformité, incluant :

1. Notifier les individus impactés par une violation. Les entités concernées doivent donner aux victimes un avis formel, écrit de la violation, soit par courrier de première classe ou par email (si applicable).
2. Si l’Entité Couverte n’a pas d’informations de contact pour plus de 10 personnes dans une violation, alors elle doit fournir un avis alternatif soit par une publication sur le site web pendant 90 jours ou un avis dans les principales sources d’informations imprimées et diffusées.
3. L’Entité doit fournir l’avis au plus tard 60 jours après la découverte de la violation.
4. Si la violation affecte plus de 500 individus dans un État ou autre juridiction, l’Entité doit fournir un avis public éminent de la violation à travers les médias locaux.
5. L’Entité doit également fournir un Avis au Secrétaire de la Santé dans les 60 jours si la violation affecte plus de 500 personnes. Si moins, alors l’entité peut mettre à jour le Secrétaire à la fin de l’année.

Ces règles de notification s’appliquent à toute violation portée à la connaissance de l’Entité Couverte par l’un de leurs associés commerciaux.

La règle Omnibus HIPAA

Une règle plus récente, la règle Omnibus, étend la portée des réglementations aux organisations extérieures aux Entités Couvertes. En résumé, la règle Omnibus stipule que les obligations de conformité couvrent les Associés Commerciaux et les contractants. En conséquence, cela signifie que les Entités Couvertes sont responsables de toute violation potentielle des Associés Commerciaux et des contractants, et doivent mettre à jour leur analyse des écarts, leur évaluation des risques et leurs procédures de conformité en conséquence.

Qu’est-ce que la règle d’application HIPAA ?

La règle d’application de la HIPAA est un ensemble de réglementations qui fournissent des directives pour les enquêtes et les sanctions en cas de violations des règles de confidentialité et de sécurité sous la Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). Cette règle vise à garantir que les entités couvertes et les associés commerciaux se conforment aux réglementations de la HIPAA et protègent la confidentialité et la sécurité des informations médicales protégées (PHI) des patients. La règle d’application établit également des procédures pour répondre aux plaintes et mener des enquêtes sur les violations alléguées, y compris l’imposition de pénalités monétaires civiles et de plans d’action correctifs.

Comprendre les dernières mises à jour HIPAA pour la conformité HIPAA

Les mises à jour les plus récentes de la HIPAA ont été mises en œuvre en 2013 et 2016.

En 2013, la règle Omnibus de la HIPAA a été introduite, apportant des changements significatifs aux réglementations régissant la manière dont les informations médicales protégées (PHI) sont gérées et protégées. Parmi les changements clés figuraient:

• Protections élargies pour les droits des patients, incluant le droit d’accès et de recevoir des copies de leurs informations médicales protégées, et le droit de demander des restrictions sur l’utilisation ou la divulgation de leurs informations médicales protégées
• Renforcement de l’application des réglementations HIPAA, incluant des amendes accrues pour non-conformité et une exigence pour les associés commerciaux (fournisseurs de services tiers) de se conformer aux réglementations HIPAA
• Définitions mises à jour de termes clés comme “associé commercial” et “informations médicales protégées”

En 2016, la règle de confidentialité de la HIPAA a été modifiée pour permettre à certaines entités couvertes, telles que les prestataires de soins de santé ou les assureurs, de divulguer les noms des individus identifiés comme ayant un état de santé mentale au Système national de vérification des antécédents criminels instantanés (NICS). Ce changement a été effectué en réponse à la fusillade de 2012 à l’école primaire Sandy Hook, qui a soulevé des préoccupations concernant la capacité des individus ayant des problèmes de santé mentale à obtenir des armes à feu. Toutefois, la divulgation de ces informations est soumise à certaines limitations et protections, y compris l’exigence pour l’entité couverte d’obtenir un consentement écrit spécifique de l’individu avant de divulguer leurs informations, et de fournir certaines divulgations à l’individu concernant les conséquences potentielles d’une telle divulgation.

Conformité IT HIPAA

La conformité à la HIPAA et la conformité informatique de la HIPAA varient légèrement.

La conformité HIPAA est un ensemble de règles et de réglementations établies par le département de la Santé et des Services sociaux des États-Unis (HHS) pour protéger la confidentialité, la sécurité et l’intégrité des informations médicales sensibles des patients. Cela inclut des exigences pour des protections administratives, physiques et techniques, telles que la mise en œuvre de politiques, procédures et mesures de sécurité.

La conformité IT HIPAA, en revanche, se réfère aux aspects techniques de la Règle de Sécurité HIPAA, spécifiquement concernant la mise en œuvre, la maintenance et la surveillance des protections techniques pour les informations médicales protégées électroniques (ePHI). Cela inclut la mise en place de mesures fortes d’authentification et de contrôle d’accès, des évaluations périodiques des risques de sécurité, ainsi que le chiffrement et la sécurisation des données stockées.

Existe-t-il une liste de vérification spécifique pour la conformité IT HIPAA ?

Certaines organisations IT doivent être conformes à la HIPAA car elles gèrent des données sensibles et/ou confidentielles protégées par la HIPAA. Ainsi, les organisations IT doivent prendre les mesures nécessaires pour s’assurer que leurs systèmes et procédures sont conformes aux réglementations HIPAA.

Les organisations IT devraient considérer ces éléments de la liste de contrôle pour démontrer la conformité IT HIPAA :

1. Avoir un Officier de Confidentialité HIPAA dédié responsable du développement et de la mise en œuvre des mesures de sécurité.
2. Identifier et classifier toutes les données qui relèvent de la juridiction de l’HIPAA.
3. Éduquer tout le personnel sur les lois et réglementations HIPAA.
4. Établissez et documentez les politiques et processus administratifs, techniques et physiques en relation avec HIPAA.
5. Équipez tous les ordinateurs et/ou postes de travail de mesures de sécurité suffisantes pour protéger contre l’accès non autorisé.
6. Conservez de manière sécurisée tous les documents contenant des informations médicales protégées et limitez l’accès uniquement au personnel autorisé.
7. Utilisez un logiciel de chiffrement lorsque cela est approprié pour protéger les données au repos.
8. Pratiquez une navigation Web sécurisée et utilisez un logiciel de sécurité pour les e-mails.
9. Éliminez correctement les documents et les dossiers contenant des données de patients ; le broyage ou l’incinération sont les méthodes préférées, les plus sûres.
10. Établissez et maintenez des procédures pour gérer les violations de sécurité et les tentatives d’accès non autorisé.
11. Révisez et surveillez régulièrement les journaux d’accès pour détecter tout accès non autorisé potentiel.
12. Mettez en œuvre des procédures complètes de journalisation et d’audit des utilisateurs.
13. Développez et mettez en œuvre des procédures de sauvegarde conformes aux directives HIPAA.
14. Développez et maintenez un plan de contingence et un système de récupération après sinistre.

Ressources de conformité HIPAA

Pour en savoir plus sur la HIPAA et les exigences de conformité HIPAA, assurez-vous de visiter ces ressources :

1. Site web HHS.gov
2. Site web du Journal HIPAA
3. Bureau des droits civils du HHS
4. Centres pour les services Medicare & Medicaid
5. Institut National des Standards et de la Technologie
6. Directives de gestion de la sécurité du HHS
7. Règle de sécurité HIPAA
8. Règle de confidentialité HIPAA
9. Publications spéciales du National Institute of Standards and Technology (NIST)
10. Loi HITECH sur la sécurité et la notification des violations

Commencer avec la conformité HIPAA

Si vous êtes nouveau en matière de conformité HIPAA, voici quelques étapes que votre organisation peut entreprendre pour commencer à devenir conforme à la HIPAA :

1. Élaborer un plan de conformité à la sécurité et à la confidentialité HIPAA.
2. Développer des politiques et procédures pour la manipulation et la protection des informations médicales protégées (PHI).
3. Mettre en place des mesures de protection physiques, administratives et techniques pour protéger les PHI.
4. Former le personnel aux meilleures pratiques et protocoles HIPAA.
5. Faire signer aux employés des reconnaissances HIPAA et confirmer qu’ils comprennent leurs responsabilités et obligations.
6. S’assurer que les associés d’affaires, les fournisseurs et les contractants ont signé des accords d’associé d’affaires (BAA) et sont conformes aux réglementations HIPAA.
7. Mettre en œuvre des procédures pour réviser, auditer et mettre à jour régulièrement la conformité HIPAA.
8. Enregistrer et documenter toutes les mesures de sécurité et de confidentialité des PHI.
9. Avoir un plan de réponse aux incidents en cas de violation ou de perte de données.
10. Surveiller régulièrement la sécurité des PHI et garantir une conformité totale avec les réglementations HIPAA.

Qu’est-ce que le HITECH et en quoi cela se rapporte-t-il à la conformité HIPAA ?

La loi Health Information Technology for Economic and Clinical Health (HITECH) a été signée en 2009 et informe les exigences de conformité pour toutes les années suivantes. De manière critique, cette loi a révisé les exigences légales des organisations de soins de santé dans plusieurs industries, y compris les soins de santé directs et la sécurité sociale.

Avant HITECH, seulement 10 % des hôpitaux utilisaient des dossiers de santé électroniques (DSE). HITECH a joué un rôle crucial en poussant les hôpitaux à passer à la tenue de dossiers électroniques. En partie, HITECH a promu l’adoption de la technologie de gestion numérique des DPI et la conformité subséquente avec les réglementations HIPAA. Cela inclut l’offre d’incitations pour passer à la technologie numérique.

D’ici 2017, en grande partie grâce à HITECH, le taux d’adoption des DSE était monté à 86 %.

HITECH a également transféré une partie de la responsabilité pour la conformité HIPAA. Pour encourager l’adoption de la technologie, la loi HITECH a révisé les réglementations de santé de manière à ce que les associés d’affaires soient directement responsables des violations, et que leur responsabilité soit détaillée dans un accord d’associé d’affaires (BAA) nécessaire avec une entité couverte.

HITECH a également augmenté les pénalités pour violations et encouragé les forces de l’ordre à poursuivre les violations plus rigoureusement afin que les organisations restent conformes.

Quelles sont les violations HIPAA ?

Être conforme signifie rester dans les réglementations énoncées dans les règles de confidentialité, de sécurité et de notification de violation. Si une organisation ne respecte pas ces normes pour rester conforme, alors elle est considérée en violation de l’HIPAA.

Les violations incluent :

• L’exposition illégale des ePHI à des parties non autorisées, volontairement ou accidentellement
• Défaut de mise en œuvre des protocoles de sécurité appropriés comme défini par la Règle de sécurité HIPAA
• Manque de protocoles administratifs ou de formation adéquats répondant aux exigences
• Défaut de notification appropriée des parties affectées et des fonctionnaires publics suite à des violations de données pertinentes
• Manque de volonté de mettre à jour, moderniser ou traiter les lacunes existantes en matière de conformité

Dans cet esprit, l’HIPAA divise les violations en deux groupes : civil et pénal.

• Violations civiles sont des incidents de non-conformité où la non-conformité était accidentelle ou sans intention malveillante. Cela inclut des événements tels que la négligence ou le manque de connaissance. Les pénalités ont tendance à être moins sévères pour les violations civiles :
  • Pour les individus qui ignorent les violations, l’amende est de 100 $ par incident.
  • Pour ceux ayant une cause raisonnable sans négligence, l’amende est d’un minimum de 1 000 $.
  • La négligence volontaire entraîne une amende minimale de 10 000 $ par incident.
  • La négligence volontaire, suivie sans une rectification immédiate de la violation, entraîne une amende minimale de 50 000 $ par violation.
• Violations criminelles sont celles commises avec une intention malveillante, c’est-à-dire, le vol, le profit ou la fraude. Les pénalités incluent ici :
  • Obtenir ou divulguer sciemment des ePHI est passible de jusqu’à 50 000 $ et 1 an de prison.
  • Commettre une fraude dans le cadre de la violation est passible de jusqu’à 100 000 $ et 5 ans de prison.
  • Commettre des violations dans l’intention de tirer profit de la violation est passible d’une amende allant jusqu’à 250 000 $ et jusqu’à 10 ans de prison.

De nombreuses violations répétées peuvent coûter aux organisations des millions de dollars par an.

Cela dit, il existe plusieurs exemples courants de violations :

• Fraude.La violation la plus directe et évidente est lorsque des individus volent des ePHI dans le but de réaliser un profit ou un gain. Les hackers ou les opérations internes sont rares, mais de plus en plus courantes à mesure que davantage d’hôpitaux et de réseaux de soins de santé se tournent vers la technologie cloud et s’appuient sur des prestataires de services non éprouvés.
• Perte ou vol d’appareils.Dans le monde des stations de travail de bureau, le vol de technologie était moins courant. Cependant, à mesure que davantage de cliniques et d’hôpitaux se tournent vers des appareils mobiles tels que des ordinateurs portables, des tablettes et des smartphones, il est de plus en plus probable que ces appareils puissent tomber entre de mauvaises mains.
• Manque de protection.La règle de sécurité définit les types deChiffrement HIPAA, pare-feux, et autres mesures de sécurité qui devraient être en place. De nombreuses organisations peuvent ne pas comprendre celles-ci, ou elles peuvent travailler avec un associé tiers qu’elles croient conforme mais qui ne l’est pas.
• Accès non autorisé au sein des organisations.Que ce soit le partage de données d’un individu autorisé à un individu non autorisé, ou l’utilisation d’appareils ou d’e-mails non chiffrés, il est extrêmement facile pour les travailleurs non formés d’accéder ou de transmettre des informations médicales protégées de manière inappropriée. En fait, la divulgation accidentelle d’informations médicales protégées est la forme la plus courante de violation, c’est pourquoi il existe toute une catégorie de pénalités moins sévères pour la couvrir.

Atteindre et maintenir la conformité HIPAA avec une liste de vérification d’auto-audit

En utilisant une liste de vérification d’auto-évaluation HIPAA, les organisations de santé peuvent identifier les éventuels domaines de non-conformité et prendre des mesures correctives avant qu’un audit du Département de la Santé et des Services Humains (HHS) n’ait lieu. Un auto-audit peut également aider les organisations de santé à éviter les pénalités et amendes coûteuses pour violations de l’HIPAA.

De plus, réaliser un auto-audit peut aider les organisations de santé à établir les meilleures pratiques pour la conformité à l’HIPAA et améliorer leur posture globale de sécurité des données. Cela peut également aider à construire la confiance avec les patients en démontrant un engagement à protéger leurs informations sensibles.

Utiliser une liste de vérification d’auto-évaluation HIPAA est une étape importante pour maintenir la conformité avec les réglementations HIPAA et protéger les données des patients.

Voici une liste de vérification pour l’auto-évaluation de la conformité à l’HIPAA :

1. Déterminer la portée de l’audit, y compris quelles entités et quels processus seront évalués.
2. Examiner les politiques et procédures pour assurer la conformité avec les réglementations HIPAA.
3. Vérifier que tous les membres du personnel ont reçu une formation HIPAA et que la formation est à jour.
4. Examiner les contrôles d’accès et vérifier que seules les personnes autorisées ont accès aux informations médicales protégées.
5. Évaluer les protections physiques, y compris les contrôles d’accès aux installations et aux postes de travail.
6. Revoir les protections techniques, y compris les contrôles d’accès aux systèmes, le chiffrement des informations médicales protégées et les politiques de mot de passe.
7. Vérifier que des accords d’associé d’affaires sont en place avec tous les fournisseurs tiers qui ont accès aux informations médicales protégées.
8. Évaluer les procédures de réponse aux incidents et vérifier qu’elles sont à jour et efficaces.
9. Examiner les procédures de notification de violation et vérifier qu’elles sont à jour et efficaces.
10. Vérifier que toute la documentation HIPAA requise est à jour et facilement accessible.
11. Évaluer la conformité avec la Règle de Confidentialité HIPAA, y compris l’obtention et la documentation des autorisations des patients pour les divulgations d’informations médicales protégées.
12. Revoir la conformité avec la Règle de Sécurité HIPAA, y compris la conduite d’évaluations régulières des risques et l’adressage des risques identifiés.
13. Vérifiez que toutes les divulgations d’informations médicales protégées sont correctement autorisées et documentées, y compris les divulgations pour le traitement, le paiement et les opérations de santé.
14. Examinez la conformité avec la règle de notification de violation de l’HIPAA, y compris le signalement en temps opportun de toute violation des informations médicales protégées non sécurisées.
15. Évaluez la conformité avec la règle Omnibus de l’HIPAA, y compris la conformité avec les nouvelles exigences pour les associés d’affaires et les sous-traitants.
16. Vérifiez que toutes les informations médicales protégées sont correctement éliminées conformément aux réglementations de l’HIPAA.
17. Examinez la conformité avec les lois étatiques et locales pouvant affecter la conformité à l’HIPAA.
18. Réalisez des audits périodiques et remédiez à tout domaine de non-conformité.
19. Documentez tous les résultats d’audit et les activités de remédiation.
20. Développez et mettez en œuvre un programme de conformité à l’HIPAA qui inclut une formation continue, un suivi et des audits.
21. Nommez un responsable de la conformité à l’HIPAA pour gérer vos efforts de conformité à travers votre organisation.
22. Suivez et protégez les appareils mobiles afin qu’ils ne se retrouvent pas entre les mains non autorisées, et que toutes les données qu’ils contiennent soient correctement chiffrées. Mettez en œuvre des effacements à distance pour détruire les informations médicales protégées qui sont volées, ou évitez simplement de stocker des informations médicales protégées sur les appareils mobiles dès le départ.

Conformité HIPAA vs. conformité RGPD : Qui a la priorité ?

Le Règlement Général sur la Protection des Données de l’UE (RGPD) et la Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie (HIPAA) sont deux réglementations distinctes visant à protéger la confidentialité des données personnelles. Le RGPD s’applique à toutes les entreprises qui traitent ou gèrent des données personnelles de citoyens de l’UE, quelle que soit leur localisation, tandis que l’HIPAA est applicable aux prestataires de soins de santé, aux assureurs et à leurs associés commerciaux aux États-Unis. Cependant, comme les entités de santé et les associés commerciaux opèrent de plus en plus à l’échelle mondiale, il est essentiel de comprendre l’impact du RGPD sur la conformité à l’HIPAA.

Le RGPD impose des exigences de protection des données plus strictes que l’HIPAA, incluant :

Consentement explicite dans le RGPD

Le RGPD exige un consentement explicite avant de traiter les données personnelles d’un individu, tandis que l’HIPAA ne requiert qu’une autorisation générale.

Droits des personnes concernées dans le RGPD

Le RGPD accorde aux individus un contrôle plus étendu sur leurs données, incluant le droit d’accéder, de rectifier et d’effacer leurs données personnelles, tandis que le HIPAA offre des droits limités d’accès et de demande de modification.

Délégué à la protection des données (DPO) stipulé dans le RGPD

Le RGPD exige que certaines organisations désignent un DPO pour superviser la protection des données, tandis que le HIPAA n’exige pas ce rôle.

Notifications de violation de données requises par le RGPD

Le RGPD oblige les organisations à signaler les violations de données dans les 72 heures, tandis que le HIPAA exige un signalement dans les 60 jours.

Sanctions RGPD

Le RGPD impose des pénalités nettement plus élevées pour non-conformité, avec des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé. En contraste, les amendes HIPAA varient de 100 à 50 000 dollars par violation, jusqu’à un maximum de 1,5 million de dollars par an.

Par conséquent, les entités de santé et les associés commerciaux qui traitent les données personnelles des citoyens de l’UE doivent s’assurer de la conformité à la fois avec le RGPD et le HIPAA. Ils devraient réviser leurs politiques et procédures de confidentialité des données, mettre en œuvre les changements nécessaires pour répondre aux exigences du RGPD, et former leur personnel sur les dispositions des réglementations. Le non-respect de l’une ou l’autre de ces réglementations peut entraîner des pénalités financières significatives et nuire à la réputation d’une organisation.

Kiteworks aide les organisations à atteindre la conformité HIPAA avec un réseau de contenu privé

Le Kiteworks Réseau de contenu privé aide les entités couvertes et leurs associés commerciaux à atteindre et à maintenir la conformité HIPAA en protégeant les informations médicales protégées et autres contenus sensibles qu’ils partagent avec des tiers de confiance.

Kiteworks consolide les communications avec les tiers comme l’email, le partage sécurisé de fichiers, transfert sécurisé de fichiers, SFTP, et formulaires Web afin que les organisations puissent contrôler, protéger et suivre les informations médicales protégées qui sont consultées, envoyées, stockées et reçues. Les fonctionnalités de sécurité et de conformité comprennent :

• Un appliance virtuel durci pré-configuré et autonome doté d’une protection antivirus intégrée et d’un système de détection d’intrusion (IDS)
• Chiffrement AES du contenu au repos et chiffrement TLS 1.2 pour le contenu en transit, et des mesures de sécurité supplémentaires comme la rotation des clés, les délais d’expiration des sessions, les vérifications d’intégrité et l’antivirus
• Rapports de conformité HIPAA et RGPD en un clic démontrant que les mesures de protection administratives, physiques et techniques sont en place, conformément à HIPAA
• Contrôles d’accès granulaires, permissions basées sur le rôle, et expirations de fichiers/dossiers qui restreignent l’accès aux informations médicales protégées aux personnes autorisées et uniquement pour le temps nécessaire
• Sécuriséoptions de déploiement incluant sur site, privé, hybride, et cloud privé virtuel FedRAMP
• Détection de menaces, atténuation, et analyses médico-légales via un Tableau de bord du RSSI analyse et journaux d’audit complets qui peuvent être exportés vers votre SIEM

Pour découvrir comment Kiteworks peut aider votre organisation à respecter la conformité HIPAA, planifiez une démonstration personnalisée dès aujourd’hui.

Ressources supplémentaires

• Étude de cas Les cliniciens et le personnel de NYC Health + Hospitals partagent les informations médicales protégées de manière sécurisée et efficace
• Article de blog Meilleurs formulaires conformes à HIPAA
• Article de blog Chiffrement HIPAA : Exigences, meilleures pratiques & logiciels
• Article de blog Envoyer un email conforme à HIPAA
• Article de blog Violation HIPAA [Ce que c’est & comment gérer les conséquences]