Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

HITECH Act : Ce qu’il faut savoir

Accueil Glossaire Conformité à la loi HITECH : Guide étape par étape pour les prestataires de santé

La loi HITECH, abréviation de Health Information Technology for Economic and Clinical Health Act, est une législation américaine adoptée en 2009. Son objectif principal est de promouvoir l’adoption et l’utilisation pertinente des dossiers de santé électroniques (EHR) par les prestataires de santé aux États-Unis, tout en renforçant la confidentialité et la sécurité des informations médicales personnelles. Elle constitue une extension de la Health Insurance Portability and Accountability Act (HIPAA), promulguée en 1996. HITECH a un impact majeur sur le secteur de la santé, notamment en matière de confidentialité et de sécurité des informations personnelles identifiables et des informations médicales protégées (PII/PHI). Dans cet article, nous allons vous expliquer tout ce qu’il faut savoir sur HITECH et ses implications pour les prestataires de santé.

Conformité à la loi HITECH : Guide étape par étape pour les prestataires de santé

Qu’est-ce que HITECH et pourquoi cette loi a-t-elle été adoptée ?

La loi HITECH fait partie de l’American Recovery and Reinvestment Act (ARRA) de 2009, signée par le président Obama pour stimuler la croissance économique et créer des emplois après la Grande Récession. HITECH a été adoptée pour répondre au besoin de renforcer la sécurité et la confidentialité des dossiers médicaux électroniques, ainsi qu’à l’absence de normes d’interopérabilité pour ces dossiers.

La loi HITECH vise à atteindre les objectifs suivants :

  • Promouvoir l’adoption et l’utilisation des EHR par les prestataires de santé afin d’améliorer la qualité et l’efficacité des soins aux patients
  • Renforcer la confidentialité et la sécurité des informations médicales électroniques grâce à de nouvelles réglementations et normes
  • Encourager la recherche et le développement dans le domaine des technologies de l’information en santé (HIT)

La loi HITECH prévoit des incitations financières pour les prestataires de santé qui démontrent une « utilisation pertinente » des EHR, c’est-à-dire l’utilisation des EHR pour atteindre des objectifs précis liés à la qualité, à la sécurité et à l’efficacité des soins. Elle impose également des pénalités aux prestataires qui ne respectent pas l’adoption et l’utilisation des EHR dans les délais impartis.

Objectifs principaux de la loi HITECH

La Health Information Technology for Economic and Clinical Health (HITECH) Act a été adoptée pour accélérer l’adoption des technologies de l’information en santé à l’échelle du système de santé américain. Ses objectifs portent sur la promotion de l’utilisation des dossiers de santé électroniques (EHR), l’amélioration des soins aux patients et le renforcement de la confidentialité des données. Voici les principaux axes qui illustrent la mission de HITECH pour moderniser la santé grâce à une transformation numérique sécurisée, efficace et centrée sur le patient :

  • Favoriser l’adoption des EHR : Encourager l’adoption généralisée et l’« utilisation pertinente » des EHR certifiés par les prestataires de santé grâce à des incitations financières. L’objectif est de numériser les dossiers médicaux, d’abandonner le papier pour améliorer l’efficacité et l’accessibilité des données.
  • Renforcer la confidentialité et la sécurité : Renforcer la protection des informations médicales protégées (PHI), notamment sous forme électronique (ePHI). Cela passe par l’élargissement du champ d’application de la HIPAA, l’augmentation des sanctions en cas de non-conformité et l’introduction d’exigences plus strictes en matière de notification des violations.
  • Améliorer la qualité et l’efficacité des soins : Exploiter les technologies de l’information en santé pour améliorer la qualité, la sécurité et l’efficacité des soins. Les objectifs incluent la réduction des erreurs médicales, l’amélioration de la coordination des soins entre prestataires et l’aide à la décision clinique grâce aux fonctions des EHR.
  • Impliquer les patients et leurs familles : Donner aux patients un meilleur accès à leurs informations médicales électroniques et les impliquer davantage dans les décisions concernant leurs soins.
  • Stimuler l’innovation et l’infrastructure IT santé : Encourager l’investissement dans l’infrastructure nationale de l’IT santé, notamment les réseaux d’échange d’informations médicales (HIE), et promouvoir l’innovation dans le développement et l’utilisation des technologies de santé.

Quelles sont les principales dispositions de la loi HITECH ?

HITECH comporte plusieurs dispositions majeures qui impactent les prestataires et les organisations de santé. Parmi celles-ci :

Utilisation pertinente des EHR

L’un des éléments clés de la loi HITECH est le programme Meaningful Use, qui offre des incitations financières aux prestataires éligibles démontrant une utilisation pertinente de la technologie EHR certifiée. Ce programme s’est déroulé en trois étapes, chacune imposant des exigences croissantes. Les prestataires qui ne respectent pas ces exigences s’exposent à des pénalités sous forme de réductions des remboursements Medicare.

Exigences en matière de confidentialité et de sécurité

HITECH est une loi essentielle qui vise à améliorer la qualité et l’efficacité des soins tout en protégeant la confidentialité et les informations des patients. Ses exigences en matière de sécurité fournissent un cadre important pour aider les organisations de santé à protéger les PHI contre tout accès non autorisé.

HITECH exige des organisations de santé qu’elles mettent en place des mesures pour sécuriser les PHI et garantir la confidentialité des patients. Cela implique la mise en œuvre de mesures de sécurité techniques et non techniques, telles que le chiffrement et les contrôles d’accès, la formation des employés aux protocoles de confidentialité et de sécurité, et la limitation de l’accès aux PHI aux seules personnes qui en ont besoin.

La loi impose également aux organisations de santé de veiller à disposer de mesures pour détecter, répondre et rendre compte de toute violation potentielle de la confidentialité et de la sécurité. Cela signifie qu’elles doivent avoir des politiques et procédures pour répondre et enquêter sur toute violation potentielle, et notifier les personnes concernées.

HITECH exige aussi que les organisations de santé évaluent régulièrement l’efficacité de leurs mesures de sécurité et procèdent à toute mise à jour nécessaire. Cela inclut des mesures techniques et non techniques, telles que la mise à jour régulière des mots de passe, la formation du personnel et la revue des journaux d’audit.

Enfin, HITECH impose aux organisations de santé de disposer d’un processus pour éliminer de manière sécurisée les PHI devenues inutiles. Cela implique de s’assurer que les PHI sont détruites de façon sécurisée, par exemple par déchiquetage des documents ou suppression sécurisée des données.

Exigences de notification en cas de violation

L’une des dispositions majeures de la loi HITECH est la règle de notification des violations, qui impose aux entités couvertes de notifier les personnes concernées, le Department of Health and Human Services (HHS) et, dans certains cas, les médias en cas de violation de PHI non sécurisées.

La règle de notification s’applique à toute personne ou organisation qui crée, reçoit, conserve ou transmet des PHI. Les entités couvertes doivent notifier toute personne dont les PHI non sécurisées ont été, ou sont raisonnablement supposées avoir été, consultées ou acquises. La notification doit intervenir sans retard injustifié, et au plus tard 60 jours après la violation.

Les organisations doivent également informer immédiatement le HHS de toute violation impliquant plus de 500 personnes, et fournir une description détaillée de l’incident dans les 60 jours. De plus, elles doivent notifier les médias en cas de violation touchant plus de 500 personnes dans le même État ou territoire.

Si la violation concerne 500 personnes ou moins, la notification aux médias peut être exigée si le HHS le juge nécessaire et approprié. Le HHS peut aussi décider si une notification à une agence de crédit est requise. La règle de notification précise également le contenu des notifications, incluant une description succincte de l’incident, les PHI concernées, les mesures à prendre par les personnes affectées et les coordonnées de l’organisation.

La loi HITECH prévoit des sanctions importantes en cas de non-respect de la règle de notification. Les organisations en infraction s’exposent à des amendes civiles pouvant atteindre 50 000 $ par violation.

Échange d’informations médicales (HIE)

La loi HITECH prévoit également des dispositions pour l’échange d’informations médicales (HIE), permettant le partage sécurisé des informations de santé des patients entre prestataires et organisations de santé. Elle permet aux prestataires de santé d’échanger de manière sécurisée les informations médicales des patients avec d’autres prestataires agréés.

Ces échanges sont chiffrés et visent à améliorer la qualité des soins, réduire les coûts et optimiser l’expérience patient lors de consultations multiples. Le HIE permet aussi un accès en temps réel aux dossiers patients, pour une meilleure coordination des soins et une réduction des erreurs.

Le HIE offre également une plateforme pour le partage de bonnes pratiques et de recommandations fondées sur les preuves. Les prestataires peuvent accéder à des données agrégées pour améliorer les initiatives de santé publique. Le HIE permet aussi la mise à disposition de portails patients, offrant à ces derniers un accès à leurs dossiers médicaux.

Dates clés et étapes de la conformité HITECH

La loi HITECH a introduit une série d’étapes réglementaires et opérationnelles majeures qui ont façonné l’approche du secteur de la santé en matière de dossiers médicaux électroniques (EHR), de confidentialité des données et de conformité. Voici les événements et échéances majeurs qui ont marqué l’évolution de HITECH :

  • 17 février 2009 : Signature de la loi HITECH dans le cadre de l’American Recovery and Reinvestment Act (ARRA). Les prestataires doivent commencer à évaluer les implications pour l’adoption des EHR et les pratiques de confidentialité/sécurité.
  • 30 novembre 2009 : Entrée en vigueur de la règle provisoire sur l’augmentation des sanctions pécuniaires pour violation de la HIPAA dans le cadre de HITECH. Les prestataires doivent être conscients de la hausse significative des amendes potentielles en cas de non-conformité.
  • 17 février 2010 : Les dispositions de sécurité et de confidentialité de la HIPAA, y compris les exigences de notification en cas de violation, s’appliquent directement aux Business Associates. Les prestataires doivent s’assurer que leurs accords de partenariat (BAA) sont à jour et que leurs partenaires sont conformes.
  • 23 septembre 2009 : Entrée en vigueur de la règle de notification des violations, imposant la notification aux personnes, au HHS et potentiellement aux médias en cas de violation de PHI non sécurisées. Les prestataires doivent mettre en place des protocoles de détection et de réponse aux violations.
  • 2011 : Début des paiements d’incitation pour l’étape 1 du Meaningful Use pour les professionnels et hôpitaux éligibles démontrant une utilisation pertinente de la technologie EHR certifiée. L’adoption précoce et le respect des critères de l’étape 1 sont essentiels pour maximiser les incitations.
  • 1er janvier 2012 : Date de conformité aux nouvelles normes de transaction (ASC X12 Version 5010). Les prestataires doivent s’assurer que leurs systèmes sont compatibles avec ces nouveaux standards.
  • 26 mars 2013 : Entrée en vigueur de la règle finale Omnibus HIPAA, mettant en œuvre la plupart des modifications HITECH aux règles de confidentialité, de sécurité, d’application et de notification des violations. Les prestataires ont jusqu’au 23 septembre 2013 pour se conformer à la majorité des dispositions.
  • 2014 : Début de l’étape 2 du Meaningful Use, exigeant des fonctionnalités EHR plus avancées et une plus grande implication des patients. Les prestataires doivent mettre à niveau leurs systèmes et processus.
  • 2015 : Début des ajustements de paiement Medicare (pénalités) pour les professionnels et hôpitaux n’ayant pas démontré l’utilisation pertinente. La conformité devient financièrement cruciale.
  • 2018 : Le programme Meaningful Use est renommé « Promoting Interoperability » dans le cadre du MACRA, avec une évolution des priorités. Les prestataires doivent s’adapter aux nouvelles exigences de reporting MIPS intégrant les anciens objectifs du Meaningful Use.
  • 5 janvier 2021 : Adoption de l’amendement HITECH (HIPAA Safe Harbor Law). Le HHS doit prendre en compte la mise en œuvre de pratiques de sécurité reconnues pendant au moins 12 mois lors de la détermination des sanctions/remèdes en cas de violation. Les prestataires doivent documenter leur conformité à des cadres comme le NIST CSF.

Amendements de 2021 et évolutions récentes

Un développement majeur concernant la loi HITECH est intervenu le 5 janvier 2021, avec la promulgation du H.R. 7898, souvent appelé « HIPAA Safe Harbor Law ».

Cette modification impose au Department of Health and Human Services (HHS) Office for Civil Rights (OCR) de prendre en compte la mise en œuvre de « pratiques de sécurité reconnues » par une entité couverte ou un Business Associate pendant au moins les 12 mois précédant une violation ou un incident de sécurité, lors de la détermination des sanctions, résultats d’audit et autres mesures liées à d’éventuelles violations de la HIPAA Security Rule.

Les « pratiques de sécurité reconnues » incluent les standards et directives élaborés dans le cadre du NIST Act, les approches du Cybersecurity Act de 2015 (Section 405(d)), et d’autres programmes de cybersécurité établis.

Bien qu’il ne s’agisse pas d’un véritable « safe harbor » garantissant l’immunité, cet amendement incite fortement les organisations à adopter et documenter des cadres de cybersécurité robustes, ce qui peut permettre d’atténuer les sanctions et de réduire les mesures correctives en cas d’incident. Il souligne l’importance de s’aligner sur les bonnes pratiques de sécurité comme partie intégrante des exigences de conformité HITECH.

Sanctions en cas de non-conformité à HITECH

Les sanctions en cas de non-conformité à la loi HITECH (Health Information Technology for Economic and Clinical Health) peuvent être très lourdes. Le Department of Health and Human Services (HHS) Office for Civil Rights (OCR) peut infliger des amendes civiles allant jusqu’à 1,5 million de dollars par violation, ainsi que des sanctions pénales en cas de divulgation illicite d’informations médicales identifiables individuellement (IIHI).

En outre, le non-respect de la HIPAA et de HITECH peut entraîner la divulgation publique de la violation, des avertissements administratifs et la perte des droits de facturation Medicare et Medicaid. Les organisations et individus qui ne respectent pas les règles s’exposent également à des poursuites civiles et pénales, à de lourdes amendes et à des peines de prison. La conformité à HITECH est indispensable pour toute organisation souhaitant protéger les informations médicales de ses patients et respecter les réglementations en vigueur.

Explication des quatre niveaux de sanctions

La loi HITECH a instauré une structure de sanctions graduée pour les violations de la HIPAA, augmentant considérablement les amendes potentielles selon le degré de responsabilité. Ces sanctions sont réévaluées chaque année en fonction de l’inflation. Voici un aperçu des quatre niveaux :

  • Niveau 1 : Absence de connaissance. S’applique lorsque l’entité couverte ou le Business Associate ignorait la violation et ne pouvait raisonnablement l’éviter, même avec des précautions adéquates. Exemple : une panne matérielle imprévisible provoque une exposition brève et contenue de données malgré des mesures de sécurité robustes. Amende minimale par violation : ~141 $ ; maximale : ~70 828 $ (dernière révision). Plafond annuel : ~2 134 831 $ (le HHS applique actuellement un plafond discrétionnaire de 25 000 $ pour ce niveau).
  • Niveau 2 : Cause raisonnable. S’applique lorsque la violation résulte d’une « cause raisonnable » (circonstances rendant la conformité impossible malgré des précautions raisonnables), sans négligence volontaire. Exemple : une faille logicielle nouvellement découverte est exploitée avant qu’un correctif ne soit disponible, malgré des pratiques de mise à jour rapides. Amende minimale par violation : ~1 417 $ ; maximale : ~70 828 $. Plafond annuel : ~2 134 831 $ (plafond discrétionnaire du HHS : 100 000 $).
  • Niveau 3 : Négligence volontaire – corrigée. S’applique lorsque la violation résulte d’une négligence volontaire (manquement conscient, intentionnel ou indifférence à l’obligation de conformité), mais a été corrigée dans les 30 jours suivant la découverte. Exemple : un employé accède à des PHI sans autorisation en raison de contrôles d’accès insuffisants, mais le problème est rapidement identifié et corrigé par des mesures disciplinaires et techniques. Amende minimale par violation : ~14 166 $ ; maximale : ~70 828 $. Plafond annuel : ~2 134 831 $ (plafond discrétionnaire du HHS : 250 000 $).
  • Niveau 4 : Négligence volontaire – non corrigée. Niveau le plus sévère, s’applique aux violations résultant d’une négligence volontaire non corrigée dans les 30 jours. Exemple : ignorer des avertissements répétés concernant des ordinateurs portables non chiffrés contenant des PHI, entraînant un vol et une violation majeure, sans action corrective dans les 30 jours. Amende minimale par violation : ~70 828 $ ; maximale : ~2 134 831 $. Plafond annuel : ~2 134 831 $ (sans réduction discrétionnaire du HHS).

Comprendre ces niveaux souligne l’importance d’une conformité proactive à HITECH et de la démonstration d’une vigilance et d’une diligence raisonnable dans la protection des PHI.

Composantes clés de la loi HITECH

La loi HITECH comprend plusieurs sections majeures visant à moderniser l’IT santé et à renforcer la protection des données patients.

Bien qu’on résume souvent la loi à ses principaux objectifs, elle est structurée en sous-titres distincts. Le sous-titre A porte sur la promotion des technologies de l’information en santé, détaille les initiatives pour améliorer la qualité, la sécurité et l’efficacité des soins grâce à la technologie, crée l’Office of the National Coordinator for Health IT (ONC) et précise les processus d’adoption des standards.

Le sous-titre B traite des tests des technologies de l’information en santé, définit l’éligibilité et les processus de test et de certification des systèmes EHR selon les standards établis.

Le sous-titre C couvre les subventions et prêts, précisant les ressources financières allouées au soutien de l’adoption des HIT, à la formation des effectifs et au développement des infrastructures.

Le sous-titre D, essentiel pour la conformité, porte sur les dispositions de confidentialité et de sécurité. Ce sous-titre a considérablement modifié la HIPAA en renforçant l’application, en augmentant les sanctions, en instaurant la règle de notification des violations, en étendant les règles HIPAA aux Business Associates et en renforçant les droits des patients sur leurs PHI.

Bien que l’on parle parfois de six composantes distinctes (utilisation pertinente, conformité des BA, notification des violations, négligence volontaire/audit, mises à jour HIPAA, accès EHR), elles relèvent souvent des grands sous-titres législatifs, notamment A et D, offrant ainsi un cadre pour atteindre les objectifs de HITECH.

Quel est l’impact de HITECH sur les prestataires et organisations de santé ?

La loi HITECH a profondément transformé le secteur de la santé depuis son adoption. Elle a permis une forte augmentation de l’adoption et de l’utilisation des EHR par les prestataires de santé, avec plus de 80 % des hôpitaux et 50 % des cabinets médicaux américains utilisant désormais des EHR. Cela se traduit par plusieurs avantages, notamment :

  • Amélioration de la sécurité des patients et de la qualité des soins grâce à un meilleur accès à l’information et aux outils d’aide à la décision
  • Gain d’efficacité et de productivité pour les prestataires grâce à l’automatisation des tâches et processus courants
  • Réduction des coûts grâce à la diminution des dépenses administratives et des erreurs médicales

La loi HITECH a également favorisé le développement de nouveaux produits et services HIT, tels que la télésanté et les applications mobiles de santé, permettant aux patients d’accéder à distance et plus facilement aux services de santé.

Quel est l’impact de HITECH sur les patients ?

HITECH a également un impact important sur les patients. Ceux-ci disposent du droit d’accéder à leurs informations médicales électroniques et de les contrôler. Ils peuvent aussi demander un relevé des divulgations de leurs informations et déposer une réclamation s’ils estiment que leurs droits n’ont pas été respectés.

Quel est l’impact de HITECH sur les fournisseurs de technologies de santé ?

HITECH concerne aussi les fournisseurs de technologies de santé. Ces derniers doivent se conformer aux exigences de certification de HITECH afin de garantir que leurs solutions respectent certains standards d’interopérabilité et de sécurité.

Défis liés à la mise en œuvre de HITECH

Malgré les nombreux bénéfices de cette loi, des défis et critiques subsistent, tels que le coût élevé et la complexité de la mise en œuvre et de l’utilisation des EHR, ainsi que les inquiétudes concernant les risques de violation de données et d’atteinte à la vie privée.

Un autre défi de la loi HITECH est la fracture numérique : les prestataires dans les zones défavorisées ou rurales rencontrent des difficultés à adopter et déployer les EHR par manque de ressources et d’accès à la technologie. Pour y remédier, la loi HITECH a mis en place des programmes de subventions pour soutenir l’adoption des EHR dans ces zones.

Quelles sont les différences entre HIPAA et HITECH ?

HIPAA et HITECH sont deux lois fédérales américaines encadrant la confidentialité et la sécurité des informations médicales. Toutefois, il existe des différences notables entre les deux :

Périmètre

HIPAA couvre toutes les informations médicales protégées (PHI), tandis que HITECH étend les dispositions de confidentialité et de sécurité de la HIPAA aux dossiers médicaux électroniques (EHR).

Application

La HIPAA est appliquée par l’Office for Civil Rights (OCR) du Department of Health and Human Services (HHS), tandis que HITECH élargit l’autorité de l’OCR pour imposer des sanctions en cas de violation de la HIPAA.

Sanctions

Les violations de la HIPAA peuvent entraîner des sanctions civiles et pénales, mais HITECH a augmenté les montants des sanctions. L’amende maximale pour une seule violation est désormais de 1,5 million de dollars.

Notifications en cas de violation

La HIPAA impose aux entités couvertes de notifier les patients et le HHS en cas de violation de PHI non sécurisées touchant plus de 500 personnes. HITECH élargit cette obligation en imposant aussi la notification aux médias si la violation concerne plus de 500 personnes.

Business Associates

La HIPAA impose aux entités couvertes de conclure des accords avec leurs fournisseurs traitant des PHI. HITECH étend les exigences de confidentialité et de sécurité de la HIPAA aux Business Associates eux-mêmes, et prévoit des sanctions en cas de violation. HITECH renforce ainsi la protection des dossiers médicaux électroniques, augmente les sanctions et élargit le champ d’application aux Business Associates.

Pourquoi la loi HITECH reste-t-elle essentielle aujourd’hui ?

Même plusieurs années après ses premières phases de mise en œuvre, la loi HITECH demeure essentielle pour les prestataires de santé en 2025 et au-delà.

Sa pertinence s’explique par plusieurs facteurs clés. D’abord, la base numérique posée par HITECH est fondamentale pour évoluer dans l’écosystème de santé actuel, marqué par la multiplication des cyberattaques. L’accent mis par HITECH sur des mesures de sécurité robustes et la notification des violations fournit un cadre indispensable pour protéger les données sensibles des patients face à des attaques sophistiquées.

Ensuite, la recherche d’une véritable interopérabilité, accélérée par HITECH et renforcée par des lois comme le 21st Century Cures Act, se poursuit. Les prestataires s’appuient sur les principes de HITECH pour échanger de manière sécurisée les informations médicales, améliorer la coordination des soins et éviter les examens redondants.

Par ailleurs, l’essor de la télésanté et de la surveillance à distance des patients, qui reposent sur des échanges électroniques sécurisés, souligne l’importance continue de HITECH pour permettre des modèles de soins flexibles et accessibles.

Enfin, les dispositions de HITECH donnent aux patients un meilleur accès à leurs données et un plus grand contrôle, favorisant leur implication et la prise de décision partagée, au cœur des soins centrés sur le patient aujourd’hui.

Respecter les principes de HITECH ne se limite pas à la conformité : c’est fondamental pour opérer de manière sécurisée, efficace et performante dans l’environnement de santé actuel, axé sur la donnée.

Checklist de conformité HITECH pour les prestataires

La conformité à la loi HITECH impose aux organisations de santé et à leurs Business Associates de mettre en œuvre des mesures administratives, techniques et physiques rigoureuses pour protéger les informations médicales électroniques protégées (ePHI). Cette checklist présente les actions clés pour répondre aux exigences de HITECH, réduire les risques et démontrer la diligence requise lors d’un audit ou d’une violation de données :

  1. Réaliser régulièrement des analyses de risques : Effectuer et documenter des analyses de risques de sécurité approfondies (comme l’exige la HIPAA Security Rule et renforcé par HITECH) au moins une fois par an ou après tout changement majeur, afin d’identifier les vulnérabilités concernant les ePHI.
  2. Mettre en œuvre un plan de gestion des risques : Élaborer et appliquer activement un plan pour traiter et atténuer les risques identifiés lors de l’analyse. Documenter toutes les actions correctives.
  3. Utiliser une technologie EHR certifiée (le cas échéant) : S’assurer que les systèmes EHR répondent aux critères de certification ONC, notamment si vous participez à des programmes d’incitation comme Promoting Interoperability.
  4. Maintenir des accords Business Associate (BAA) à jour : Veiller à ce que tous les fournisseurs traitant des PHI disposent de BAA solides, reflétant la responsabilité directe imposée par HITECH. Contrôler la conformité des BA.
  5. Mettre en place des contrôles d’accès stricts : Appliquer des politiques et procédures (techniques et administratives) pour limiter l’accès aux ePHI en fonction du rôle utilisateur et du principe du moindre privilège. Revoir régulièrement les journaux d’accès.
  6. Assurer le chiffrement des données : Chiffrer les ePHI au repos (stockées) et en transit (transmises électroniquement). Bien que le chiffrement ne soit pas strictement obligatoire selon la HIPAA sauf si jugé raisonnable et approprié, il offre une exemption de notification en cas de perte/vol d’appareils contenant uniquement des données chiffrées.
  7. Élaborer et tester un plan de réponse aux incidents : Disposer d’un plan documenté pour détecter, répondre et signaler les incidents de sécurité et violations potentielles de PHI non sécurisées, conformément aux délais de la règle de notification.
  8. Mettre en place des procédures de notification des violations : S’assurer que des procédures claires existent pour notifier les personnes concernées, le HHS et éventuellement les médias dans les délais imposés par HITECH (par exemple, sans retard injustifié, au plus tard 60 jours).
  9. Former régulièrement le personnel : Organiser des formations continues sur la sécurité et les politiques HIPAA/HITECH pour tous les membres du personnel, y compris la direction. Documenter toutes les sessions de formation.
  10. Maintenir une documentation complète : Conserver des archives détaillées de toutes les analyses de risques, politiques, procédures, formations, réponses aux incidents, notifications de violation, BAA et autres activités de conformité pendant au moins six ans.
  11. Respecter les droits des patients : Mettre en place des processus pour satisfaire les droits des patients élargis ou clarifiés par HITECH, notamment la fourniture de copies électroniques des EHR sur demande et la tenue d’un registre des divulgations.
  12. Revoir les pratiques de sécurité reconnues (pour atténuer les sanctions potentielles) : Envisager de mettre en œuvre et de documenter l’adhésion à des « pratiques de sécurité reconnues » (ex : cadres NIST) pendant au moins 12 mois, car cela peut réduire les sanctions selon l’amendement HITECH de 2021.

Bonnes pratiques pour maintenir la conformité HITECH

Maintenir la conformité à la loi HITECH nécessite une approche proactive et évolutive de la sécurité, allant au-delà des simples listes de contrôle. Voici quelques bonnes pratiques pour rester conforme à HITECH :

  1. Adopter une surveillance continue des systèmes et réseaux pour détecter les menaces et anomalies en temps réel, plutôt que de se limiter à des évaluations périodiques.
  2. Mettre en place une architecture « zero trust », qui part du principe qu’aucun utilisateur ou appareil n’est digne de confiance par défaut, quel que soit son emplacement, et exige une vérification stricte à chaque tentative d’accès.
  3. Renforcer la gouvernance des risques liés aux fournisseurs, en allant au-delà des BAA pour évaluer en continu les pratiques de sécurité des prestataires tiers ayant accès aux PHI.
  4. Planifier des sessions de formation à la sécurité au moins une fois par an, voire plus fréquemment selon les besoins, en mettant l’accent sur les menaces actuelles comme le phishing et l’ingénierie sociale, et en documentant rigoureusement la participation.
  5. Procéder à des revues et mises à jour périodiques des politiques pour s’assurer que les procédures reflètent la réalité technologique, les évolutions réglementaires (comme l’amendement HITECH de 2021) et les changements organisationnels.
  6. Tester régulièrement le plan de réponse aux incidents via des exercices de simulation pour garantir son efficacité.
  7. Utiliser des solutions de sécurité offrant des journaux d’audit robustes pour tracer les accès et modifications sur les ePHI.
  8. Consulter des ressources telles que le programme HHS 405(d) pour les bonnes pratiques de cybersécurité en santé et les cadres NIST, qui s’alignent sur les « pratiques de sécurité reconnues » mentionnées dans l’amendement HITECH pour atténuer les sanctions potentielles. Se tenir informé des actions d’application et des recommandations de l’OCR offre des enseignements précieux sur les priorités de conformité.

L’avenir de la loi HITECH

La loi HITECH continue d’évoluer et de s’adapter aux besoins changeants du secteur de la santé. En 2020, le gouvernement américain a introduit le 21st Century Cures Act, qui s’appuie sur HITECH et vise à promouvoir l’innovation dans les HIT et à améliorer l’accès des patients aux services de santé. Cette loi prévoit des financements supplémentaires pour la recherche et le développement en HIT, et inclut des dispositions sur l’interopérabilité et l’accès des patients à leurs informations médicales.

À l’avenir, la loi HITECH ouvre la voie à de nouveaux progrès en IT santé, comme l’utilisation de l’intelligence artificielle (IA), la télémédecine et d’autres technologies innovantes. Ces nouveaux outils pourraient encore améliorer la qualité des soins, accroître l’efficacité et réduire les coûts.

Cependant, comme pour toute nouvelle technologie, des préoccupations subsistent quant aux risques et défis liés à leur adoption et utilisation. Il sera essentiel que prestataires, décideurs et patients collaborent pour relever ces défis et garantir que les bénéfices des IT santé soient pleinement réalisés tout en limitant les risques potentiels.

Comment naviguer la conformité HITECH en 2023 avec Kiteworks

Pour rester conforme aux réglementations HITECH et HIPAA, les entités doivent s’assurer que toutes les informations médicales protégées (PHI) sont stockées et traitées de manière sécurisée. Toute PHI doit également être chiffrée, aussi bien en transit qu’au repos, et faire l’objet d’une surveillance régulière pour détecter tout accès non autorisé. Les entités doivent aussi veiller à ce que seules les personnes autorisées accèdent aux PHI, à conserver des journaux d’audit et à révoquer tout droit d’accès lors du départ d’un employé.

Par ailleurs, un processus d’évaluation des risques doit être mis en place et actualisé régulièrement, et une formation continue du personnel sur la conformité HITECH et HIPAA doit être assurée. Enfin, il est indispensable d’être prêt à réagir en cas de violation de données et de disposer d’un plan de réponse aux incidents bien défini. En suivant ces étapes, les entités peuvent naviguer efficacement la conformité HITECH en 2023.

Les organisations qui utilisent le Réseau de données privé Kiteworks prouvent leur conformité aux réglementations sur la confidentialité des données telles que HITECH. Kiteworks unifie, trace, contrôle et sécurise les communications de contenu sensible—y compris la messagerie électronique, le partage et le transfert de fichiers, les formulaires web et les API—dans une plateforme unique qui facilite la génération de rapports avec des pistes d’audit détaillées indiquant qui a accédé au contenu, l’a modifié, partagé ou envoyé, à qui, où et sur quels appareils. De plus, Kiteworks propose des déploiements sur site, privés, hybrides et cloud FedRAMP.

Planifiez une démonstration personnalisée de Kiteworks pour découvrir comment la solution peut vous aider à prouver votre conformité à HITECH et aux autres réglementations sur la confidentialité des données.

Retour au glossaire Risques & Conformité

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO
Partagez
Tweetez
Partagez
Explore Kiteworks