L'HIPAA est une loi fédérale américaine qui régit la manière dont certaines organisations impliquées dans la prestation de soins de santé traitent et sécurisent les informations médicales.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La loi HIPAA (pour Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui régit la manière dont les informations sur la santé sont traitées et sécurisées. L'HIPAA contribue à assurer la protection des informations sur la santé en exigeant des contrôles de sécurité pour les informations électroniques sur la santé et en imposant des pratiques en matière de protection de la vie privée.
L'HIPAA concerne deux principaux types d'organisations : les « entités couvertes », telles que les prestataires de santé, les plans de santé et les centres d'échange et de partage des informations de santé, ainsi que les entreprises partenaires telles que les sociétés de facturation, les fournisseurs de dossiers médicaux électroniques (EHR), les consultants ou les prestataires de l'informatique.
Les informations médicales protégées (PHI) correspondent à toutes les informations de santé individuellement identifiables qui concernent les prestations de santé que les entités couvertes et les entreprises partenaires créent, reçoivent, stockent ou transmettent. Les PHI sont un type de données à caractère personnel, c'est-à-dire des données qui peuvent être utilisées pour identifier une personne.
Les champs de données ci-dessous peuvent être des PHI s'ils sont traités par une entité couverte ou une entreprise partenaire et dans la mesure où les données sont associées à la prestation de soins de santé :
Il convient d'observer que les PHI peuvent se présenter sous de multiples formes : écrites, orales ou électroniques.
Imaginons que Michael consulte un médecin généraliste pour la première fois et que le cabinet du médecin enregistre le nom et l'adresse de Michael, recueille les informations relatives à son assurance maladie et fasse une demande par oral à son précédent prestataire afin d'obtenir son dossier médical. Toutes ces données écrites et orales sont considérées comme des PHI et doivent être protégées.
Imaginons maintenant que Michael ait un rendez-vous pour une téléconsultation avec ce même praticien la semaine suivante. Les informations concernant les activités en ligne de Michael et qui contiennent les détails de son rendez-vous en téléconsultation peuvent également être considérées comme des PHI, même s'il s'agit d'informations électroniques plutôt que d'informations écrites ou orales.
La règle de confidentialité de l'HIPAA exige que les entités couvertes et les entreprises partenaires mettent en place des garanties et des politiques de confidentialité appropriées pour protéger les informations personnelles. Il existe des règles strictes concernant ce qu'une organisation est autorisée à faire avec les PHI sans le consentement d'une personne, et selon la règle de confidentialité toute personne est en droit de savoir comment ses données sont utilisées ou de demander que des corrections y soient apportées.
La règle de sécurité de l'HIPAA exige des mesures de protection administratives, physiques et techniques pour traiter correctement les PHI par voie électronique ; il peut s'agir de garantir un accès sécurisé aux installations et un contrôle des appareils, de désigner des responsables de la sécurité, de mettre en place une formation du personnel ou de procéder à une analyse des risques.
Les règles de sécurité et de confidentialité de l'HIPAA sont importantes pour garantir que les informations sur la santé des individus soient correctement protégées tout en les laissant circuler dans la mesure où elles sont nécessaires pour fournir et promouvoir des prestations de santé de qualité et pour protéger la santé et le bien-être du public. Ces règles sont particulièrement importantes compte tenu de la diversité du marché des prestations de santé, de la variété des utilisations et des divulgations dont il faut se préserver, et de l'afflux de nouvelles technologies innovantes dans le domaine des prestations de santé, notamment les téléconsultations, la téléthérapie, les dossiers médicaux électroniques, la surveillance de la santé à l'aide d'appareils et les soins assistés par l'IA. Précisons que chacune de ces nouvelles technologies innovantes s'accompagne de difficultés qui lui sont propres en matière de sécurité et de confidentialité auxquelles les organisations sont tenues de trouver des solutions en vertu des règles de sécurité et de protection de la vie privée de l'HIPAA.
Les infractions à la loi HIPAA peuvent donner lieu à de lourdes sanctions et à des poursuites judiciaires. Parmi les infractions les plus courantes, on peut citer :
Imaginez que le médecin de Michael ait laissé le formulaire du patient avec le nom de Michael, sa date de naissance, son numéro de sécurité sociale et ses problèmes médicaux dans la salle d'attente pendant 24 heures à la vue de n'importe quel patient ou membre du personnel. Imaginons ensuite que le médecin importe les informations médicales de Michael sur un portail en ligne, qui n'est pas protégé par un mot de passe. Ces deux situations sont des exemples d'infractions à la loi HIPAA.
Les sanctions pour non-respect de la loi HIPAA sont importantes et peuvent aller de 100 dollars par infraction à 1,5 million de dollars maximum par an. L'Office for Civil Rights (OCR) classe les infractions à la loi HIPAA en fonction de leur gravité et de la négligence délibérée.
Les fournisseurs de cloud doivent signer un accord d'association commerciale (BAA) conforme à la HIPAA avec leurs clients avant de pouvoir créer, recevoir, conserver ou transmettre des PHI. Un BAA impose au prestataire de services cloud de prévoir des protections appropriées pour les PHI et de procéder à des analyses de risques pour identifier les vulnérabilités potentielles. Il peut également comprendre des instructions spécifiques concernant la disponibilité des données, les sauvegardes, la reprise après sinistre et la conservation des données.
Les fournisseurs de services cloud sont également responsables de toute divulgation non autorisée de données à caractère personnel, de l'absence de protection des données à caractère personnel ou de l'absence de notification aux autorités compétentes d'une violation de données.
Voici six recommandations pour garantir la conformité à l'HIPAA :
Cloudflare fournit des services de sécurité pour le réseau, les applications et les entreprises basés sur le cloud qui peuvent aider les organisations à respecter les exigences techniques strictes de la règle de sécurité HIPAA et à éviter la divulgation involontaire ou l'utilisation abusive de PHI en infraction avec la règle de confidentialité HIPAA. Ces services sont les suivants :
Les produits de Cloudflare sont également conformes aux normes de sécurité et de confidentialité reconnues par le secteur, notamment ISO 27001, ISO 27701, SOC 2 et le code de conduite cloud de l'UE.Bien que l'HIPAA ne prévoie aucune validation formelle de la conformité, le réseau, l'infrastructure de gestion et les processus de Cloudflare sont conformes aux règles de sécurité et de confidentialité de l'HIPAA et aux réglementations connexes.
En savoir plus sur les fonctions intégrées de sécurité, de confidentialité et de conformité d'un cloud de connectivité.