Dans le système de santé moderne d’aujourd’hui, les patients ne confient pas seulement leur santé à leurs prestataires de soins, mais aussi une abondance de données personnelles sensibles. Ces données peuvent inclure n’importe quoi, des coordonnées aux informations de paiement et aux dossiers médicaux, qui, entre les mains de personnes malveillantes, peuvent conduire à des vols d’identité et à des fraudes.

L’un des objectifs centraux de la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) est d’améliorer la sécurité et la confidentialité des dossiers de santé des patients.

Les réglementations HIPAA exigent que les entités couvertes et les associées d’affaires maintiennent la sécurité et la confidentialité des données des patients, ce qui inclut le suivi de l’activité du système d’information et la surveillance de qui accède aux dossiers des patients, quand et comment. Ce suivi se fait par le biais des journaux d’audit, qui agissent comme des enregistrements du système et sont nécessaires pour se conformer à HIPAA.

Découvrez ce qu’il faut inclure dans un journal d’audit HIPAA, pourquoi ils sont importants pour vos programmes de sécurité et de confidentialité, des conseils pour vous aider à démarrer, et d’autres détails pointus de conformité ci-dessous.

Qu’est-ce qu’un journal d’audit HIPAA ? Pourquoi les pistes d’audit sont-elles importantes pour la sécurité et la conformité

Les règles de sécurité et de confidentialité HIPAA stipulent que toutes les entités couvertes et les associées d’affaires doivent mettre en œuvre des mesures de protection physiques, techniques et administratives pour sécuriser les informations de santé protégées (PHI) et les informations de santé protégées électroniques (ePHI). Une partie de ces mesures de protection consiste à tenir des journaux d’audit qui enregistrent comment et quand chaque type de PHI est créé, traité, accédé et/ou partagé.

Les journaux d’audit HIPAA sont des enregistrements des activités du système : qui a accédé au réseau, quand, ce qu’ils ont fait et quels documents ou données de patients ils ont consultés.

Pourquoi une longue liste d’activités système serait-elle utile pour une meilleure sécurité et confidentialité ? Les administrateurs informatiques et les experts en cybersécurité peuvent les examiner pour repérer les tendances et les anomalies et gérer les risques plus efficacement. Les journaux d’audit adéquats aident les organisations à prévenir les incidents de sécurité, détecter rapidement les violations de données et comprendre comment et pourquoi elles se sont produites.

Les journaux d’audit aident également les organisations à maintenir la conformité avec la règle du minimum nécessaire HIPAA, qui exige que les prestataires de soins de santé n’accèdent aux PHI que dans un but spécifique dans le cadre de leurs fonctions professionnelles. Les journaux d’audit établissent et suivent les modèles d’accès normaux pour chaque employé et associé d’affaires. Ces modèles et tendances facilitent la détection des anomalies qui pourraient indiquer lorsqu’un utilisateur abuse de ses droits d’accès ou si un utilisateur non autorisé tente d’accéder à un système, une application ou un fichier.

Les journaux d’audit sont généralement utilisés pour :

• Forensique : Après un incident de sécurité ou une violation de données, une organisation doit comprendre quand et comment cela s’est produit pour le contenir et en réduire l’impact. Les journaux d’audit permettent aux organisations de déterminer ce qui s’est passé et les événements qui ont conduit à cela.
• Preuve de conformité : Les journaux d’audit sont requis pour se conformer à de nombreux cadres de sécurité, y compris HIPAA. Ils prouvent qu’une organisation est capable d’enquêter sur toute violation de données ou accès non autorisé qui pourrait se produire et fournissent également des preuves de conformité en cas d’audit externe.
• Récupération après sinistre : En cas de perte de données ou d’inopérabilité du système, les journaux d’audit peuvent être utilisés pour aider aux efforts de récupération et prévenir que le problème se reproduise.

Exigences HIPAA : Que faut-il inclure dans un journal d'audit HIPAA

Les journaux d'audit doivent couvrir tous les dispositifs électroniques et applications au sein du réseau de votre organisation de soins de santé. Cela comprend les ordinateurs, les appareils mobiles, les bases de données, les serveurs internes et les applications cloud telles que les e-mails et le partage de fichiers.

La conformité HIPAA nécessite trois types de journaux d'audit :

• Journaux d'audit des applications surveillent l'activité des utilisateurs sur les applications, y compris les stations de travail et les applications cloud. Les journaux surveillent comment les fichiers sont créés, consultés, partagés et supprimés.
• Journaux d'audit au niveau du système enregistrent les événements à l'échelle du système, tels que les arrêts et redémarrages, l'autorisation et l'authentification des utilisateurs, et l'accès aux données par des utilisateurs spécifiques.
• Journaux d'audit des utilisateurs suivent l'activité des utilisateurs, comme l'accès aux PHI, et toutes les commandes du système d'exploitation exécutées par l'utilisateur.

Les entités couvertes et les associés d'affaires sont également tenus d'enregistrer des activités spécifiques dans leurs pistes d'audit. Celles-ci incluent :

• Tentatives de connexion (réussies et échouées)
• Toute modification des bases de données contenant des ePHI
• Ajouter ou supprimer des utilisateurs
• Ajouter, supprimer ou modifier des autorisations d'accès des utilisateurs
• Accès des utilisateurs aux fichiers, bases de données ou répertoires
• Journaux de pare-feu montrant les tentatives de connexion vers ou depuis le périmètre de sécurité du système
• Journaux anti-malware

Les organisations doivent également tenir des journaux d'audit séparés pour enregistrer l'accès aux dossiers et fichiers papier.

Combien de temps les journaux d'audit HIPAA doivent-ils être conservés ?

Toute la documentation de conformité HIPAA, y compris les journaux d'audit, doit être conservée pendant au moins six ans. Cependant, certains États ont leurs propres exigences de conservation qui sont supérieures à six ans. Les organisations de soins de santé doivent se conformer à l'exigence la plus stricte.

Selon le département américain de la Santé et des Services sociaux (HHS), les journaux doivent être stockés en format brut pendant au moins 6 à 12 mois, après quoi ils peuvent être stockés en format compressé.

Commencer avec les journaux d'audit HIPAA

Pour aider les organisations de santé à naviguer dans les mesures de protection spécifiées dans la règle de sécurité HIPAA, y compris les exigences en matière de journaux d'audit, le National Institute of Standards and Technology (NIST) a publié la publication spéciale 800-66.

NIST 800-66 comprend une série de questions que les organisations peuvent utiliser pour guider leur approche de création et de maintenance des journaux d'audit conformes à HIPAA :

• Où les ePHI sont-elles stockées dans les systèmes d'information et où existent les vulnérabilités ?
• Quelles activités, processus ou applications rendent les ePHI plus vulnérables ?
• Qui est responsable de l'établissement d'un processus de journal d'audit ?
• Comment les journaux seront-ils examinés, par qui et à quelle fréquence ?
• À quelle fréquence les conclusions seront-elles rapportées aux parties prenantes et par qui ?
• Comment toute activité suspecte ou tout incident de sécurité confirmé sera-t-il signalé ?
• Comment les enquêtes de sécurité se dérouleront-elles et comment les journaux d'audit seront-ils utilisés dans ces enquêtes ?
• Comment les administrateurs système peuvent-ils mieux protéger l'intégrité des journaux d'audit ?
• Où les journaux d'audit seront-ils stockés, pour combien de temps et comment seront-ils éliminés en toute sécurité ?

Pour vous aider à commencer, nous avons créé un exemple de journal d'audit rempli de champs clés à suivre. L'exemple inclut également une liste de documentation de conformité HIPAA que vous pourriez vouloir stocker avec vos journaux d'audit pour une référence rapide, y compris des évaluations des risques, des accords d'associé commercial et des politiques clés telles qu'une politique de sécurité de l'information et une politique de confidentialité.

Comment Secureframe peut aider à la conformité HIPAA

Notre plateforme d'automatisation de la sécurité et de la confidentialité facilite la détermination des ePHI que vous gérez et comment elles circulent dans votre organisation, ce qui est crucial pour un programme de sécurité et de confidentialité solide et une conformité continue à la HIPAA.

Nous pouvons également vous aider à évaluer vos mesures de sécurité et vos contrôles d'audit, à réaliser une analyse des risques et à identifier les faiblesses pour fournir une image claire de votre posture de sécurité et de confidentialité.

Pour plus d'informations sur la manière dont Secureframe peut vous aider à atteindre et maintenir la conformité HIPAA, demandez une démo aujourd'hui.