Comprendre les normes nationales de la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et les étapes nécessaires à la conformité peut être difficile.

Pour aider à combattre la confusion et à évaluer exactement où en est votre organisation de soins de santé en matière de préparation à la conformité, nous avons créé une checklist interactive de conformité HIPAA.

Cette checklist répertorie les actions essentielles que vous devez accomplir pour respecter les réglementations de l'industrie des soins de santé et protéger correctement les données des patients. Continuez à lire pour comprendre les fondamentaux de la conformité HIPAA et les étapes nécessaires pour vous y préparer, l'atteindre et la maintenir.

Qu'est-ce que la conformité HIPAA ?

La conformité HIPAA est le processus de sécurisation et de protection des informations sensibles des patients, connues sous le nom de informations de santé protégées, ou PHI.

Être conforme à la HIPAA est un processus continu qui comprend la mise en place de fortes mesures de protection des données, la formation du personnel, l'analyse des risques, la déclaration et plus encore.

Les exigences de conformité HIPAA comprennent cinq principaux composants. Ce sont les suivants :

• Règlement sur la confidentialité : réglemente l'utilisation et la divulgation des PHI
• Règlement sur la sécurité : mesures de sécurité physiques, techniques et administratives
• Règlement sur l'application : fournit des instructions pour réguler la responsabilité et imposer des sanctions pour les violations
• Règlement sur la notification des violations : lignes directrices sur la manière et le moment de signaler les violations 
• Règlement omnibus : décrit comment les associés commerciaux doivent gérer les PHI

Ci-dessous, nous décomposons les deux types d'entreprises qui doivent se conformer aux réglementations HIPAA.

Qu'est-ce qu'une entité couverte ?

Une entité couverte est une organisation légalement tenue de se conformer aux règles HIPAA.

Exemples d'entités couvertes :

• Hôpitaux
• Cliniques
• Pharmacies
• Médecins
• Dentistes
• Psychologues
• Psychiatres
• Chiropracteurs
• Fournisseurs de soins de santé
• Compagnies d'assurance maladie

Qu'est-ce qu'un associé commercial ?

Un associé commercial fournit des services à une entité couverte et a accès aux PHI.

Exemples d'associés commerciaux :

• Sociétés de stockage de données
• Entreprises de facturation
• Fournisseurs de services cloud
• Avocats
• Cabinets d'experts-comptables

Checklist de conformité HIPAA pour 2023

Nous avons créé cette liste de contrôle interactive pour vous aider à évaluer la préparation de votre entreprise à la conformité HIPAA.

Conformité HIPAA en 8 étapes

Pour un aperçu plus approfondi des étapes à suivre pour se conformer à la HIPAA, consultez le détail ci-dessous.

Étape 1 : Nommer un responsable de la conformité HIPAA

Tout d'abord, nommez un responsable de la conformité pour diriger le processus de mise en conformité avec la HIPAA. Ce responsable sera chargé de :

• S'assurer que les politiques de sécurité et de confidentialité sont suivies et appliquées
• Gérer la formation à la confidentialité pour les employés
• Effectuer des évaluations périodiques des risques
• Développer des processus de sécurité et de confidentialité
• Enquêter sur tout incident de sécurité ou toute violation de données soupçonnée/confirmée
• Signaler les violations lorsque cela est nécessaire
• Créer un plan de reprise après sinistre
• S'assurer que l'organisation a correctement mis en œuvre les mesures de protection administratives, physiques et techniques de la règle de sécurité

Les grandes organisations peuvent nécessiter plus d'un responsable pour accomplir ces responsabilités.

Étape 2 : Développer des politiques et des normes de gestion de la sécurité

La règle de confidentialité, la règle de sécurité et la règle de notification des violations spécifient un certain nombre de politiques et procédures requises pour la conformité à la HIPAA.

Les organisations doivent créer et mettre en œuvre un ensemble de politiques et de procédures qui assurent que chaque employé manipule les informations de santé protégées (PHI) de manière sécurisée dans leurs rôles quotidiens. Cet ensemble peut inclure un avis de pratiques de confidentialité, une politique de gestion des accès, une politique de sauvegarde et de rétention des données, une politique de reprise après sinistre et une politique de réponse aux incidents, entre autres.

Le responsable de la conformité HIPAA désigné doit gérer et documenter toutes les politiques et procédures mises en place pour protéger les PHI.

Étape 3 : Gérer les partenaires commerciaux ayant accès aux PHI

Un partenaire commercial est toute personne, fournisseur ou organisation qui entre en contact avec les PHI d'une organisation de soins de santé. Un partenaire commercial est tout aussi responsable de la protection des données de santé des patients qu'une entité couverte.

Comme l'exige la règle de sécurité de la HIPAA, une entité couverte doit conclure un accord juridiquement contraignant avec tout partenaire commercial pour garantir la protection des PHI. Cela est connu sous le nom d'accord de partenariat commercial (BAA).

Un BAA doit couvrir un éventail de sujets, y compris les utilisations permises des PHI, le signalement des utilisations et divulgations non autorisées, les processus pour renvoyer ou détruire les PHI à la termination, et plus encore. Vous pouvez télécharger le modèle ci-dessous pour commencer à créer votre propre BAA.

Étape 4 : Mettre en œuvre les mesures de protection nécessaires pour se conformer à la règle de sécurité

La règle de sécurité HIPAA décrit trois types de sauvegardes — administratives, physiques et techniques — pour protéger correctement les PHI.

Nous décomposons ci-dessous ce que signifient chacun de ces types de sauvegardes :

Sauvegardes administratives

Les sauvegardes administratives aident à guider les employés sur la façon d'utiliser et de stocker correctement les PHI.

Ces sauvegardes sont en place pour :

• Former les membres de l'équipe sur les protections des PHI
• Résoudre les incidents de sécurité qui peuvent constituer une menace pour les PHI
• Protéger les PHI en situations d'urgence

Sauvegardes physiques

Les sauvegardes physiques protègent les points d'accès physiques des PHI. Les sauvegardes physiques définissent comment les employés doivent gérer leurs postes de travail et leurs appareils mobiles pour maintenir les informations sensibles sécurisées.

Les sauvegardes physiques courantes incluent des limites à l'accès aux installations via des caméras de surveillance ou des badges d'identification et la définition des utilisations appropriées et inappropriées de la technologie.

Sauvegardes techniques

Les sauvegardes techniques protègent contre l'accès non autorisé ou l'altération des PHI stockées électroniquement, comme dans une application ou un système.

Exemples de mesures de sécurité techniques courantes : logiciel antivirus, chiffrement des données et contrôles d'accès tels que l'authentification multifacteur.

Étape 5 : Réaliser des évaluations de risque HIPAA

Vous devez également réaliser une évaluation des risques HIPAA. C'est une exigence essentielle pour la conformité HIPAA et cela vous aide à identifier les faiblesses et les vulnérabilités afin de prévenir les violations de données.

Ces évaluations permettent également de vérifier que les mesures de sécurité administratives, techniques et physiques sont correctement mises en œuvre et couvrent tous les contrôles nécessaires.

Bien que la HIPAA ne fournisse pas d'instructions spécifiques sur la manière de réaliser une évaluation des risques, plusieurs éléments doivent être pris en compte, y compris la portée, les risques potentiels et les niveaux de risque, ainsi que les mesures de sécurité existantes.

Suivre les étapes ci-dessous peut vous aider à identifier les faiblesses et à améliorer ou mettre en œuvre les mesures de sécurité qui faisaient défaut ou qui étaient inexistantes.

Étape 6 : Former les employés aux procédures HIPAA

Toute personne manipulant des PHI doit suivre une formation à la conformité HIPAA.

Cette formation aide les employés à comprendre exactement ce qui constitue un comportement conforme et non conforme en ce qui concerne les PHI.

Bien que le Department of Health and Human Services (HHS) ne spécifie pas la fréquence des formations, il indique que des formations de remise à niveau doivent être proposées périodiquement à tous les employés. Cela peut être fait annuellement ou plus fréquemment en fonction de la taille et des ressources de votre organisation.

Il est également important de partager avec vos employés les conséquences des violations HIPAA. De plus, assurez-vous de partager le processus de votre organisation pour signaler les violations en cas de survenance.

Étape 7 : Enquêter sur les violations et tirer des leçons de ces incidents

En cas de violation, votre organisation doit faire preuve de diligence pour découvrir exactement pourquoi elle s'est produite. C'est également l'occasion de mettre en place des contrôles plus stricts ou de mettre à jour les procédures afin que ce type d'incident ne se reproduise plus.

Vous pouvez également tirer des leçons des violations HIPAA et des activités d'application des lois que l'Office for Civil Rights (OCR) du HHS publie, et prendre des mesures correctives avant qu'un incident ne se produise dans votre organisation.

Étape 8 : Surveiller et mettre à jour en continu les politiques de conformité à mesure que votre organisation évolue

Surveiller en continu vos politiques de conformité vous aidera à protéger les données de manière proactive et vous permettra d'éviter les violations HIPAA coûteuses.

Vous pouvez rechercher des solutions qui vous aident à suivre la conformité HIPAA en cours en vérifiant si les employés et les partenaires commerciaux ont reçu une formation et en surveillant vos mesures de sécurité pour vous alerter de toute non-conformité.

Liste de contrôle de conformité HIPAA PDF

Si vous préférez suivre votre conformité HIPAA avec un PDF, cliquez ci-dessous pour télécharger cette version de notre liste de contrôle de conformité HIPAA.

Ressources de conformité HIPAA

Voici une liste de ressources à consulter lors de votre parcours de conformité HIPAA :

• Site Web officiel de l'HHS HIPAA
• Association médicale américaine
• Évaluation des risques HIPAA de Secureframe
• Centres de contrôle des maladies
• Guide HIPAA ultime de Secureframe

Comment Secureframe peut simplifier la conformité HIPAA

Si vous avez remarqué plus de cases non cochées que de coches après avoir complété la checklist de conformité HIPAA ci-dessus, ne vous inquiétez pas.

La conformité HIPAA peut être compliquée, mais les plateformes d'automatisation de la cybersécurité comme Secureframe peuvent aider à réduire le stress et à rationaliser le processus.

Nous pouvons vous aider à créer des politiques de confidentialité et de sécurité HIPAA, à former les employés sur la protection des informations de santé protégées (PHI), à gérer les fournisseurs et les partenaires commerciaux, et à surveiller vos mesures de protection des PHI.

Demandez une démo pour en savoir plus sur la manière de renforcer vos pratiques de sécurité et d'automatiser vos efforts de conformité HIPAA aujourd'hui.