• blogangle-right
  • Gmail est-il conforme à la HIPAA ? Les choses à faire et à ne pas faire avec le PHI sur Gmail

Table of Contents

Gmail est-il conforme à la HIPAA ? Les choses à faire et à ne pas faire avec le PHI sur Gmail

  • December 19, 2023

En 2022, 89% des organisations de santé ont subi en moyenne 43 attaques au cours des 12 derniers mois, ce qui équivaut à presque une attaque par semaine.

Compte tenu du fait que le secteur de la santé est l'un des plus ciblés par les acteurs de la menace, la conformité HIPAA est essentielle pour sécuriser les informations de santé protégées (PHI), y compris les PHI envoyées par email.

Dans cet article, nous expliquons comment vous pouvez utiliser le célèbre fournisseur de messagerie Gmail tout en restant conforme à la HIPAA.

Gmail est-il conforme à la HIPAA ?

Gmail n'est pas conforme à la HIPAA par défaut, mais il peut supporter la conformité HIPAA. Les organisations doivent examiner et accepter le Business Associate Agreement (BAA) avant d'utiliser Gmail ou d'autres services couverts en lien avec le PHI. Elles doivent également mettre en œuvre des garanties appropriées conçues pour prévenir l'utilisation ou la divulgation non autorisée de PHI.

Bien qu'il soit possible de mettre en œuvre ces garanties sur la version gratuite de Gmail, cela peut être plus difficile. Un abonnement premium à Google Workspace, en revanche, propose des contrôles intégrés pour le chiffrement des données, l'authentification en deux étapes, la gestion des points de terminaison, la prévention de la perte de données et une infrastructure de cybersécurité à confiance zéro. Ces fonctionnalités de sécurité peuvent simplifier le processus de mise en conformité de votre messagerie avec la HIPAA.

Nous en discuterons plus en détail ci-dessous.

Lectures recommandées

Hub HIPAA

Présentation du Hub de conformité HIPAA : plus de 25 ressources gratuites pour simplifier la conformité

Comment rendre Gmail conforme à la HIPAA

Rendre Gmail conforme à la HIPAA nécessite plusieurs étapes, dont les suivantes :

Signer l'accord de partenariat d'affaires.

Pour signer l'accord de partenariat d'affaires avec Google, vous devez avoir un compte de super administrateur. Suivez ensuite les étapes suivantes :

  1. Dans la console d'administration, accédez à Menu puis Compte > Paramètres du compte > Légalité et conformité.
  2. Accédez à la section Termes supplémentaires de sécurité et confidentialité.
  3. Cliquez sur Amendment HIPAA de Google Workspace/Cloud Identity pour examiner l'amendement.
  4. Cliquez sur Examiner et Accepter et répondez aux trois questions pour confirmer que vous êtes une entité couverte par la HIPAA.
  5. Cliquez sur OK pour accepter le BAA de la HIPAA.

Seuls les clients ayant signé un BAA avec Google peuvent utiliser les services Google, y compris Gmail, en relation avec le PHI.

Assurez-vous que votre email est configuré correctement.

Gmail doit être configuré correctement pour garantir la protection de l'ePHI. Voici quelques étapes à suivre :

  • Activez les paramètres de chiffrement des emails pour protéger le PHI pendant son transit et son stockage.
  • Autorisez le partage externe uniquement avec des domaines de confiance.
  • Configurer les notifications pour recevoir des alertes lorsque Google détecte ces activités : tentatives de connexion suspectes, utilisateur suspendu par un administrateur, nouvel utilisateur ajouté, utilisateur suspendu réactivé, utilisateur supprimé, mot de passe de l'utilisateur modifié par un administrateur, privilège d'administrateur accordé à un utilisateur et privilège d'administrateur révoqué à un utilisateur.
  • Remplacer le paramètre de partage de lien par défaut de « Toute personne ayant le lien » par « Privé ».
  • Mettre en place une politique de mot de passe pour imposer des exigences de longueur et de complexité et encourager les utilisateurs à configurer des mots de passe robustes et uniques pour leurs comptes Gmail.
  • Assurez-vous que la validation en deux étapes est déployée et définissez une date d'application si des utilisateurs ne sont pas inscrits.

Suivez les conseils de Google.

En plus de configurer Gmail pour garantir que les PHI sont correctement protégées, les utilisateurs doivent utiliser les contrôles intégrés pour s'assurer que les e-mails et les fichiers susceptibles de contenir des PHI ne sont partagés qu'avec les destinataires prévus. Par exemple, si le fichier n'est pas déjà partagé avec tous les destinataires de l'e-mail, l'expéditeur peut choisir de partager le fichier avec « Toute personne ayant le lien » au sein du domaine Google Workspace.

Pour les administrateurs, Google recommande

  • Remplacer le paramètre de partage de lien par défaut de « Toute personne ayant le lien » par « Privé ».
  • Créer des politiques de prévention des pertes de données qui inspectent les e-mails pour détecter la présence de certains identifiants PII/PHI et expliquent comment ces données doivent être partagées.

Utiliser le cryptage de bout en bout.

Gmail est capable de chiffrer les e-mails qu'il envoie et reçoit, mais uniquement lorsque l'autre fournisseur de messagerie prend en charge le cryptage TLS. Un service de cryptage de mails de bout en bout peut aider à fournir une sécurité supplémentaire pour vos e-mails contenant des PHI, lorsqu'ils sont en transit et une fois qu'ils ont atteint leur serveur de destination.

Le cryptage de mails de bout en bout fonctionne en chiffrant le contenu d'un e-mail du côté de l'expéditeur et en le déchiffrant du côté du destinataire à l'aide d'une paire de clés cryptographiques. De cette façon, seuls l'expéditeur et le destinataire prévu peuvent lire le contenu de l'e-mail, même si l'e-mail est accidentellement envoyé à la mauvaise adresse.

Les solutions suivantes offrent un cryptage de bout en bout ainsi que d'autres fonctionnalités de sécurité, telles que des contrôles d'accès et d'audit et un partage de fichiers sécurisé, pouvant rendre Gmail conforme à la norme HIPAA :

  • Aspida
  • Barracuda
  • Egress
  • EnGuard
  • HIPAA Vault
  • Hushmail
  • Identillect
  • LuxSci
  • MailHippo
  • Mimecast
  • NeoCertified
  • Paubox
  • Protected Trust
  • RMail
  • SecureMail
  • Virtru

Créer des politiques et former les employés à l'utilisation appropriée des e-mails.

Pour s'assurer que les employés comprennent comment gérer les PHI en toute sécurité dans Gmail et d'autres services Google Workspace dans lesquels les PHI sont autorisées, vous devez créer des politiques sur l'utilisation correcte des e-mails, la gestion des données et les procédures de signalement de tout incident de sécurité suspecté. Vous devez également organiser des sessions de formation régulières pour vous assurer que les employés comprennent ces politiques ainsi que l'importance de protéger les PHI et qu'ils peuvent reconnaître les risques potentiels.

Assurez-vous que tous les e-mails sont conservés.

La HIPAA exige que les entités couvertes et les partenaires commerciaux archivient et conservent certaines communications électroniques pendant au moins six ans. Cela inclut les e-mails contenant les politiques et procédures HIPAA et d'autres documents relatifs aux efforts de conformité réels avec la HIPAA.

Il existe également des exigences au niveau de l'État pour conserver les communications électroniques contenant des PHI pendant une période déterminée.

Lors de la conservation des e-mails, les organisations doivent suivre les exigences de cryptage et de sauvegarde définies par la HIPAA. Ils doivent également stocker et éliminer correctement les PHI. Pour de nombreuses organisations, l'utilisation d'un service d'archivage d'e-mails peut simplifier le processus.

Obtenez le consentement des patients avant de communiquer par e-mail.

Si vous communiquez des PHI à un patient ou à un membre du plan, vous devez :

  • avertir le destinataire des risques de communication des PHI par e-mail
  • obtenir son consentement pour recevoir des communications par e-mail
  • documenter à la fois l'avertissement et le consentement du destinataire

Consultez un avocat pour vous assurer que vous êtes entièrement conforme.

Les étapes ci-dessus sont uniquement destinées à titre de guidance et ne remplacent pas des conseils juridiques. Consultez toujours un avocat pour vous assurer que votre organisation comprend les exigences lors de l'utilisation de Gmail en rapport avec les PHI et qu'elle est entièrement conforme à la norme HIPAA.

Lecture recommandée

La liste de contrôle ultime pour la conformité HIPAA en 2023

Simplifiez la conformité HIPAA avec Secureframe

Secureframe facilite et accélère l'obtention et la maintenance de la conformité HIPAA en simplifiant le processus en quelques étapes clés :

  • Créez des politiques de confidentialité et de sécurité HIPAA
  • Formez les employés aux exigences et meilleures pratiques HIPAA
  • Gérez les fournisseurs ayant accès aux PHI
  • Assurez-vous que les associés commerciaux protègent les PHI
  • Surveillez vos mesures de protection HIPAA

Pour en savoir plus sur la façon dont vous pouvez automatiser la conformité HIPAA, demandez une démonstration personnalisée.

Utilisez la confiance pour accélérer la croissance

Demander une démonstrationangle-right
cta-bg

FAQ

Sur quels services Google autorise-t-il le stockage de ePHI ?

Google autorise le stockage de ePHI sur Gmail, Google Drive (Docs, Sheets, Slides et Forms), Google Calendar, Hangouts (fonctionnalité de chat uniquement), Hangouts Meet, Keep, Sites et Google Vault.

Gmail offre-t-il un e-mail conforme à HIPAA ?

Gmail peut être utilisé dans le cadre d'une organisation conforme à HIPAA. Cependant, seule la version payante (Google Workspace Gmail, pas les adresses e-mail @gmail.com) fournit les fonctionnalités nécessaires pour un e-mail conforme à HIPAA.

Est-il sûr d'envoyer des dossiers médicaux par Gmail ?

HIPAA n'interdit pas l'envoi de dossiers médicaux par e-mail et cela peut être fait en toute sécurité en suivant les directives HIPAA. Si les directives HIPAA ne sont pas suivies, ces informations pourraient être obtenues par des personnes non autorisées et entraîner une violation de HIPAA. Par exemple, l'expéditeur pourrait faire une erreur dans l'adresse e-mail et la mauvaise personne pourrait recevoir les dossiers médicaux.

Comment rendre mon e-mail conforme à HIPAA ?

Les étapes suivantes peuvent vous aider à rendre votre e-mail conforme à HIPAA :

  • Utilisez le chiffrement de bout en bout.
  • Signez un accord de partenariat commercial avec votre fournisseur de messagerie.
  • Assurez-vous que votre e-mail est configuré correctement.
  • Créer des politiques et former les employés à l'utilisation appropriée des e-mails.
  • S'assurer que tous les e-mails sont conservés.
  • Obtenir le consentement des patients avant de communiquer par e-mail.
  • Consulter un avocat pour s'assurer que vous êtes pleinement conforme.

Quels services Google sont conformes à la HIPAA ?

Les services suivants sont couverts par le BAA de Google et répondent aux exigences de la HIPAA : 126 produits Google Cloud, Google Workspace, Communications, Chronicle et Looker (services originaux). En fin de compte, les clients sont responsables d'évaluer leur propre conformité à la HIPAA, y compris lors de l'utilisation des services Google.