En 2021, un nombre record de 713 violations majeures des données de santé a affecté plus de 45,7 millions de personnes. Rien que dans la première moitié de 2022, 347 violations majeures des données de santé affectant plus de 19,6 millions de personnes ont été signalées.

Au cours des dernières années, le nombre de violations des données de santé a augmenté de manière constante. Les archives du service des droits civils (OCR) du département américain de la santé et des services sociaux (HHS) montrent plus de 4 000 violations majeures des données de santé affectant près de 321 millions de personnes depuis 2009. Cela a inclus :

• 270 violations affectant 112,5 millions de personnes en 2015
• 329 violations affectant 16,7 millions de personnes en 2016
• 358 violations affectant près de 5,3 millions de personnes en 2017
• 369 violations affectant 14,4 millions de personnes en 2018
• 512 violations affectant 42,3 millions de personnes en 2019
• 663 violations affectant plus de 34 millions de personnes en 2020

Cette tendance à la hausse reflète ce que de nombreuses organisations de santé et leurs partenaires commerciaux savent déjà bien : la conformité avec la HIPAA devient plus difficile dans le paysage actuel de la cybersécurité et des menaces en rapide évolution. Continuez votre lecture pour découvrir pourquoi.

6 raisons pour lesquelles la conformité HIPAA devient plus difficile

La croissance exponentielle des données de santé, les changements dans les réglementations HIPAA et les menaces de plus en plus sophistiquées ne sont que quelques facteurs qui rendent plus difficile pour les organisations de se conformer à la HIPAA et de sécuriser les informations de santé protégées (PHI). Examinons de plus près ces facteurs ci-dessous.

1. Croissance exponentielle des données de santé

Les organisations de santé et leurs partenaires commerciaux collectent, stockent et partagent plus de données de santé que jamais auparavant.

Selon une recherche de RBC Capital Markets, environ 30 % du volume mondial de données est généré par l'industrie de la santé. D'ici 2025, le taux de croissance annuel composé des données pour la santé devrait atteindre 36 % — un taux supérieur à celui de la fabrication, des services financiers et des médias et divertissements.

La croissance rapide des données de santé rend plus difficile pour les entités couvertes par la HIPAA et les associés commerciaux de mettre en place les protections physiques, électroniques, administratives et techniques nécessaires pour les protéger.

2. Nouvelle technologie

L'industrie de la santé a largement été numérisée au cours des trois dernières décennies. La plupart des hôpitaux et des cabinets de médecins sont passés des systèmes basés sur le papier aux systèmes de dossiers de santé électroniques (DSE). De nombreux patients utilisent des applications sur des smartphones, des tablettes et des ordinateurs pour accéder à leurs informations de santé. De plus en plus d'organisations de santé adoptent le cloud pour stocker et partager des données.

Une grande partie de cette technologie n'existait pas lorsque la HIPAA a été adoptée, ce qui rend difficile pour les organisations de comprendre comment collecter, stocker et partager des données en utilisant ces technologies tout en restant conformes à la HIPAA.

Par exemple, certaines entités réglementées partagent régulièrement des informations de santé protégées électroniques (ePHI) avec des fournisseurs de technologies de suivi en ligne. Comme certains le faisaient d'une manière qui violait les règles de la HIPAA, l'OCR du HHS a dû publier un bulletin en décembre pour expliquer comment les entités réglementées peuvent (et ne peuvent pas) utiliser les technologies de suivi en ligne en vertu de la HIPAA.

3. Risques de plus en plus sophistiqués

Les nouvelles technologies dans le domaine de la santé ont introduit de nouveaux risques — de plus en plus sophistiqués.

Les ePHI existent à plus d'endroits qu'auparavant dans une organisation de santé : logiciels, appareils connectés, systèmes hérités et ailleurs sur un réseau. Cela signifie qu'il y a plus de points d'infiltration pour des cyberattaques telles que des ransomwares, des malwares et des attaques de phishing par e-mail.

Les attaques de ransomware contre les hôpitaux et les organisations de santé, en particulier, sont en hausse. Selon une enquête de 2022 auprès de 132 cadres de la santé par le Health Information Sharing and Analysis Center, le ransomware est la menace numéro un en matière de cybersécurité, plus que les violations de données ou les menaces internes.

En avril 2022, le programme de cybersécurité du HHS a émis une alerte aux fournisseurs de soins de santé les avertissant de se protéger contre un groupe de ransomware "exceptionnellement agressif" utilisant une grande variété de tactiques, de techniques et de procédures pour crypter et voler des données.

La mise en œuvre des mesures de sécurité requises par la HIPAA est devenue plus impérative pour aider à prévenir ces cyberattaques de plus en plus sophistiquées. Les organisations qui ont été touchées, comme le Centre médical de l'Université du Vermont, ont dû renforcer leur protection par pare-feu avancé et logiciels antivirus et bloquer l'accès aux e-mails personnels sur les ordinateurs de travail, entre autres mesures.

4. Exigences accrues des patients en matière de confidentialité et de responsabilité des données de santé

Dans une enquête de 2022 de l'American Medical Association, près de 75 % des patients ont exprimé une inquiétude quant à la protection de la confidentialité des données de santé personnelles et 90 % des patients ont déclaré qu'ils souhaitaient que les entreprises soient tenues responsables de l'utilisation des données de santé.

Alors que les préoccupations des patients concernant la confidentialité de leurs données de santé continuent de croître, ils s'attendent à ce que les gouvernements et les agences de régulation envisagent d'étendre ou de mettre en place de nouvelles réglementations pour aider à répondre aux risques de confidentialité auxquels ils sont confrontés aujourd'hui.

Par exemple, dans une enquête de The Pew Charitable Trusts, la plupart des répondants ont déclaré qu'ils voulaient utiliser des applications sur des smartphones, tablettes et ordinateurs pour accéder à leurs informations de santé. Mais ceux qui ont exprimé de graves préoccupations en matière de confidentialité ont presque doublé — passant de 35 % à 62 % — lorsqu'on leur a dit que les protections fédérales en matière de confidentialité ne couvraient pas les données stockées sur les applications. Beaucoup ont déclaré que l'extension de ces lois pourrait aider à atténuer leurs préoccupations.

Cela pourrait entraîner plus d'exigences pour les entités couvertes par la HIPAA, telles que la réalisation de révisions de confidentialité et de sécurité des applications de santé qui accèdent aux ePHI.

5. Évolution des réglementations HIPAA

Depuis que la HIPAA a été adoptée en 1996, il y a eu plusieurs mises à jour importantes, notamment l'introduction des règles de confidentialité, de sécurité, omnibus, de notification de violation et d'application.

Beaucoup de ces changements ont obligé les entités de santé à mettre en œuvre de nouvelles mesures pour se conformer et rester conformes, telles que former les employés aux exigences et aux meilleures pratiques de la HIPAA, attribuer des identifiants uniques aux utilisateurs et utiliser le cryptage des données sur les appareils portables et les réseaux informatiques.

Dernièrement, plusieurs mises à jour de la règle de confidentialité HIPAA ont été proposées pour améliorer la coordination des soins pour les patients en cours de traitement tout en renforçant les protections essentielles de la vie privée et de la confidentialité.

Alors que les réglementations HIPAA continuent d'évoluer pour répondre aux demandes des consommateurs de soins de santé, les organisations sont confrontées au défi de se tenir au courant des dernières réglementations afin de réduire les risques juridiques, réglementaires et financiers.

6. Nouvelles lois sur la confidentialité

Ces dernières années, des dizaines de nouvelles lois sur la confidentialité ont été adoptées dans le monde, notamment aux États-Unis, au Japon, en Corée du Sud, au Brésil et en Chine. Les plus notables sont le Règlement général sur la protection des données (RGPD) de l'UE et la Loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Ces lois sur la confidentialité ont des exigences qui se chevauchent pour les données personnelles de santé. Par exemple, le RGPD autorise le traitement des données personnelles de santé (qui relève de sa définition de données personnelles sensibles) sans le consentement de l'individu pour des raisons liées à des revendications légales ou à la santé publique, parmi d'autres conditions énoncées dans l'Article 9. La règle HIPAA, en revanche, permet la divulgation de certaines informations de santé protégées (PHI) sans le consentement de l'individu à des fins de traitement. Les entités couvertes et les partenaires commerciaux qui doivent se conformer à la fois à la règle HIPAA et au RGPD sont confrontés au défi de suivre ces exigences variées.

La bonne nouvelle est que si votre organisation doit se conformer à la règle HIPAA et à d'autres lois sur la confidentialité, alors certaines mesures de protection peuvent être utilisées pour protéger les données relevant de plusieurs lois.

Cependant, s'assurer que vous avez toutes les mesures de protection requises pour chaque loi applicable est un défi plus grand que de se conformer à une seule loi — surtout si vous n'avez pas une source unique de vérité et un système de référence pour la sécurité, la vie privée et la conformité.

Comment Secureframe peut vous aider à obtenir et à maintenir la conformité HIPAA maintenant et à l'avenir

Secureframe rend plus rapide et plus facile d'atteindre et de maintenir la conformité HIPAA en simplifiant le processus en quelques étapes clés :

• Créer des politiques de confidentialité et de sécurité HIPAA
• Former les employés aux exigences et meilleures pratiques HIPAA
• Gérer les fournisseurs ayant accès aux informations de santé protégées (PHI)
• S'assurer que les partenaires commerciaux protègent les PHI
• Surveiller vos mesures de protection HIPAA

En savoir plus sur comment vous pouvez automatiser votre conformité HIPAA dès aujourd'hui.