La règle de sécurité HIPAA exige que les prestataires de soins de santé prennent des mesures pour protéger les informations de santé protégées électroniques (ePHI). Elle aide les entités couvertes à mettre en pratique les exigences énoncées dans la règle de confidentialité HIPAA en mettant en œuvre divers contrôles pour protéger les informations sensibles.

En vertu de la règle de sécurité, les entités couvertes doivent également effectuer une évaluation des risques et documenter puis mettre en œuvre des sauvegardes administratives, physiques et techniques spécifiques.

Quelles sont les entités couvertes tenues de suivre la règle de sécurité?

La règle de sécurité s'applique à toute organisation ayant accès aux informations des patients qui, si elles sont compromises, pourraient nuire aux finances ou à la réputation d'un patient ou entraîner une fraude. Ces entités couvertes incluent :

  • Prestataires de soins de santé
  • Compagnies d'assurance maladie et régimes de santé parrainés par les employeurs
  • Centres de traitement des données de santé
  • Fournisseurs de services médicaux tiers (associés commerciaux)

Qui applique la règle de sécurité?

Le Bureau des droits civils (OCR) du Département américain de la santé et des services sociaux (HHS) est le principal responsable de l'application de la règle de sécurité HIPAA et de la règle de confidentialité. Les procureurs généraux des États et les Centers for Medicare and Medicaid Services (CMS) ont également une certaine autorité pour appliquer les règles HIPAA.

L'OCR enquête sur les plaintes, effectue des revues de conformité et éduque les entités couvertes par HIPAA sur les exigences de conformité. Il enquête également sur les violations de données affectant plus de 500 personnes ainsi que sur les organisations ayant subi plusieurs petites violations.

Comment se conformer à la règle de sécurité HIPAA

Il est important de noter que la législation HIPAA ne spécifie pas les contrôles ou outils exacts devant être en place pour se conformer. La loi se concentre davantage sur ce que les organisations de soins de santé doivent faire pour protéger les données des patients plutôt que sur les détails de la manière dont cela doit être accompli. Différentes organisations ont des systèmes, des besoins et des ressources différents, et un système hospitalier national est susceptible d'avoir des mesures de sécurité très différentes de celles d'une petite pratique familiale.

Cela dit, tous les prestataires de soins de santé doivent compléter une évaluation des risques pour identifier les vulnérabilités et les menaces pour les informations de santé protégées (PHI) et créer un plan efficace pour se protéger contre les risques potentiels. Ce plan doit inclure un ensemble de mesures de protection administratives, physiques et techniques pour sécuriser les PHI.

Analyse des risques

Les entités couvertes et les associés commerciaux sont tenus de compléter une analyse formelle des risques avant de mettre en place des mesures de protection spécifiques. Cela permet à l'organisation de bien comprendre ses facteurs de risque spécifiques afin que la direction puisse concevoir et mettre en œuvre des mesures de protection appropriées et efficaces.

Mesures administratives

Les mesures administratives impliquent toutes les actions administratives visant à protéger les ePHI. Cela inclut l'établissement et le maintien de politiques et processus de sécurité définis, ainsi que la formation du personnel aux normes de sécurité des données et aux meilleures pratiques en matière de confidentialité. Les organisations doivent également désigner une personne responsable de garantir la conformité continue avec la règle de sécurité, ainsi que réaliser des évaluations périodiques pour évaluer l'efficacité des mesures de protection des PHI.

Mesures physiques

Les mesures physiques concernent l'accès physique et le stockage des PHI. Toutes les informations de santé protégées et les systèmes d'information électroniques doivent être protégés contre les accès non autorisés. Les organisations de santé doivent avoir un plan en place pour protéger les PHI contre les dangers naturels et environnementaux ainsi que contre les accès non autorisés, et disposer d'un plan de secours pour continuer les opérations en cas d'incident. Les mesures physiques doivent couvrir à la fois l'accès aux installations et départements ainsi que l'accès aux postes de travail et dispositifs spécifiques.

Mesures techniques

Les mesures techniques concernent les technologies qui stockent et accèdent aux ePHI. Celles-ci peuvent inclure le contrôle et la surveillance des accès, l'authentification multifactorielle, le chiffrement, les pare-feux, la gestion des dispositifs et la sécurité des points de terminaison. Les contrôles d'intégrité garantissent également que les PHI ne sont pas modifiées ou éliminées de manière inappropriée, et les contrôles de sécurité des transmissions protègent contre les accès non autorisés lors de la transmission des PHI.

Maintenir la conformité HIPAA avec Secureframe

Secureframe élimine le stress de suivre la règle de sécurité et de garder les PHI en sécurité. Avec une formation intégrée sur la confidentialité et la sécurité des données, une surveillance automatique des contrôles et une gestion simplifiée des fournisseurs et des BAA, vous pouvez dormir tranquille en sachant que vous êtes entièrement conforme aux règles HIPAA. En savoir plus sur la solution de conformité HIPAA de Secureframe.

FAQs

Qu'est-ce que la règle de sécurité HIPAA et ses mesures de protection?

La règle de sécurité HIPAA est un ensemble de règlements établis pour protéger la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques (ePHI). Elle décrit trois principales catégories de mesures de protection que les entités couvertes et leurs associés commerciaux doivent mettre en œuvre pour protéger les ePHI : administratives, physiques et techniques.

Quels sont quelques exemples de mesures administratives exigées par la règle de sécurité HIPAA?

Exemples de mesures administratives exigées par la règle de sécurité HIPAA :

  • Effectuer une analyse des risques sur une base continue
  • Mettre en œuvre des mesures de sécurité qui réduisent les risques et les vulnérabilités
  • Désigner un responsable de la sécurité chargé de développer et de mettre en œuvre ses politiques et procédures de sécurité
  • Mettre en œuvre des politiques et procédures pour gérer l'accès aux ePHI
  • Fournir une formation de sensibilisation à la sécurité pour les employés

Quel est le but de la règle de sécurité HIPAA?

Le but de la règle de sécurité HIPAA est d'opérationnaliser les protections des informations de santé protégées électroniques contenues dans la règle de confidentialité. Elle le fait en fournissant les sauvegardes techniques et non techniques que les entités couvertes doivent mettre en place pour protéger la vie privée des informations de santé des individus tout en permettant à ces entités d'adopter de nouvelles technologies pour améliorer la qualité et l'efficacité des soins qu'elles fournissent.

Qui doit suivre la règle de sécurité HIPAA?

La règle de sécurité HIPAA s'applique aux entités couvertes et à leurs partenaires commerciaux, à savoir:

  • les régimes de santé qui fournissent ou paient le coût des soins médicaux
  • les fournisseurs de soins de santé qui transmettent électroniquement des informations de santé dans le cadre de transactions réglementées par HIPAA, comme les demandes de remboursement
  • les centres de traitement de données de santé qui traitent les informations non standard qu'ils reçoivent d'une autre entité dans un format standard (c'est-à-dire, format ou contenu de données standard) ou vice versa
  • les partenaires commerciaux qui effectuent certaines fonctions ou activités pour le compte d'une entité couverte ou fournissent certains services à une entité couverte impliquant l'utilisation ou la divulgation de PHI

Qui est exempté de la règle de sécurité HIPAA?

Les assureurs-vie, les employeurs, les transporteurs de compensation des travailleurs, la plupart des écoles et des districts scolaires, de nombreuses agences d'État comme les agences de services de protection de l'enfance, la plupart des agences de la force publique et de nombreux bureaux municipaux sont exemptés de la règle de sécurité HIPAA, même s'ils peuvent avoir des informations de santé vous concernant.