Si votre organisation de santé est soumise à l'HIPAA, il y a de fortes chances que vous ayez rencontré le CSF de HITRUST dans le cadre de vos efforts de mise en conformité. Comprendre ce qu'est le cadre et comment il se rapporte à HIPAA peut vous aider à choisir le meilleur chemin pour votre parcours de conformité.
Lisez la suite pour trouver les détails dont vous avez besoin pour décider si la certification HITRUST est le bon choix pour votre organisation de santé.
Qu'est-ce que la conformité HIPAA ?
La loi sur la portabilité et la responsabilité en matière d'assurance-maladie (HIPAA) a été signée en loi aux États-Unis par le président Bill Clinton en 1996 pour répondre à deux problèmes clés de l'industrie de la santé :
- Assurer la couverture d'assurance maladie pour les employés entre deux emplois. Sans HIPAA, les individus dans cette situation pourraient se retrouver sans accès à l'assurance maladie et potentiellement incapables de payer pour les soins médicaux nécessaires.
- Prévenir la fraude dans le domaine de la santé en sécurisant les informations de santé protégées (PHI). La règle de confidentialité HIPAA a introduit des changements critiques quant à la manière dont les organisations de santé peuvent stocker, manipuler, accéder et partager des informations sensibles sur les patients.
HIPAA s'applique aux prestataires de soins de santé, aux régimes de santé, aux chambres de compensation de soins de santé et aux associés commerciaux des entités couvertes par HIPAA.
La conformité HIPAA est le processus de sécurisation des PHI et ePHI conformément aux règles HIPAA.
Qu'est-ce que le CSF de HITRUST ?
L'Alliance pour la confiance en matière d'information sur la santé (HITRUST) a été fondée en 2007 pour aider les organisations de tous les secteurs (mais surtout de la santé) à gérer efficacement les risques liés à l'information et à sécuriser les données sensibles. HITRUST s'est associé à des professionnels de la protection des données pour établir HITRUST CSF en tant que cadre unique de sécurité et de confidentialité qui répondrait aux exigences de multiples réglementations sur la confidentialité des données, y compris HIPAA, ISO 27001, NIST, RGPD et PCI DSS. Le cadre de sécurité commun HITRUST offre une clarté et une cohérence aux organisations qui doivent se conformer à plusieurs lois sur la confidentialité et la sécurité des données.
HITRUST aide les organisations de soins de santé à gérer les risques d'information à travers une matrice d'évaluations de l'assurance des tiers et c'est l'un des moyens les plus efficaces de démontrer la conformité aux exigences de la HIPAA. Parce qu'il offre aux organisations une manière complète de mettre en œuvre des meilleures pratiques de protection des données, HITRUST est l'un des cadres de cybersécurité les plus largement adoptés à travers le monde.
HITRUST vs HIPAA : Quelles sont les exigences légales ?
HIPAA et HITRUST ne sont pas les mêmes, et il est possible d'être certifié HITRUST et de toujours violer la HIPAA.
HIPAA est une loi fédérale qui explique ce que les organisations de santé doivent faire pour protéger les informations sensibles des patients. Toutes les entités couvertes et leurs associés commerciaux doivent se conformer aux réglementations HIPAA sous peine de sanctions civiles ou pénales.
HITRUST CSF est un cadre qui aide les entités couvertes et les associés commerciaux à prendre les mesures nécessaires pour se conformer aux exigences prévues par la législation HIPAA. Comme c'est le cas pour de nombreux autres cadres de cybersécurité tels que le NIST, la certification HITRUST n'est pas légalement obligatoire. Toute organisation de soins de santé ou fournisseur de services peut poursuivre la certification.
En termes simples, HIPAA définit ce que les entités couvertes doivent faire en vertu de la loi. HITRUST les aide à déterminer comment elles vont le faire.
Comment la certification HITRUST aide les organisations de soins de santé à prouver leur conformité à la HIPAA
HIPAA exige que les organisations réalisent des audits internes annuels de la sécurité de l'information, mais elle n'est pas prescriptive sur la manière dont les entités couvertes et leurs associés commerciaux peuvent prouver leur conformité à la loi.
Pour démontrer la conformité à HIPAA, les organisations de soins de santé peuvent être certifiées HITRUST CSF, ce qui implique un audit par une tierce partie.
Le processus de certification HITRUST
Comme pour la plupart des audits de sécurité des données, le processus est généralement divisé en quelques phases définies :
Phase 1 : Préparation et remédiation
Pour se préparer à la certification HITRUST, de nombreuses organisations engagent un évaluateur externe autorisé HITRUST pour les aider à déterminer le type et la portée de l'audit dont elles ont besoin et évaluer les contrôles qu'elles ont en place. Ce processus les aide à identifier et à combler les lacunes potentielles dans leur conformité avant leur audit. La phase d'évaluation de l'état de préparation et la remédiation peuvent durer de 2 à 6 mois.
Phase 2 : Évaluation validée
L'évaluateur testera les contrôles, examinera la documentation, interviewera le personnel et examinera les rapports de tests de pénétration et de balayage des vulnérabilités. En fonction de ses observations, l'évaluateur déterminera la maturité des contrôles et le niveau de conformité : entièrement, principalement, partiellement, quelque peu ou non conforme. L'évaluation finale est envoyée à HITRUST pour approbation.
Phase 3 : Revue et rapport d'assurance qualité
Une fois que l'évaluation validée est soumise, HITRUST réalise une revue d'assurance qualité et génère un rapport de certification final. Cela peut prendre 4 à 8 semaines.
La certification HITRUST est valable pour 24 mois, avec une évaluation intermédiaire requise à 12 mois.
Secureframe facilite la mise en conformité avec la HIPAA et la certification HITRUST
Avec l'émergence de menaces plus sophistiquées et la prévalence des législations sur la protection des données, il est plus important que jamais de protéger votre entreprise et vos clients contre les risques de sécurité et les violations de données. Notre plateforme tout-en-un d'automatisation de la conformité en matière de sécurité et de confidentialité facilite et accélère la réalisation et le maintien de la conformité avec les normes de sécurité mondiales les plus rigoureuses.
- Surveillez en continu vos sauvegardes HIPAA et contrôles de sécurité pour une conformité continue
- Accédez à des formations en sécurité et confidentialité des données au sein de la plateforme et suivez l'achèvement par les employés
- Surveillez les fournisseurs et les partenaires commerciaux ayant accès aux informations de santé protégées (PHI) en une seule plateforme
- Collectez automatiquement des preuves pour les audits de conformité annuels
Pour en savoir plus sur la manière dont Secureframe simplifie la conformité en matière de sécurité et de confidentialité, planifiez une démo avec un expert produit.