Si votre organisation de santé est soumise à l'HIPAA, il y a de fortes chances que vous ayez rencontré le CSF de HITRUST dans le cadre de vos efforts de mise en conformité. Comprendre ce qu'est le cadre et comment il se rapporte à HIPAA peut vous aider à choisir le meilleur chemin pour votre parcours de conformité.
Lisez la suite pour trouver les détails dont vous avez besoin pour décider si la certification HITRUST est le bon choix pour votre organisation de santé.
Qu'est-ce que la conformité HIPAA ?
La loi sur la portabilité et la responsabilité en matière d'assurance-maladie (HIPAA) a été signée en loi aux États-Unis par le président Bill Clinton en 1996 pour répondre à deux problèmes clés de l'industrie de la santé :
- Assurer la couverture d'assurance maladie pour les employés entre deux emplois. Sans HIPAA, les individus dans cette situation pourraient se retrouver sans accès à l'assurance maladie et potentiellement incapables de payer pour les soins médicaux nécessaires.
- Prévenir la fraude dans le domaine de la santé en sécurisant les informations de santé protégées (PHI). La règle de confidentialité HIPAA a introduit des changements critiques quant à la manière dont les organisations de santé peuvent stocker, manipuler, accéder et partager des informations sensibles sur les patients.
HIPAA s'applique aux prestataires de soins de santé, aux régimes de santé, aux chambres de compensation de soins de santé et aux associés commerciaux des entités couvertes par HIPAA.
La conformité HIPAA est le processus de sécurisation des PHI et ePHI conformément aux règles HIPAA.
Qu'est-ce que le CSF de HITRUST ?
L'Alliance pour la confiance en matière d'information sur la santé (HITRUST) a été fondée en 2007 pour aider les organisations de tous les secteurs (mais surtout de la santé) à gérer efficacement les risques liés à l'information et à sécuriser les données sensibles. HITRUST s'est associé à des professionnels de la protection des données pour établir HITRUST CSF en tant que cadre unique de sécurité et de confidentialité qui répondrait aux exigences de multiples réglementations sur la confidentialité des données, y compris HIPAA, ISO 27001, NIST, RGPD et PCI DSS. Le cadre de sécurité commun HITRUST offre une clarté et une cohérence aux organisations qui doivent se conformer à plusieurs lois sur la confidentialité et la sécurité des données.
HITRUST aide les organisations de soins de santé à gérer les risques d'information à travers une matrice d'évaluations de l'assurance des tiers et c'est l'un des moyens les plus efficaces de démontrer la conformité aux exigences de la HIPAA. Parce qu'il offre aux organisations une manière complète de mettre en œuvre des meilleures pratiques de protection des données, HITRUST est l'un des cadres de cybersécurité les plus largement adoptés à travers le monde.
HITRUST vs HIPAA : Quelles sont les exigences légales ?
HIPAA et HITRUST ne sont pas les mêmes, et il est possible d'être certifié HITRUST et de toujours violer la HIPAA.
HIPAA est une loi fédérale qui explique ce que les organisations de santé doivent faire pour protéger les informations sensibles des patients. Toutes les entités couvertes et leurs associés commerciaux doivent se conformer aux réglementations HIPAA sous peine de sanctions civiles ou pénales.
HITRUST CSF est un cadre qui aide les entités couvertes et les associés commerciaux à prendre les mesures nécessaires pour se conformer aux exigences prévues par la législation HIPAA. Comme c'est le cas pour de nombreux autres cadres de cybersécurité tels que le NIST, la certification HITRUST n'est pas légalement obligatoire. Toute organisation de soins de santé ou fournisseur de services peut poursuivre la certification.
En termes simples, HIPAA définit ce que les entités couvertes doivent faire en vertu de la loi. HITRUST les aide à déterminer comment elles vont le faire.
Comment la certification HITRUST aide les organisations de soins de santé à prouver leur conformité à la HIPAA
HIPAA exige que les organisations réalisent des audits internes annuels de la sécurité de l'information, mais elle n'est pas prescriptive sur la manière dont les entités couvertes et leurs associés commerciaux peuvent prouver leur conformité à la loi.
Pour démontrer la conformité à HIPAA, les organisations de soins de santé peuvent être certifiées HITRUST CSF, ce qui implique un audit par une tierce partie.
Le processus de certification HITRUST
Comme pour la plupart des audits de sécurité des données, le processus est généralement divisé en quelques phases définies :
Phase 1 : Préparation et remédiation
Pour se préparer à la certification HITRUST, de nombreuses organisations engagent un évaluateur externe autorisé HITRUST pour les aider à déterminer le type et la portée de l'audit dont elles ont besoin et évaluer les contrôles qu'elles ont en place. Ce processus les aide à identifier et à combler les lacunes potentielles dans leur conformité avant leur audit. La phase d'évaluation de l'état de préparation et la remédiation peuvent durer de 2 à 6 mois.
Phase 2 : Évaluation validée
L'évaluateur testera les contrôles, examinera la documentation, interviewera le personnel et examinera les rapports de tests de pénétration et de balayage des vulnérabilités. En fonction de ses observations, l'évaluateur déterminera la maturité des contrôles et le niveau de conformité : entièrement, principalement, partiellement, quelque peu ou non conforme. L'évaluation finale est envoyée à HITRUST pour approbation.
Phase 3 : Revue et rapport d'assurance qualité
Une fois que l'évaluation validée est soumise, HITRUST réalise une revue d'assurance qualité et génère un rapport de certification final. Cela peut prendre 4 à 8 semaines.
La certification HITRUST est valable pour 24 mois, avec une évaluation intermédiaire requise à 12 mois.
Secureframe facilite la mise en conformité avec la HIPAA et la certification HITRUST
Avec l'émergence de menaces plus sophistiquées et la prévalence des législations sur la protection des données, il est plus important que jamais de protéger votre entreprise et vos clients contre les risques de sécurité et les violations de données. Notre plateforme tout-en-un d'automatisation de la conformité en matière de sécurité et de confidentialité facilite et accélère la réalisation et le maintien de la conformité avec les normes de sécurité mondiales les plus rigoureuses.
- Surveillez en continu vos sauvegardes HIPAA et contrôles de sécurité pour une conformité continue
- Accédez à des formations en sécurité et confidentialité des données au sein de la plateforme et suivez l'achèvement par les employés
- Surveillez les fournisseurs et les partenaires commerciaux ayant accès aux informations de santé protégées (PHI) en une seule plateforme
- Collectez automatiquement des preuves pour les audits de conformité annuels
Pour en savoir plus sur la manière dont Secureframe simplifie la conformité en matière de sécurité et de confidentialité, planifiez une démo avec un expert produit.
FAQ
Les normes HIPAA et HITRUST sont-elles les mêmes ?
Non, HIPAA et HITRUST ne sont pas les mêmes.
HIPAA est une loi fédérale qui exige la protection et la gestion confidentielle des informations de santé protégées (PHI). Elle établit des normes pour la confidentialité, la sécurité et les notifications en cas de violation dans le domaine de la santé.
HITRUST n'est pas une loi mais un cadre certifiable qui s'aligne sur les normes et réglementations existantes, y compris HIPAA, pour aider les organisations à gérer leurs risques en matière de sécurité dans le secteur de la santé et au-delà.
Qu'est-ce que HITRUST ?
Le CSF HITRUST fournit un cadre complet de gestion des risques et de la conformité pour les organisations, en particulier dans le secteur de la santé. Le CSF HITRUST intègre et harmonise diverses réglementations, normes et exigences commerciales, y compris HIPAA, NIST, ISO, entre autres, en un seul cadre. Son objectif est de garantir que les informations sensibles, y compris les informations de santé protégées (PHI), sont gérées et protégées de manière sécurisée.
Quelle est la différence entre HIPAA et HITRUST ?
- HIPAA (Health Insurance Portability and Accountability Act) : une loi fédérale américaine promulguée en 1996 qui établit des normes pour la protection des données sensibles des patients. HIPAA comprend des dispositions pour la protection des informations médicales, des normes de confidentialité et de sécurité pour protéger les dossiers médicaux et autres informations de santé personnelles des individus.
- HITRUST (Health Information Trust Alliance) : une organisation qui a développé le Common Security Framework (CSF), qui fournit un cadre complet et certifiable pour la gestion de la conformité réglementaire et de la gestion des risques. Le CSF HITRUST intègre et harmonise diverses normes, y compris HIPAA, pour créer un cadre unifié en matière de sécurité et de confidentialité.
Quelle est la différence entre HITECH et HIPAA ?
HITECH, ou la loi sur la technologie de l'information sur la santé pour la promotion de la santé économique et clinique, fait partie de l'American Recovery and Reinvestment Act de 2009. Elle élargit la portée des protections de la vie privée et de la sécurité disponibles en vertu de la HIPAA et promeut l'adoption et l'utilisation significative de la technologie de l'information sur la santé. HITECH renforce l'application des règles HIPAA en augmentant les pénalités pour les violations de la HIPAA et en étendant les exigences en matière de notifications de violation.
Qu'est-ce que HITRUST dans le domaine de la santé ?
HITRUST dans le domaine de la santé fait référence au HITRUST Common Security Framework (CSF), qui est un cadre certifiable conçu pour aider les organisations de santé à gérer et à protéger les informations sensibles. Le HITRUST CSF intègre et harmonise diverses normes, y compris HIPAA, NIST, ISO, et d'autres, afin de fournir une approche complète de la sécurité de l'information, de la confidentialité et de la gestion des risques dans l'industrie de la santé.
La HIPAA a-t-elle une certification ?
Non, HIPAA n'a pas de processus de certification formel. Au lieu de cela, la conformité à HIPAA est évaluée par le biais d'audits HIPAA et d'enquêtes menées par le Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux (HHS). Les organisations peuvent démontrer leur engagement envers la conformité HIPAA par le biais d'évaluations et de certifications tierces comme HITRUST CSF, qui intègre les exigences HIPAA dans son cadre.
Qui applique la HIPAA ?
HIPAA est appliquée par le Bureau des droits civils (OCR) au sein du ministère de la Santé et des Services sociaux (HHS) des États-Unis. L'OCR est responsable de l'enquête sur les plaintes, de la réalisation d'examens de conformité et de la prise de mesures d'exécution en cas de non-conformité afin de garantir que les entités couvertes et leurs partenaires commerciaux respectent les règles de confidentialité et de sécurité de la HIPAA.