Stockage dans le cloud et partage de fichiers conformes à la norme HIPAA
Assurer la conformité HIPAA avec des solutions de stockage dans le cloud et de partage de fichiers sécurisées
Qu'est-ce que la conformité HIPAA ?
HIPAA est l'acronyme de Health Insurance Portability and Accountability Act, une loi votée en 1996. Cette loi fédérale régit les protections relatives à la sécurité et à la confidentialité des informations de santé protégées (Protected Health Information, PHI), ainsi que les règles relatives à l'accès des patients aux dossiers médicaux.
La loi HIPAA a évolué avec le temps pour prendre en compte les technologies émergentes et les nouvelles menaces qui planent sur la confidentialité. En 2009, la loi Health Information Technology for Economic and Clinical Health (HITECH) Act a renforcé l'arsenal civil et pénal de la loi HIPAA et a répondu à des questions en matière de sécurité et de confidentialité, liées au partage électronique d'informations de santé. En 2013, le règlement HIPAA Omnibus définitif améliore la protection et les droits des patients en matière de confidentialité, en maintenant toutes les garanties liées aux informations de santé protégées avec les mêmes exigences relatives à la sécurité et à la confidentialité.
Conformité HIPAA : mots clés
Les informations de santé protégées (Protected Health Information, PHI) sont des informations que l'on peut identifier de façon individuelle et qui sont liées à l'état médical ou psychologique, à la fourniture de soins médicaux ou aux paiements de services médicaux (passés, actuels ou futurs) d'un patient. Les informations de santé protégées incluent également des identificateurs courants, comme le nom, l'adresse, le numéro de sécurité sociale et la date de naissance d'un patient.
Les entités couvertes incluent les organismes de santé qui créent, reçoivent et transmettent des informations de santé protégées. Les hôpitaux, les docteurs, les cliniques et autres fournisseurs de soins de santé considérés comme des « entités couvertes » sont responsables de la conformité avec les lois HIPAA et HITECH.
Le HHIPAA Privacy Rule (règlement relatif à la protection de la confidentialité) établit des normes pour la protection des informations de santé protégées. Ce règlement impose aux fournisseurs de soins de santé la mise en place de mesures appropriées pour protéger les informations de santé personnelles. Les fournisseurs doivent encadrer l'utilisation et la divulgation d'informations de santé protégées en définissant des limites.
Le HIPAA Security Rule (règlement relatif à la sécurité) définit des mesures que les fournisseurs doivent utiliser pour préserver les informations de santé protégées et gérer l'accès à ces données. Ce règlement impose aux fournisseurs de soins de santé les mesures suivantes :
- Assurer la confidentialité, l'intégrité et la disponibilité des informations de santé protégées qu'ils créent, transmettent ou maintiennent
- Identifier les menaces qui planent sur les informations de santé protégées et mettre en place des protections adaptées
- Apporter une protection contre les utilisations non autorisées et la divulgation des informations de santé protégées
- S'assurer que le personnel est en conformité avec les règlements HIPAA
- Vérifier et modifier les mesures de sécurité pour protéger les informations de santé protégées au fur et à mesure des évolutions de l'environnement
Le HIPAA Breach Notification Rule (règlement relatif à la notification en cas de violation) impose aux fournisseurs de soins de santé d'informer les patients, le ministère de la Santé et des Services sociaux des États-Unis et, parfois, les médias, si des informations de santé protégées non sécurisées font l'objet d'une violation. Ce type d'événement doit être divulgué la plupart du temps dans les 60 jours qui suivent la découverte de la violation (bien qu'il existe des exceptions lorsque moins de 500 personnes sont concernées par la violation).
Signification de la conformité HIPAA pour les fournisseurs de soins de santé
La confiance est essentielle dans le secteur de la santé. La conformité HIPAA définit la norme fédérale pour la confidentialité et la sécurité des patients. Des violations peuvent entraîner des amendes ou des sanctions pénales et entacher la réputation des fournisseurs de soins de santé.
La sécurisation des informations de santé protégées est fondamentale, mais certains expliquent que ce défi est de plus en plus compliqué à relever. Les fournisseurs de soins de santé doivent faire face à des menaces et à des tentatives de violation de données très sophistiquées. De surcroît, de plus en plus d'entreprises adoptent des politiques BYOD (Bring Your Own Device [Apportez votre propre périphérique]), ce qui complique davantage (et rend encore plus importante) la sécurisation des informations de santé protégées à travers les différentes plates-formes et les différents périphériques.
Le secteur de la santé devient de plus en plus mobile, collaboratif, basé sur les informations et orienté client. Le maintien de la conformité HIPAA est essentiel, mais le choix des bons outils de stockage et de sécurité de données peut faire toute la différence.
Box pour le secteur de la santé : stockage dans le cloud conforme à la norme HIPAA
Box Platform et les produits associés sont conformes avec les normes HIPAA et HITECH, ainsi qu'avec le règlement HIPAA Omnibus définitif depuis novembre 2012. Toutes les informations de santé protégées stockées dans Box sont sécurisées, comme exigé par la norme HIPAA, et Box signe un accord de partenariat avec tous les clients qui envisagent de stocker des informations de santé protégées dans le cloud.
Box continue de mettre à jour ses produits, ses politiques et ses procédures pour conserver la conformité HIPAA. Box a fait l'objet d'une évaluation de la part d'un auditeur tiers, qui a émis un rapport affirmant que Box a mis en place les mécanismes nécessaires au respect des exigences de la norme HIPAA en matière de confidentialité et de sécurité des données.
Box assure la conformité HIPAA à travers plusieurs politiques organisationnelles et fonctionnalités importantes :
- Chiffrement des données (en transit et au repos)
- Accès physique restreint aux serveurs de production
- Contrôles d'accès aux systèmes logiques stricts
- Rapports et journal d'audit des activités de comptes (sur les utilisateurs et sur le contenu)
- Formation des employés sur les politiques et les contrôles de sécurité
- Accès très restreint aux fichiers de données client par les employés
- Datacenters actifs/actifs et en miroir pour réduire les situations de sinistre
Les organismes de santé de toutes tailles et de toutes spécialités font confiance à Box pour protéger les informations sensibles des patients et maintenir la conformité HIPAA. Il est important de noter, cependant, que les organismes de santé sont responsables de la configuration de Box et de la mise en application de politiques organisationnelles, de manière à respecter la conformité HIPAA.
« Box est le référentiel idéal pour les informations. Il ne s'agit pas seulement de communiquer des informations de manière bidirectionnelle, mais également d'héberger des informations de façon sécurisée et conforme, de les organiser et de les utiliser pour créer la documentation règlementaire adéquate. Box a changé ma façon de travailler au quotidien en tant que médecin, en me donnant accès instantanément à des informations à jour afin de m'aider à prendre soin de mes patients. »
Dr Joseph Ducey, vice-président chargé du développement commercial, Providence Anesthesiology Associates