Depuis son entrée en vigueur en 1996, la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) a pour objectif de garantir le droit à la vie privée des patients, de protéger les données de santé sensibles et personnelles des patients contre menaces et attaques, moderniser le flux de données de santé, simplifier l’administration des soins de santé et prévenir la fraude aux soins de santé.
Les dispositions HIPAA font l'objet de mises à jour fréquentes pour s'adapter nouvelles technologies et conditions changeantesMême les entreprises qui accordent la priorité à la conformité HIPAA et à la protection des PHI — ou « informations de santé protégées » — sont confrontées à de multiples obstacles qui nécessitent une attention constante et la capacité d’agir rapidement sur les procédures et pratiques en matière de données.
Outre les mises à jour fréquentes de la loi, ces défis comprennent des menaces d’attaque constantes sur des données très convoitées, des problèmes d’interopérabilité, un afflux gargantuesque de données sur les patients chaque jour, et bien d’autres encore.
Qu'est-ce que la conformité HIPAA ?
HIPAA Il s'agit d'un règlement fédéral qui s'applique aux organismes de santé, à leurs filiales et à leurs sous-traitants. Réglementé et appliqué par le Département de la Santé et des Services sociaux (HHS) Bureau des droits civiques (OCR) — ainsi que certains organismes directeurs d’État — la loi HIPAA désigne ces organisations comme des « entités couvertes ».
Les entités couvertes peuvent inclure :
- régimes de santé: Comprend les compagnies d’assurance maladie, les organismes de maintien de la santé, les programmes gouvernementaux qui subventionnent des programmes comme Medicare et les programmes de santé des militaires et des anciens combattants.
- prestataires de soins de santé: Comprend les hôpitaux, les cliniques, les médecins, les psychologues, les dentistes, les chiropraticiens, les maisons de retraite, les pharmacies, les agences de soins à domicile et tout fournisseur qui transmet des informations sur la santé par voie électronique.
- Centres d'échange d'informations sur les soins de santé:Organisations qui traitent des informations de santé non standard et convertissent des données.
Qu’est-ce que les informations médicales protégées (PHI) ?
Les informations de santé protégées (PHI) sont le terme utilisé par la loi HIPAA pour décrire toute information relative à l'état de santé ou aux traitements passés ou présents d'une personne, permettant de l'identifier. Cela inclut tous les dossiers, documents et autres informations relatifs au diagnostic, à l'historique de paiement, aux processus de soins, au traitement des demandes d'indemnisation, à l'arbitrage des demandes et aux activités de résolution des litiges ; aux informations sur les essais cliniques ; aux résultats des tests ; aux informations sur la santé mentale ; aux informations génétiques ; aux identifiants biométriques utilisés à des fins d'identification, et bien plus encore.
La loi HIPAA exige que chaque entité couverte, qui comprend les régimes de santé et les cabinets médicaux ainsi que toute entreprise impliquée dans les soins de santé, protège toutes les données PHI qui entrent en sa possession ou sous son contrôle.
Les données PHI au sens de la loi HIPAA peuvent relever d'une catégorie distincte de renseignements personnels en vertu d'autres réglementations. Par exemple, un numéro de sécurité sociale peut être considéré comme PII (informations personnelles identifiables) selon le règlement général sur la protection des données (RGPD) de l'UE et PI (informations personnelles) en vertu de la Loi californienne sur la protection de la vie privée des consommateurs (CCPA), il serait considéré comme un identifiant PHI selon la loi HIPAA.
Pour gérer efficacement données sensibles — en particulier ce qui est couvert par plus d’un règlement — les organisations doivent adopter une technologie capable de trouver, classer, cartographier et cataloguer automatiquement toutes les données sensibles et les PHI sur l’ensemble d’un écosystème de données, avec une couverture complète de tous les systèmes et sources de données.
La solution de plateforme de BigID adopte une approche basée sur l'apprentissage automatique pour classer et étiqueter automatiquement toutes les données PHI, ePHI, HIPAA et sensibles - par réglementation, type de document, politique, attributs, individu, etc.
Quelles sont les trois règles de la loi HIPAA ?
Règle de confidentialité HIPAA
La règle de confidentialité de la loi HIPAA confère aux individus des droits sur leurs informations de santé. Les patients ont le droit légal d'accéder à leur dossier médical et d'en obtenir une copie, ainsi que de demander la rectification des informations inexactes ou obsolètes.
La règle de confidentialité exige également que les organismes de santé couverts prennent des mesures raisonnables pour garantir la confidentialité des patients, suivre les divulgations, ne divulguer que la quantité minimale d'informations nécessaires pour exécuter une fonction spécifique et informer les individus de l'utilisation de leurs PHI.
Les exigences HIPAA stipulent également que les entités couvertes doivent former leur personnel sur la manière de gérer les PHI et nommer un responsable de la confidentialité pour recevoir les plaintes concernant les PHI mal gérés.
Bien que la plupart des divulgations nécessitent une autorisation écrite de la personne, la loi HIPAA autorise les entités couvertes à divulguer des informations de santé protégées sans consentement exprès dans les cas de facilitation de traitement, de paiement ou d'opérations de soins de santé.
Pour divulguer correctement les données aux bonnes personnes au bon moment tout en garantissant la confidentialité des patients, les organisations ont besoin d’une couverture complète de toutes leurs données, partout.
BigID permet aux organisations de connaître leurs données — tout cela, dans tous les types, dans toutes les langues, dans le centre de données ou dans le nuage, structurées ou non structurées, au repos ou en mouvement, à l'échelle du pétaoctet, et permettent aux workflows de supprimer les données redondantes, obsolètes ou triviales (ROT). Cela concerne les fichiers et documents, les images et les e-mails, le Big Data, etc., quel que soit le degré de cloisonnement, de dissimulation, d'héritage ou de difficulté d'accès des données.
Règle de sécurité HIPAA
La règle de sécurité de la loi HIPAA couvre trois domaines et exige que les entités couvertes utilisent les meilleures pratiques pour protéger les PHI et les ePHI (informations de santé électroniques protégées) dans les domaines suivants :
- Sécurité administrativeLes entités concernées doivent disposer de politiques et de procédures écrites démontrant clairement leur conformité à la loi HIPAA. Ces politiques doivent couvrir tous les aspects, de la supervision à la formation des employés, en passant par les contrôles d'accès, ainsi que la gestion et la surveillance sécurisées des données externalisées. La loi réglemente également la documentation spécifique des audits de routine et des audits événementiels, ainsi que l'utilisation de plans d'urgence.
- Sécurité physiqueLes entités concernées doivent mettre en place des contrôles et une surveillance des accès physiques, notamment le retrait du matériel et des logiciels et la sécurisation des postes de travail, afin de prévenir l'exposition non autorisée de données sensibles. Les mesures de protection physique s'étendent aux plans de sécurité des installations, au protocole pour les visiteurs et les accompagnateurs, ainsi qu'à l'accès des sous-traitants, et incluent la formation de tiers sur les responsabilités et les restrictions en matière d'accès physique.
- Sécurité techniqueLes entités concernées doivent mettre en place des mesures de protection techniques pour empêcher tout accès non autorisé aux renseignements médicaux personnels transmis par voie électronique. Cela comprend le maintien de l'intégrité des données, des contrôles d'authentification et des pratiques appropriées de documentation et de reporting, ainsi que l'utilisation du chiffrement des données transmises sur des réseaux ouverts.
Essentiellement, la règle de sécurité exige que les organisations sécurisent les enregistrements, cryptent les données, se protègent contre les violations et les attaques malveillantes, empêchent la perte ou le vol d'appareils, forment les employés aux bonnes pratiques de sécurité, sécurisent les PHI auprès de tiers et éliminent les enregistrements lorsque cela est approprié, entre autres exigences.
Grâce à la fonctionnalité de protection des données évolutive et extensible de BigID, les organisations de santé peuvent réduire les risques en sécurisant efficacement les PHI sensibles dans toutes les exigences des règles de sécurité, et tirer parti des flux de travail de correction pour prendre des mesures concernant les données à haut risque et surexposées. Obtenez une analyse approfondie des autorisations pour des ensembles de données ciblés, en fonction de leur catégorie et de leur type, et surveillez les utilisateurs ayant accès à des ensembles de données volumineux et sensibles.
Règle de notification des violations de la loi HIPAA
La règle de notification des violations de données HIPAA exige que les entités concernées signalent l'incident. Les exigences HIPAA varient selon le nombre de patients concernés.
- Les violations affectant 500 patients ou plus doivent être signalées à l'OCR, aux patients concernés et aux médias dans les 60 jours suivant leur détection. Ces violations sont également publiées par l'OCR.
- Les violations affectant 499 patients ou moins doivent être signalées à l'OCR et aux patients concernés dans les 60 jours suivant la fin de l'année civile au cours de laquelle la violation a été détectée.
L'application Breach Data Investigation de BigID permet aux organisations de soins de santé de déterminer l'étendue complète d'une violation de données, savoir quelles données ont été impactées, mettre en place un plan de réponse aux incidents et respecter les normes de reporting pour les régulateurs et les personnes concernées, le tout dans les délais nécessaires à la conformité HIPAA.
Règle HIPAA relative au minimum nécessaire
Cette règle stipule que lors de la divulgation d’informations médicales protégées (PHI), ces organisations doivent prendre des mesures pour limiter la quantité d’informations partagées au minimum nécessaire pour atteindre l’objectif prévu de la divulgation.
En pratique, cela signifie que les prestataires de soins de santé et autres entités concernées doivent déployer des efforts raisonnables pour minimiser la quantité de renseignements personnels sur la santé divulgués, que ce soit sous forme électronique ou papier. Ceci est particulièrement important à l'ère du numérique, où les renseignements personnels sont facilement partagés et transmis.
Il est essentiel que les organismes de santé soient conscients de la règle minimale nécessaire HIPAA et mettent en œuvre les mesures nécessaires pour garantir leur conformité et la protection des informations sensibles de leurs patients.
Mises à jour de la réglementation HIPAA 2023
Les modifications proposées à la règle de confidentialité HIPAA incluent la possibilité pour les patients d'inspecter leurs PHI en personne, la réduction du délai maximal pour donner accès aux PHI, la limitation des demandes de transfert d'ePHI à un tiers, la possibilité pour les individus de demander que leurs PHI soient transférés vers une application de santé personnelle et l'obligation pour les entités couvertes d'informer les individus de leur droit d'obtenir ou de diriger des copies de leurs PHI.
En outre, les entités couvertes seront tenues de publier des barèmes de frais estimés pour l'accès et la divulgation des PHI, de fournir des estimations individualisées des frais pour fournir à une personne une copie de ses propres PHI et de répondre à certaines demandes de dossiers lorsqu'elles sont demandées par une personne.
L'exigence de confirmation écrite de l'Avis de pratiques de confidentialité a été supprimée, et les entités concernées seront autorisées à divulguer des renseignements personnels sur la santé afin de prévenir toute menace pour la santé ou la sécurité, sous certaines conditions. Une exception relative à la norme minimale nécessaire a été ajoutée pour les utilisations et divulgations liées à la coordination des soins et à la gestion des dossiers au niveau individuel.
Qu’est-ce qui est considéré comme une violation de la loi HIPAA ?
Lorsque les entités couvertes ne se conforment pas à une ou plusieurs dispositions de la loi HIPAA, elles peuvent encourir de lourdes amendes et pénalités. Les violations de la loi HIPAA se répartissent en quatre niveaux qui dépendent de :
- la gravité de l'infraction
- le montant du préjudice causé par la violation
- le degré de négligence volontaire
- les antécédents de l'entreprise en matière de conformité
- d'autres facteurs que l'OCR pourrait juger pertinents
Selon le niveau, les sanctions financières varient d'un minimum de 100 TP4T à 50 000 TP4T par infraction. Il existe des centaines de raisons possibles pour une infraction, mais les plus courantes sont :
Avec BigID, les organismes de santé peuvent conserver des enregistrements détaillés des systèmes d'information et des informations à jour sur les audits — et être en mesure de rendre compte de la conformité HIPAA.
Qu'est-ce qui déclenche un audit HIPAA ?
Les audits internes et l’auto-évaluation révèlent de nombreuses Violations de la loi HIPAAPar ailleurs, l'OCR, principal organisme chargé de l'application de la loi HIPAA, accorde la priorité aux enquêtes sur les entités concernées qui signalent des violations de 500 dossiers ou plus. L'OCR effectue également des audits périodiques des entités et partenaires commerciaux concernés par la loi HIPAA.
Les procureurs généraux des États peuvent également enquêter sur les violations. Ces enquêtes sont souvent menées à la suite de plaintes concernant de potentielles violations de la loi HIPAA et en réaction à des signalements de violation de dossiers médicaux.
L'approche de BigID en matière de conformité HIPAA
Pour atteindre et maintenir la conformité HIPAA avec des réglementations telles que la règle de confidentialité HIPAA, la règle de sécurité HIPAA et la règle de notification de violation HIPAA, les organisations de santé et leurs filiales peuvent mettre en œuvre une plate-forme unique de renseignement sur les données pour obtenir une visibilité complète sur leurs données.
La plateforme de gestion de données de BigID — propose des services sur mesure, découverte de données et automatisation évolutive — permettant aux organismes de santé de commencer à répondre aux exigences HIPAA dès maintenant.
Avec BigID, vous pouvez :
Connaissez vos données: Avec BigID, les entreprises peuvent découvrir, gérer et cataloguer tous leurs PHI et ePHI sensibles dans toute l'organisation, quel que soit leur degré de cloisonnement, et appliquer une politique à toutes leurs données, partout.
Obtenez une couverture complète des données: Les entreprises ont besoin d'une visibilité complète sur l'ensemble de leurs données, et non seulement sur une partie d'entre elles. BigID offre une couverture complète des données non structurées, structurées et semi-structurées, du Big Data, des données en mouvement, et bien plus encore, le tout dans une interface unique.
Surveiller la qualité des données: Maintenez une carte complète de tous les PHI — sur site et dans le cloud — alertez sur les risques de violation et soyez en mesure de signaler toutes les données sensibles des patients pour la conformité HIPAA.
Réduire les risques — partout: Réduisez les risques liés aux PHI grâce à la notation des risques, au signalement des flux de données et des modèles d'accès, et à la surveillance continue de l'accès aux fichiers.
Activer la correction : Agissez rapidement pour corriger les données à haut risque, les données sensibles, les données sombres et toutes vos informations de santé réglementées.
Planifiez une démonstration gratuite en tête-à-tête pour voir comment BigID peut permettre à votre organisation d'atteindre des résultats continus Conformité HIPAA.
Auteur
