nordpass logo

Des mots de passe forts pour la conformité HIPAA

  • Garantissez la manipulation sûre des informations de santé sensibles

Explication de la conformité HIPAA

Les données de santé des patients sont un sujet sensible et privé, et requièrent donc une manipulation particulièrement prudente. Mais fort heureusement, il existe des mesures juridiques pour garantir leur sécurité. Découvrez ci-dessous la conformité HIPAA et comment elle peut aider votre entreprise à assurer la protection des données de santé.

Qu'est-ce que la conformité HIPAA ?

HIPAA correspond à l'acronyme anglais de la Loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie. Il s'agit de la loi qui supervise la sécurité des données médicales aux États-Unis. La conformité HIPAA garantit que les entreprises et les organisations de soins de santé protégeront les données privées des patients (ou les informations de santé protégées (PHI)) contre les violations de la vie privée, les erreurs de manipulation internes ou les fuites de données.

Les PHI comprennent toutes les données personnelles qui pourraient identifier un patient ou tout client d'une telle institution. Cela va des numéros de téléphone aux dossiers médicaux. La conformité HIPAA implique donc qu'une organisation protège ces informations en les manipulant en toute sécurité et en mettant en place toutes les mesures de sécurité requises. Le non-respect de cette obligation peut entraîner des sanctions juridiques sévères.

Qui est concerné par la conformité HIPAA ?

La conformité HIPAA s'applique à deux types d'organisations : les entités couvertes et leurs partenaires commerciaux. Les entités couvertes sont des organisations qui travaillent activement avec les PHI, comme, par exemple, des prestataires de soins de santé et d'assurance maladie. Les partenaires commerciaux sont des entreprises qui fournissent des services à des entités couvertes. Il peut s'agir de développeurs d'applications, de fournisseurs d'infrastructures informatiques, d'entrepreneurs tiers, de sociétés de sécurité, de traiteurs, etc. Ce pourrait être n'importe quelle entreprise qui traite avec une entité couverte et manipule des PHI.

Par exemple, une entreprise informatique qui développe un gestionnaire de fichiers utilisé par les hôpitaux pour accéder aux PHI, doit être en conformité avec l'HIPAA. Autrement, tout hôpital qui utilise une telle application risquerait de violer les règles de l'HIPAA. Toute application ayant des connexions avec les PHI doit être conforme à l'HIPAA et assurer les chiffrement nécessaires et d'autres mesures de sécurité.

Liste de contrôle de conformité HIPAA

Les exigences de conformité HIPAA revêtent deux étiquettes : adressable et requise. La dernière implique que la disposition doit être strictement respectée par toutes les entreprises. L'autre permet une certaine souplesse dans son application, ou encore permet à certaines entités de s'en affranchir. Les règlements HIPAA requis sont :

  1. La mise en œuvre et les moyens de contrôle d'accès. Chaque utilisateur doit disposer d'un accès protégé distinct ;

  2. L'introduction de registres d'activité et de contrôles d'audit. Toute entreprise se doit de suivre la façon dont on utilise les données et tenir des registres d'activité ;

  3. Les politiques pour l'utilisation/le positionnement des postes de travail. Toute entreprise est tenue de surveiller attentivement les postes de travail et en restreindre l'accès ;

  4. Les politiques et procédures pour les appareils mobiles. Toute entreprise doit avoir un plan sur la façon de supprimer les PHI des appareils mobiles si les employés ne les utilisent plus ;

  5. La mise en œuvre d'évaluations de risques. Toute entreprise doit identifier les risques et les zones vulnérables dans la gestion des PHI ;

  6. La mise en place d'une politique de gestion des risques. Toute entreprise doit avoir des politiques et des mesures sur la façon de minimiser ces risques ;

  7. L'élaboration d'un plan d'urgence. Toute entité couverte doit protéger les PHI et pouvoir opérer en cas d'urgence ;

  8. La restriction d'accès à des tiers. Les tiers non autorisés ne doivent pas être en mesure d'accéder aux données.

Violations de l'HIPAA et violations de données

Les violations de l'HIPAA résultent du non-respect des exigences décrites ci-dessus. Par exemple, une personne peut égarer un appareil, avoir un accès non autorisé, installer accidentellement des logiciels malveillants, etc.

Toute organisation de soins de santé qui a subi une violation importante affectant plus de 500 personnes doit la signaler dans les 60 jours. Les infractions mineures (affectant moins de 500 personnes) peuvent être signalées une fois par an. En outre, l'entité est également tenue d'en informer individuellement les patients affectés.

Si une violation a été causée par des facteurs de force majeure que l'entreprise ne pouvait pas prévoir, elle n'est pas nécessairement considérée en tant que violation. En revanche, ne pas signaler l'incident en constitue bien une.

HIPAA Privacy and Security Rules

Les Normes de l'HIPAA protège la vie privée des patients et leur droit d'obtenir des données de type PHI. Elles prévoient les mesures de sécurité visant à assurer la confidentialité et établit également les conditions dans lesquelles une organisation peut divulguer des données sans le consentement du patient.

Les patients peuvent également obtenir des données PHI et demander des modifications, si nécessaire. Toute organisation dispose d'un délai de 30 jours pour répondre à une demande de données des patients. Si elle souhaite utiliser les données d'un patient à des fins de marketing, de collecte de fonds ou de recherche, le patient doit donner son consentement écrit.

Comment protéger les données médicales privées

Voici quelques conseils de sécurité en ligne sur la manière de traiter les données personnelles des patients :

  • Utilisez a VPN pour chiffrer le trafic de votre entreprise. Cela est particulièrement essentiel lorsque les données sont en transit et que les pirates peuvent tenter de les intercepter ;

  • Chiffrez les fichiers PHI, afin qu'ils ne soient pas accessibles en cas de violation ;

  • Mettez en œuvre la déconnexion automatique dans le cas où un utilisateur laisse un appareil sans surveillance ;

  • Mettez en place une formation régulière sur la sécurité pour vos employés ;

  • Faites toujours une sauvegarde de vos données ;

  • Utilisez des applications de messagerie sécurisées avec un chiffrement de bout en bout et une confidentialité persistante parfaite ;

  • Always update your company’s security software;

  • Assurez-vous que vos employés utilisent des mesures de précaution pour éviter les logiciels malveillants. Ils doivent supprimer les applications qu'ils ne reconnaissent pas, ne jamais télécharger à partir de sites Web suspects ou ouvrir des liens, pièces jointes, messages suspects ;

  • En cas de doute, assurez-vous toujours que vous et vos employés partagez les données avec la bonne personne en vérifiant deux fois via d'autres moyens de communication ;

  • Utilisez des services de messagerie sécurisés et chiffrés ;

  • Utilisez un logiciel sécurisé, conforme aux normes de l'HIPAA.

  • Veillez toujours bien à utiliser mots de passe forts pour accéder aux comptes et bases de données de votre entreprise.

Nous vous conseillons d'utiliser un gestionnaire de mots de passe pour mémoriser les mots de passe complexes. Essayez notre NordPass sûr et facile à utiliser. Il chiffre tous vos mots de passe et les stocke dans un coffre-fort sécurisé afin que seuls les employés autorisés puissent y accéder.