Demandez une démo

Liste de contrôle de la conformité HIPAA pour la gestion des risques liés aux tiers

Pour se conformer à la législation HIPAA, il faut obtenir une vue interne complète des contrôles de sécurité et de confidentialité des tiers. Découvrez ce que vous devez faire avec cette liste de contrôle de conformité.
Par :
Scott Lang
,
VP, Marketing produit
28 octobre 2021
Partager :
Blog Conformité Hipaa Oct 2019

La loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) a été créée pour garantir que les informations de santé protégées (PHI) sensibles ne soient pas divulguées sans le consentement du patient. L'HIPAA comprend une règle de sécurité qui établit des garanties pour les organisations détenant des informations de santé protégées stockées électroniquement (ePHI), ainsi qu'une règle de confidentialité qui fixe des limites et des conditions sur les utilisations et les divulgations qui peuvent être faites de ces informations sans l'autorisation du patient.

Bien que les réglementations de l'HIPAA concernent plus particulièrement les "entités couvertes" telles que les plans de santé, les centres d'échange de soins de santé et certains prestataires de soins de santé, elles s'appliquent également aux "associés commerciaux", c'est-à-dire aux fournisseurs tiers qui ont accès aux RPS. Cela élargit considérablement le nombre d'organisations qui doivent se conformer aux exigences de l'HIPAA - et le nombre de tiers que les prestataires doivent évaluer.

Comment l'HIPAA définit les informations protégées : Confidentialité et sécurité

La règle de confidentialité de l'HIPAA définit les informations de santé protégées (PHI) comme "toute information détenue par une entité couverte qui concerne l'état de santé, la fourniture de soins de santé ou le paiement de soins de santé et qui peut être liée à un individu".

La règle de sécurité de l'HIPAA traite spécifiquement de la protection des renseignements médicaux personnels stockés électroniquement (ePHI). Elle stipule que les DPH électroniques qu'une organisation (appelée entité couverte) crée, reçoit, conserve ou transmet doivent être protégées contre les menaces, les dangers et les utilisations et/ou divulgations non autorisées raisonnablement anticipés. La règle de sécurité de l'HIPAA énonce les règles générales relatives aux normes de sécurité, y compris les mesures de protection administratives, techniques et physiques. Des exigences organisationnelles et des politiques et procédures documentées complètent les spécifications législatives.

Comment le risque lié aux tiers est-il lié à l'HIPAA ?

Les organisations doivent être conscientes des risques qui pèsent sur les informations critiques, tant au sein de leur propre entité que chez les tiers qui ont accès aux ePHI. L'HIPAA en fait une exigence, et étend le terme "organisation" aux entités couvertes et aux associés commerciaux. La section 164.308(a)(1)(ii)(A) stipule :

ANALYSE DES RISQUES (obligatoire). Réaliser une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé électroniques protégées détenues par l'[organisation].

Vous pouvez évaluer la capacité d'un fournisseur à se conformer à vos attentes en matière de sécurité en procédant à une évaluation des risques liés au fournisseur.

Liste de contrôle de la conformité des tiers à l'HIPAA

Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.

Lire la suite
Liste de contrôle de conformité hipaa 1021

Liste de contrôle : Exigences HIPAA pour les associés commerciaux

Les organismes de santé et les organisations connexes doivent s'assurer que les associés commerciaux et les autres tiers disposent des contrôles de sécurité et de confidentialité nécessaires pour empêcher tout accès indésirable ayant un impact sur la confidentialité, l'intégrité ou la disponibilité des ePHI. Pour y parvenir, les entreprises doivent procéder à une évaluation approfondie des risques liés aux fournisseurs. Le tableau ci-dessous résume les principales exigences HIPAA à évaluer.

Exigences HIPAA Ce que cela signifie

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(A) Analyse du risque (OBLIGATOIRE)

Une entité couverte ou un associé d'affaires doit procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'entité couverte ou l'associé d'affaires.

La première étape pour se conformer à la réglementation HIPAA est une évaluation complète des risques, tant en interne que pour les tiers susceptibles d'avoir accès aux PHI. Certaines organisations tentent de le faire à l'aide de questionnaires sur tableur, mais cette approche n'est pas adaptée.

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(B) Gestion des risques (OBLIGATOIRE)

Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié afin de se conformer aux [normes de sécurité HIPAA].

Une fois les risques identifiés, les organisations doivent mettre en place des contrôles pour les minimiser.

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(D) Revue des activités du système d'information (OBLIGATOIRE)

Mettre en place des procédures pour examiner régulièrement les enregistrements de l'activité du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité.

Comme beaucoup de choses peuvent changer entre les évaluations annuelles, les organisations doivent effectuer un suivi continu des risques, de la performance des contrats et des accords de niveau de service (SLA).

Contrats d'associés commerciaux et autres arrangements
(§ 164.308(b)(1))

Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au § 164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant.

Des contrats d'associés d'affaires sont requis, mais les équipes de conformité et de sécurité intelligentes exigeront des preuves de conformité et de contrôles.

Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(6)

Spécification de mise en œuvre : Réponse et rapports (OBLIGATOIRE)

Identifier et répondre aux incidents de sécurité suspectés ou connus ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité qui sont connus de l'entité couverte ou de l'associé commercial ; et documenter les incidents de sécurité et leurs résultats.

Certains fournisseurs peuvent ne pas savoir quand ils ont été victimes d'une violation ou ne pas signaler rapidement les incidents, ce qui peut retarder le délai moyen de découverte (MTTD) et le délai moyen de résolution (MTTR), ouvrant ainsi l'organisation à des exploits potentiels.

Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(8)

Standard : Évaluation. Effectuer une évaluation technique et non technique périodique, basée initialement sur les normes mises en œuvre dans le cadre de cette règle et, par la suite, en réponse à des changements environnementaux ou opérationnels affectant la sécurité des informations de santé électroniques protégées, afin de déterminer dans quelle mesure les politiques et procédures de sécurité d'une entité couverte ou d'un associé répondent aux exigences de cette sous-partie.

Toutes les organisations connaissent des changements de personnel et mettent périodiquement en œuvre de nouvelles politiques et procédures. Les entités couvertes doivent surveiller en permanence le site cyber et les renseignements commerciaux et financiers afin de connaître les changements importants apportés au profil de risque d'un fournisseur entre les évaluations annuelles du contrôle interne.

Politiques et procédures et exigences en matière de documentation
(§ 164.316(b)(1))

Standard : Documentation

  • (i) conserver les politiques et procédures mises en œuvre pour se conformer à la présente sous-partie sous forme écrite (qui peut être électronique) ; et
  • (ii) Si une action, une activité ou une évaluation doit être documentée en vertu de la présente sous-partie, conserver une trace écrite (qui peut être électronique) de cette action, activité ou évaluation.

En cas d'incident ou d'audit, ou dans le cadre d'une relation commerciale, les organisations sont tenues de produire des preuves à l'appui des politiques, des risques identifiés et des contrôles.

Prochaines étapes pour la conformité HIPAA

Laconformité à l'HIPAA exige une vue interne et externe complète des contrôles en place pour tous les associés commerciaux. Il est impossible de gérer efficacement ce processus pour des centaines de tiers avec des feuilles de calcul manuelles. À un niveau de base, les organisations doivent :

  • Automatiser l'entrée et la sortie des fournisseurs d' associés d'affaires pour garantir des processus cohérents.
  • Établir le profil, le niveau et le score du risque inhérent afin de guider les décisions relatives à l'évaluation complète du risque.
  • Évaluer les partenaires commerciaux en fonction d'un contenu normalisé qui simplifie la mise en correspondance des réglementations et des normes.
  • Centraliser toute la documentation relative aux associés commerciaux, y compris les contrats, les rapports et les preuves.
  • Effectuer une surveillance continue de la cybersécurité, des informations commerciales/réputationnelles et financières afin de corréler les risques aux résultats de l'évaluation.
  • Établir des rapports réguliers sur les accords de niveau de service, les performances et la conformité à l'aide de modèles standardisés et préétablis.
  • S'appuyer sur les meilleures pratiques pour guider les décisions de remédiation en fonction de l'appétit pour le risque de l'organisation.

Pour une liste complète des exigences HIPAA en matière de gestion des risques liés aux tiers et pour savoir comment les capacités de Prevalent s'appliquent, lisez The HIPAA Third-Party Compliance Checklist ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à plus de 20 autres réglementations, téléchargez The Third-Party Risk Management Compliance Handbook.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo