La loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) a été créée pour garantir que les informations de santé protégées (PHI) sensibles ne soient pas divulguées sans le consentement du patient. L'HIPAA comprend une règle de sécurité qui établit des garanties pour les organisations détenant des informations de santé protégées stockées électroniquement (ePHI), ainsi qu'une règle de confidentialité qui fixe des limites et des conditions sur les utilisations et les divulgations qui peuvent être faites de ces informations sans l'autorisation du patient.
Bien que les réglementations de l'HIPAA concernent plus particulièrement les "entités couvertes" telles que les plans de santé, les centres d'échange de soins de santé et certains prestataires de soins de santé, elles s'appliquent également aux "associés commerciaux", c'est-à-dire aux fournisseurs tiers qui ont accès aux RPS. Cela élargit considérablement le nombre d'organisations qui doivent se conformer aux exigences de l'HIPAA - et le nombre de tiers que les prestataires doivent évaluer.
La règle de confidentialité de l'HIPAA définit les informations de santé protégées (PHI) comme "toute information détenue par une entité couverte qui concerne l'état de santé, la fourniture de soins de santé ou le paiement de soins de santé et qui peut être liée à un individu".
La règle de sécurité de l'HIPAA traite spécifiquement de la protection des renseignements médicaux personnels stockés électroniquement (ePHI). Elle stipule que les DPH électroniques qu'une organisation (appelée entité couverte) crée, reçoit, conserve ou transmet doivent être protégées contre les menaces, les dangers et les utilisations et/ou divulgations non autorisées raisonnablement anticipés. La règle de sécurité de l'HIPAA énonce les règles générales relatives aux normes de sécurité, y compris les mesures de protection administratives, techniques et physiques. Des exigences organisationnelles et des politiques et procédures documentées complètent les spécifications législatives.
Les organisations doivent être conscientes des risques qui pèsent sur les informations critiques, tant au sein de leur propre entité que chez les tiers qui ont accès aux ePHI. L'HIPAA en fait une exigence, et étend le terme "organisation" aux entités couvertes et aux associés commerciaux. La section 164.308(a)(1)(ii)(A) stipule :
ANALYSE DES RISQUES (obligatoire). Réaliser une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé électroniques protégées détenues par l'[organisation].
Vous pouvez évaluer la capacité d'un fournisseur à se conformer à vos attentes en matière de sécurité en procédant à une évaluation des risques liés au fournisseur.
Liste de contrôle de la conformité des tiers à l'HIPAA
Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.
Les organismes de santé et les organisations connexes doivent s'assurer que les associés commerciaux et les autres tiers disposent des contrôles de sécurité et de confidentialité nécessaires pour empêcher tout accès indésirable ayant un impact sur la confidentialité, l'intégrité ou la disponibilité des ePHI. Pour y parvenir, les entreprises doivent procéder à une évaluation approfondie des risques liés aux fournisseurs. Le tableau ci-dessous résume les principales exigences HIPAA à évaluer.
Exigences HIPAA | Ce que cela signifie |
---|---|
Processus de gestion de la sécurité (A) Analyse du risque (OBLIGATOIRE) Une entité couverte ou un associé d'affaires doit procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'entité couverte ou l'associé d'affaires. |
La première étape pour se conformer à la réglementation HIPAA est une évaluation complète des risques, tant en interne que pour les tiers susceptibles d'avoir accès aux PHI. Certaines organisations tentent de le faire à l'aide de questionnaires sur tableur, mais cette approche n'est pas adaptée. |
Processus de gestion de la sécurité (B) Gestion des risques (OBLIGATOIRE) Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié afin de se conformer aux [normes de sécurité HIPAA]. |
Une fois les risques identifiés, les organisations doivent mettre en place des contrôles pour les minimiser. |
Processus de gestion de la sécurité (D) Revue des activités du système d'information (OBLIGATOIRE) Mettre en place des procédures pour examiner régulièrement les enregistrements de l'activité du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité. |
Comme beaucoup de choses peuvent changer entre les évaluations annuelles, les organisations doivent effectuer un suivi continu des risques, de la performance des contrats et des accords de niveau de service (SLA). |
Contrats d'associés commerciaux et autres arrangements Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au § 164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant. |
Des contrats d'associés d'affaires sont requis, mais les équipes de conformité et de sécurité intelligentes exigeront des preuves de conformité et de contrôles. |
Processus de gestion de la sécurité, mesures de protection administratives Spécification de mise en œuvre : Réponse et rapports (OBLIGATOIRE) Identifier et répondre aux incidents de sécurité suspectés ou connus ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité qui sont connus de l'entité couverte ou de l'associé commercial ; et documenter les incidents de sécurité et leurs résultats. |
Certains fournisseurs peuvent ne pas savoir quand ils ont été victimes d'une violation ou ne pas signaler rapidement les incidents, ce qui peut retarder le délai moyen de découverte (MTTD) et le délai moyen de résolution (MTTR), ouvrant ainsi l'organisation à des exploits potentiels. |
Processus de gestion de la sécurité, mesures de protection administratives Standard : Évaluation. Effectuer une évaluation technique et non technique périodique, basée initialement sur les normes mises en œuvre dans le cadre de cette règle et, par la suite, en réponse à des changements environnementaux ou opérationnels affectant la sécurité des informations de santé électroniques protégées, afin de déterminer dans quelle mesure les politiques et procédures de sécurité d'une entité couverte ou d'un associé répondent aux exigences de cette sous-partie. |
Toutes les organisations connaissent des changements de personnel et mettent périodiquement en œuvre de nouvelles politiques et procédures. Les entités couvertes doivent surveiller en permanence le site cyber et les renseignements commerciaux et financiers afin de connaître les changements importants apportés au profil de risque d'un fournisseur entre les évaluations annuelles du contrôle interne. |
Politiques et procédures et exigences en matière de documentation Standard : Documentation
|
En cas d'incident ou d'audit, ou dans le cadre d'une relation commerciale, les organisations sont tenues de produire des preuves à l'appui des politiques, des risques identifiés et des contrôles. |
Laconformité à l'HIPAA exige une vue interne et externe complète des contrôles en place pour tous les associés commerciaux. Il est impossible de gérer efficacement ce processus pour des centaines de tiers avec des feuilles de calcul manuelles. À un niveau de base, les organisations doivent :
Pour une liste complète des exigences HIPAA en matière de gestion des risques liés aux tiers et pour savoir comment les capacités de Prevalent s'appliquent, lisez The HIPAA Third-Party Compliance Checklist ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à plus de 20 autres réglementations, téléchargez The Third-Party Risk Management Compliance Handbook.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024