Dernier rapport d'analyste : Le guide de marché 2023 de Gartner® pour les solutions de gestion des risques fournisseurs

Solutions Hero Image Conformité Hipaa

Conformité HIPAA

HIPAA et gestion des risques liés aux tiers

La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) a été établie pour garantir que les informations de santé protégées (PHI) sensibles ne seraient pas divulguées sans le consentement du patient. L'HIPAA comprend une règle de sécurité qui établit des garanties pour les organisations détenant des informations de santé protégées stockées électroniquement (ePHI), ainsi qu'une règle de confidentialité qui fixe des limites et des conditions sur les utilisations et les divulgations qui peuvent être faites de ces informations sans l'autorisation du patient.

Bien que les réglementations de l'HIPAA concernent plus particulièrement les "entités couvertes" telles que les plans de santé, les centres d'échange de soins de santé et certains prestataires de soins de santé, elles s'appliquent également aux "associés commerciaux", c'est-à-dire aux fournisseurs tiers qui ont accès aux RPS. Cela élargit considérablement le nombre d'organisations qui doivent se conformer aux exigences de l'HIPAA et le nombre de tiers que les prestataires doivent évaluer.

Les organisations doivent être conscientes des risques liés aux informations critiques, tant en interne qu'avec les tiers qui ont accès aux ePHI. L'HIPAA en fait une exigence et étend le terme "organisation" aux entités couvertes et aux associés commerciaux. La section 164.308(a)(1)(ii)(A) stipule : "ANALYSE DES RISQUES (Obligatoire). Effectuer une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'[organisation]."

L'évaluation de l'aptitude d'un fournisseur à se conformer aux attentes de l'entité couverte en matière de sécurité se fait par le biais d'une évaluation des risques du fournisseur.

Conditions applicables

  • La règle de confidentialité de l'HIPAA définit les informations de santé protégées (PHI) comme "toute information détenue par une entité couverte qui concerne l'état de santé, la fourniture de soins de santé ou le paiement de soins de santé et qui peut être liée à un individu".

  • La règle de sécurité de l'HIPAA traite spécifiquement de la protection des renseignements médicaux personnels stockés électroniquement (ePHI).

Liste de contrôle de la conformité des tiers à l'HIPAA

Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.

Lire la suite
Liste de contrôle de conformité hipaa 1021

Répondre aux exigences de la règle de sécurité HIPAA TPRM

Voici comment Prevalent peut vous aider à répondre aux exigences de gestion des risques liés aux tiers de l'HIPAA :

Règle de sécurité HIPAA 45 CFR Parties 160, 162, et 164 - Réforme de l'assurance maladie : Normes de sécurité ; règle finale Quelle aide nous apportons

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(A) Analyse du risque (OBLIGATOIRE)

Une entité couverte ou un associé d'affaires doit procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'entité couverte ou l'associé d'affaires.

Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme permettant d'automatiser le processus d'évaluation, de notation et de correction des risques liés aux tiers et de déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Prevalent propose une bibliothèque de plus de 200 modèles d'évaluation standardisés - y compris pour HIPAA et le Health Information Sharing and Analysis Center (H-ISAC) - des capacités de personnalisation, ainsi qu'un flux de travail et des conseils de correction intégrés.

En outre, leréseau de fournisseurs de soins de santé Prevalent simplifie et accélère le processus de diligence raisonnable, en fournissant une bibliothèque à la demande de milliers de rapports sur les risques liés aux fournisseurs de soins de santé basés sur le questionnaire H-ISAC, qui sont continuellement mis à jour et étayés par des preuves.

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(B) Gestion des risques (OBLIGATOIRE)

Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié afin de se conformer aux [normes de sécurité HIPAA].

Une fois les évaluations collectées et analysées, laplate-forme TPRM Prevalent offre des recommandations et des conseils intégrés en matière de remédiation. Grâce à des rapports clairs et à des conseils de remédiation, la plateforme garantit que les risques sont identifiés, analysés et transmis aux canaux appropriés afin que votre organisation atteigne un niveau de risque adapté à son appétit pour le risque.

Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))

(D) Revue des activités du système d'information (OBLIGATOIRE)

Mettre en place des procédures pour examiner régulièrement les enregistrements de l'activité du système d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité.

Prevalent fournit une vue continue des risques grâce à des flux de surveillance des menaces sur Internet et sur le Dark Web, ainsi qu'une analyse des risques commerciaux et financiers, afin de révéler les développements qui pourraient avoir un impact sur les risques.

La plateforme Prevalent permet également d'effectuer des examens complets à l'aide d'un questionnaire d'évaluation des contrats dédié et personnalisé, ainsi qu'un suivi continu des mesures de performance via des tableaux de bord centralisés des fournisseurs.

Prevalent conserve un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence, avec des rapports spécifiques sur la conformité réglementaire et le cadre de sécurité.

Contrats d'associés commerciaux et autres arrangements
(§ 164.308(b)(1))

Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au § 164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant.

Les capacités d'évaluation dePrevalentsimplifient la conformité et réduisent les risques grâce à la collecte, l'analyse et la correction automatisées des réponses des fournisseurs à l'aide d'enquêtes standard ou personnalisées, y compris celles qui mesurent la protection des informations.

Bien que cela ne soit pas obligatoire, Prevalent offre une visibilité sur les 4e et Nième parties (par exemple, les sous-traitants) avec une cartographie détaillée des relations, fournissant des pistes d'audit des flux d'informations dans tout l'écosystème des fournisseurs.

Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(6)

Spécification de mise en œuvre : Réponse et rapports (OBLIGATOIRE)

Identifier et répondre aux incidents de sécurité suspectés ou connus ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité qui sont connus de l'entité couverte ou de l'associé commercial ; et documenter les incidents de sécurité et leurs résultats.

Prevalent Vendor Threat Monitor (VTM) surveille l'Internet et le Dark Web à la recherche de cyber menaces et vulnérabilités - ainsi que de sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances - offrant une visibilité en temps réel des risques et permettant aux équipes de gestion des risques et de sécurité d'agir immédiatement.

Leservice de réponse aux incidents impliquant des tiers ( Prevalent ) permet aux organisations d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en centralisant la gestion des fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(8)

Standard : Évaluation. Effectuer une évaluation technique et non technique périodique, basée initialement sur les normes mises en œuvre dans le cadre de cette règle et, par la suite, en réponse à des changements environnementaux ou opérationnels affectant la sécurité des informations de santé électroniques protégées, afin de déterminer dans quelle mesure les politiques et procédures de sécurité d'une entité couverte ou d'un associé répondent aux exigences de cette sous-partie.

Prevalent Vendor Threat Monitor alerte les organisations des changements défavorables dans les activités des tiers et déclenche des évaluations ciblées pour traiter les risques immédiats provisoires. Les alertes précoces permettent de disposer de plus de temps pour répondre aux incidents et les conseils de remédiation intégrés aident les organisations à protéger les PHI et à éviter les actions de l'OCR et les atteintes à la réputation.

Certains changements, comme la pandémie de COVID-19, ont imposé des changements fondamentaux dans le mode de fonctionnement des entreprises. Les questionnaires d'évaluation de Prevalentcomprennent des questions conçues pour révéler les lacunes internes en matière de continuité des activités et les faiblesses de la chaîne d'approvisionnement externe qui pourraient avoir un impact négatif sur la capacité d'une organisation à maintenir le contrôle des PHI sensibles ou l'inciter à envisager d'autres fournisseurs.

Politiques et procédures et exigences en matière de documentation
(§ 164.316(b)(1))

Standard : Documentation

  • (i) conserver les politiques et procédures mises en œuvre pour se conformer à la présente sous-partie sous forme écrite (qui peut être électronique) ; et
  • (ii) Si une action, une activité ou une évaluation doit être documentée en vertu de la présente sous-partie, conserver une trace écrite (qui peut être électronique) de cette action, activité ou évaluation.

La plateforme TPRM Prevalent comprend la gestion des contrats, des documents, des preuves et des certifications avec des contrôles de version intégrés, l'attribution de tâches et des cadences d'examen automatique dans des profils de fournisseurs centralisés.
En outre, Prevalent permet de capturer et d'auditer les conversations et de faire correspondre la documentation ou les preuves aux risques. Des tableaux de bord intuitifs et simples offrent un aperçu clair des tâches, des calendriers, des activités à risque, de l'état d'avancement des enquêtes, des accords et des documents associés.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo