Qu'est-ce que la conformité HIPAA ?
Définition de la conformité HIPAA
Créée en 1996, la loi HIPAA (Health Insurance Portability And Accountability Act) vise à protéger la confidentialité et la sécurité des informations de santé sensibles.
Plus que dans tout autre secteur, la conformité est essentielle pour les organisations de soins de santé. La collecte et le traitement des informations de santé protégées (ISP), y compris les données personnelles et médicales, sont nécessaires pour fournir aux patients des options de soins de santé optimisées. Cependant, les conséquences d’une violation des PHI peuvent être dévastatrices. Non seulement cela peut nuire à la réputation, à la perte financière et à la responsabilité légale, mais les violations ont également causé des dommages aux patients.
Règle de sécurité de conformité HIPPA
La règle de sécurité HIPAA protège un sous-ensemble d'informations couvertes par la règle de confidentialité HIPAA. Elle se concentre essentiellement sur ce que les organisations doivent faire pour protéger les informations de santé électroniques protégées (e-PHI).
La règle de sécurité ne détermine pas quelles mesures de sécurité sont utilisées, si elles sont efficaces. Cependant, ils nécessitent trois normes de mise en œuvre également appelées garanties :
- Administratif : Une analyse des risques est requise pour déterminer quelles mesures de sécurité sont nécessaires pour votre organisation. Il doit s'agir d'un processus continu.
- Physique : Il s’agit de la sécurité des bureaux dans lesquels les e-PHI peuvent être stockées. Les mesures de sécurité doivent inclure des mesures d’accès et de contrôle aux installations, ainsi que la sécurité des postes de travail et des appareils.
- Technique : Des mesures, comme les pare-feu, le chiffrement et la sauvegarde des données, sont utilisées pour assurer la sécurité des e-PHI et les garanties doivent consister en des contrôles d’accès, des contrôles d’audit, des contrôles d’intégrité et la sécurité de la transmission.
Violations récentes des données de santé
Selon un rapport SonicWall Cyber Threat Report 2022, les soins de santé ont continué à connaître une forte hausse des malwares en 2021, à 121 %. Alors que le plus grand bond dans les attaques de malware IoT appartenait aux soins de santé, qui a connu une augmentation de 71 % en glissement annuel.
Pour mettre en lumière l’importance que les malware peuvent avoir, il est important d’examiner certaines violations au cours des dernières années qui auraient pu être contournées en respectant les règles et les garanties HIPAA.
Services de santé chrétiens Rehoboth McKinley (RMCHCS)
En mai 2021, plus de 205 000 patients de RMCHCS ont été informés d’une tentative d’extorsion de données qui a contraint l’hôpital à des temps d’arrêt des dossiers médicaux électroniques (HER). RMCHCS a été victime d’une attaque lancée par Conti, un groupe de piratage de ransomware qui a activement ciblé le secteur de la santé tout au long de l’année 2020.
Il a ensuite été déterminé que les acteurs de Conti ont exfiltré des données, y compris les numéros de sécurité sociale, les passeports et les informations de santé protégées (PHI) des patients, du système pendant environ deux semaines, du 21 janvier au 5 février. RMCHCS a signalé qu'elle a immédiatement informé les forces de l'ordre, mais qu'elle n'a pas commencé à envoyer d'avis avant la fin du mois d'avril, ce qui est préoccupant.
Puisqu'il s'agissait d'une attaque de ransomware, il existe un manque évident de protections techniques et d'évaluations régulières des risques. Bien que RMCHCS ait informé les patients de la violation, le manque de ponctualité compromet davantage la sécurité personnelle et l’intégrité des e-PHI. Les patients auraient dû être informés en temps opportun afin de pouvoir fermer ou modifier leurs graphiques, mettre à jour le portail en ligne ou les informations bancaires, ou demander un nouveau passeport.
Un point de contact
Ce fournisseur de publipostage et d’impression de Hartland, dans le Wisconsin, a été victime d’une attaque de ransomware le 28 avril 2022. Plus de 2,6 millions de personnes sur au moins 34 organisations ont été touchées par la violation.
Il a été découvert que les serveurs de OneTouchPoint étaient compromis un jour plus tôt, ce qui mettait en danger les données sensibles. Plus de six semaines plus tard, OneTouchPoint a révélé que les fichiers contenaient des données client ainsi que des informations sensibles sur les employés actuels et anciens. Il s'agissait notamment des noms et adresses des clients et des employés, des abonnés et des identifiants des membres du secteur de la santé, ainsi que des diagnostics et des médicaments des clients. Cela a conduit de nombreux clients de OneTouchPoint à offrir des services de surveillance de crédit et de protection contre le vol d’identité à leurs membres à leurs propres frais.
Au moins un recours collectif a été intenté contre OneTouchPoint en raison de la violation de données.
Comment rester conforme à la loi HIPAA
Dans le cadre d’un effort plus important pour aider à la conformité HIPAA dans l’espace de la cybersécurité, l’OCR a aligné HIPAA avec le National Institute of Standards and Technology Framework (NIST). En tant que l'une des plus grandes normes du secteur à être reconnue, si vous êtes déjà conforme au NIST, il est plus facile d'être conforme à la loi HIPAA.
Pour garantir le maintien de normes élevées et la sensibilisation, de nombreuses entreprises fournissent une formation et des informations d'identification sur la conformité HIPAA. Il existe de nombreuses sociétés de conseil qui fournissent une formation, y compris l’OCR, qui propose différents modules de formation pour s’adapter à la large gamme d’entités qui doivent se conformer à la loi HIPAA.
Conformité HIPPA - Meilleures pratiques
Les bonnes pratiques suivantes peuvent vous aider à atteindre la conformité :
Comprendre les règles HIPAA
La règle de confidentialité HIPAA dicte comment les PHI peuvent être utilisées et divulguées dans le secteur de la santé. Un aperçu de la règle vous donne un aperçu des droits des patients, y compris le droit d’accéder à leurs dossiers médicaux et de demander des corrections.
La règle de sécurité HIPAA vous fournit les protections techniques, physiques et administratives nécessaires pour protéger les PHI des clients.
La règle de notification des violations HIPAA exige que les patients, les médias et le département américain de la Santé et des Services sociaux (HHS) soient informés en cas de violation de données.
Effectuer une évaluation des risques
Cela implique d’identifier toutes les PHI que votre organisation collecte, traite et stocke. Votre évaluation des risques doit également identifier les vulnérabilités de votre organisation qui pourraient mettre en danger les PHI. Cela inclut les cybermenaces internes ou externes connues, le vol ou la perte d’appareils physiques, et la probabilité d’une attaque de votre organisation basée sur votre indice de cyber-risque.
Mettre en œuvre des politiques et procédures
En fonction des résultats de votre évaluation des risques, développez et mettez en œuvre des politiques et procédures qui traitent chaque risque identifié. Cela comprend des domaines tels que le contrôle d’accès, la sauvegarde et la récupération des données, la réponse aux incidents et la formation de sensibilisation à la sécurité pour les employés. Examinez et mettez à jour ces politiques et procédures régulièrement pour vous assurer qu’elles restent pertinentes.
Former les employés
Assurez-vous que vos employés sont informés des politiques et procédures de votre organisation. Tous les employés qui traitent des PHI doivent savoir comment les protéger et reconnaître les conséquences de la non-conformité. Une formation régulière de sensibilisation à la sécurité est nécessaire pour s’assurer que les employés restent informés des dernières menaces et connaissent les bonnes pratiques pour protéger les PHI.
Surveillance et audit
Passez fréquemment en revue les mesures de sécurité de votre organisation, effectuez des tests de pénétration et effectuez des évaluations de vulnérabilité. Vous et vos équipes serez ainsi informés des risques ou menaces émergents pour les PHI et de la manière de gérer correctement une violation. Un audit régulier est essentiel pour rester en conformité et préparé.