Le Department of Health and Human Services (HHS) des États-Unis, en particulier l’Office of Civil Rights (OCR), administre le programme HIPAA aux États-Unis. En général, la HIPAA s’applique à toutes les organisations qui voient des patients (appelées entités couvertes) ainsi qu’aux organisations qui travaillent à titre de soutien (appelées associés commerciaux). Dans cet article, nous allons discuter spécifiquement de la règle de sécurité HIPAA.
La règle de sécurité HIPAA est l’endroit où la majorité des exigences en matière de cybersécurité se trouvent dans HIPAA. La règle de sécurité est située à la norme 45 CFR Part 160 et aux sous-parties A et C de la partie 164, et est activement appliquée par la ROC. Bien que nous recommandions de lire la règle de sécurité dans son intégralité, il y a quelques domaines spécifiques à aborder qui sont souvent négligés.
-
Il n’y a pas de balayage technique HIPAA . La règle de sécurité HIPAA est composée de documents et de mesures techniques qui doivent être prises pour assurer la conformité à la HIPAA. Il n’y a pas de balayage technique qui rendra « vous êtes conforme à la HIPAA ».
-
Il n’y a pas de certification HIPAA . La HIPAA est une loi qui exige la conformité, mais qui ne fournit aucun programme de certification. Le programme HITRUST est un programme de certification de l’industrie privée qui peut être utilisé pour attester la conformité HIPAA, mais ne remplace pas la conformité totale avec le texte HIPAA.
-
Les politiques de modèle ne sont pas toujours conformes. La HIPAA exige l’achèvement de politiques qui sont toutes deux conformes à la HIPAA et qui reflètent fidèlement votre organisation. Ne vous fiez pas aux politiques types, car votre environnement ne sera probablement pas conforme à vos propres politiques.
-
Les données de rendez-vous sont des renseignements médicaux protégés. Toutes les données de rendez-vous, y compris les données recueillies sur les sites Web, sont des RMP et protégées par la loi. Si vous hébergez votre propre site Web, veuillez demander aux clients d’appeler pour un rendez-vous ou assurez-vous de choisir le bon fournisseur d’hébergement pour votre entreprise.
-
Effectuez votre analyse des risques chaque année. Bien que l’HIPAA ne précise pas un échéancier spécifique pour une analyse des risques, nous vous recommandons d’en effectuer un chaque année pour vous assurer de rester au fait de la sécurité. En cas de violation de données, c’est l’une des premières choses que la ROC demandera. (Remarque : Une analyse des risques n’est pas la même chose qu’une analyse de vulnérabilité. Assurez-vous que tout fournisseur que vous choisissez utilise une méthodologie d’évaluation des risques standard, comme le NIST SP 800-30).
La règle de sécurité HIPAA est plutôt simple, mais nous recommandons toujours de demander des conseils juridiques et des conseils professionnels en matière de sécurité. Les frais et les pénalités découlant d’un échec d’enquête sont suffisants pour mettre hors service même les plus grandes organisations médicales.
Les assurés peuvent demander notre feuille de calcul de conformité HIPAA et, comme toujours, pour plus d’informations à ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!