La loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act - HIPAA) a été établie pour garantir que les informations sensibles et protégées sur la santé (PHI) ne soient pas divulguées sans le consentement du patient. L'HIPAA comprend une règle de sécurité qui établit des garanties pour les organisations détenant des informations de santé protégées stockées électroniquement (PHI), ainsi qu'une règle de confidentialité qui fixe des limites et des conditions à l'utilisation et à la divulgation qui peuvent être faites de ces informations sans l'autorisation du patient.
Bien que les réglementations de l'HIPAA soient plus étroitement liées aux "entités couvertes" telles que les plans de santé, les centres d'échange de soins de santé et certains prestataires de soins de santé, elles s'appliquent également aux "associés commerciaux", c'est-à-dire aux fournisseurs tiers qui ont accès aux informations sur la santé publique. Cela élargit considérablement le nombre d'organisations qui doivent se conformer aux exigences de la HIPAA - et le nombre de tiers que les prestataires doivent évaluer.
Comment l'HIPAA définit les informations protégées : Confidentialité et sécurité
La règle de confidentialité de l'HIPAA définit les informations de santé protégées (PHI) comme "toute information détenue par une entité couverte qui concerne l'état de santé, la fourniture de soins de santé ou le paiement de soins de santé et qui peut être liée à un individu".
La règle de sécurité de l'HIPAA traite spécifiquement de la protection des informations personnelles stockées électroniquement (ePHI). Elle stipule que les informations électroniques qu'une organisation (appelée "entité couverte") crée, reçoit, conserve ou transmet doivent être protégées contre les menaces, les risques et les utilisations et/ou divulgations inadmissibles raisonnablement anticipés. La règle de sécurité de l'HIPAA énonce des règles générales concernant les normes de sécurité, y compris les garanties administratives, techniques et physiques. Les exigences organisationnelles et les politiques et procédures documentées complètent les spécifications législatives.
En quoi le risque lié aux tiers est-il lié à l'HIPAA ?
Les organisations doivent être conscientes des risques qui pèsent sur les informations essentielles, tant au sein de leur propre entité qu'auprès des tiers qui ont accès aux informations électroniques. L'HIPAA en fait une exigence et étend le terme "organisation" aux entités couvertes et aux associés commerciaux. La section 164.308(a)(1)(ii)(A) stipule :
ANALYSE DES RISQUES (obligatoire).
Procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé détenues par [l'organisation].
Vous pouvez évaluer la capacité d'un fournisseur à se conformer à vos attentes en matière de sécurité en procédant à une évaluation des risques.
Liste de contrôle : Exigences de l'HIPAA pour les associés commerciaux
Les organismes de santé et assimilés doivent s'assurer que les associés commerciaux et autres tiers disposent des contrôles de sécurité et de confidentialité nécessaires pour empêcher tout accès indésirable ayant une incidence sur la confidentialité, l'intégrité ou la disponibilité des informations électroniques. Pour ce faire, les entreprises doivent procéder à des évaluations approfondies des risques liés aux fournisseurs. Le tableau ci-dessous résume les principales exigences de l'HIPAA à évaluer.
| Exigences de l'HIPAA | Ce que cela signifie |
|---|---|
| Processus de gestion de la sécurité Garanties administratives (§ 164.308(a)(1))(A) Analyse des risques (OBLIGATOIRE) Une entité couverte ou un associé commercial doit procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations électroniques sur la santé protégées détenues par l'entité couverte ou l'associé commercial. |
La première étape de la mise en conformité avec la réglementation HIPAA consiste à procéder à une évaluation complète des risques, tant au niveau interne qu'au niveau des tiers susceptibles d'avoir accès aux informations personnelles. Certaines organisations tentent de le faire à l'aide de questionnaires basés sur des feuilles de calcul, mais cette approche n'est pas adaptée. |
| Processus de gestion de la sécurité Garanties administratives (§ 164.308(a)(1))(B) Gestion des risques (OBLIGATOIRE) Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié afin de se conformer aux [normes de sécurité HIPAA]. |
Une fois les risques identifiés, les organisations doivent mettre en place des contrôles pour les minimiser. |
| Processus de gestion de la sécurité Garanties administratives (§ 164.308(a)(1))(D) Revue des activités du système d'information (OBLIGATOIRE) Mettre en œuvre des procédures pour examiner régulièrement les enregistrements de l'activité des systèmes d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité. |
Étant donné que beaucoup de choses peuvent changer entre les évaluations annuelles, les organisations doivent effectuer un suivi continu des risques, de l'exécution des contrats et des accords de niveau de service (SLA). |
| Contrats d'association commerciale et autres accords (§ 164.308(b)(1))Une entité couverte peut autoriser un associé à créer, recevoir, conserver ou transmettre des informations électroniques protégées sur la santé pour le compte de l'entité couverte uniquement si cette dernière obtient des garanties satisfaisantes, conformément au § 164.314(a), que l'associé sauvegardera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir ces garanties satisfaisantes de la part d'un associé commercial qui est un sous-traitant. |
Des contrats d'associés commerciaux sont nécessaires, mais les équipes de conformité et de sécurité intelligentes exigeront des preuves de conformité et de contrôle. |
| Processus de gestion de la sécurité, garanties administratives § 164.308(a)(6)Spécification de mise en œuvre : Réponse et rapports (OBLIGATOIRE) Identifier les incidents de sécurité suspectés ou connus et y répondre ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité connus de l'entité couverte ou de l'associé commercial ; et documenter les incidents de sécurité et leurs résultats. |
Certains fournisseurs peuvent ne pas savoir s'ils ont été victimes d'une violation ou ne pas signaler rapidement les incidents, ce qui peut retarder le temps moyen de découverte (MTTD) et le temps moyen de résolution (MTTR), exposant ainsi une organisation à des exploits potentiels. |
| Processus de gestion de la sécurité, garanties administratives § 164.308(a)(8)Norme : Évaluation. Effectuer une évaluation technique et non technique périodique, fondée initialement sur les normes mises en œuvre en vertu de la présente règle et, par la suite, en réponse aux changements environnementaux ou opérationnels affectant la sécurité des informations électroniques protégées sur la santé, qui établit dans quelle mesure les politiques et procédures de sécurité d'une entité couverte ou d'un associé commercial satisfont aux exigences de la présente sous-partie. |
Toutes les organisations connaissent des changements de personnel et mettent périodiquement en œuvre de nouvelles politiques et procédures. Les entités couvertes doivent surveiller en permanence les informations cybernétiques, commerciales et financières pour avoir une visibilité sur les changements importants apportés au profil de risque d'un fournisseur entre les évaluations annuelles du contrôle interne. |
| Politiques et procédures et exigences en matière de documentation (§ 164.316(b)(1))Norme : Documentation (i) Conserver les politiques et procédures mises en œuvre pour se conformer à la présente sous-partie sous forme écrite (qui peut être électronique) ; et (ii) si une action, une activité ou une évaluation doit être documentée en vertu de la présente sous-partie, conserver un enregistrement écrit (qui peut être électronique) de l'action, de l'activité ou de l'évaluation. |
En cas d'incident ou d'audit, ou dans le cadre d'une relation commerciale, les organisations sont tenues de fournir des preuves à l'appui des politiques, des risques identifiés et des contrôles. |
Prochaines étapes de la mise en conformité avec l'HIPAA
Le respect de la loi HIPAA exige une vision interne et externe complète des contrôles en place pour tous les partenaires commerciaux. Il est impossible de gérer efficacement ce processus pour des centaines de tiers à l'aide de feuilles de calcul manuelles. Au niveau de base, les organisations doivent
- Automatiser l'intégration et la désintoxication des fournisseurs d' associés commerciaux pour garantir des processus cohérents
- Profil, niveau et score du risque inhérent pour guider les décisions d'évaluation du risque complet
- Évaluer les partenaires commerciaux en fonction d'un contenu normalisé qui simplifie la mise en correspondance des réglementations et des normes.
- Centraliser toute la documentation relative aux associés commerciaux, y compris les contrats, les rapports et les preuves.
- Contrôler en permanence les informations relatives à la cybersécurité, à l'entreprise, à la réputation et aux finances afin d'établir une corrélation entre les risques et les résultats de l'évaluation.
- Rapports réguliers sur les accords de niveau de service, les performances et la conformité à l'aide de modèles standardisés et préconstruits.
- S'appuyer sur les meilleures pratiques pour guider les décisions de remédiation en fonction de l'appétence de l'organisation pour le risque.
Pour obtenir une liste complète des exigences de la HIPAA en matière de gestion des risques liés aux tiers et savoir comment les capacités de Prevalent s'inscrivent dans ce cadre, lisez la liste de contrôle de la conformité HIPAA pour les tiers ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques des tiers s'applique à plus de 20 autres réglementations, téléchargez le Third-Party Risk Management Compliance Handbook (Manuel de conformité à la gestion des risques des tiers).
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
