HIPAA et gestion des risques liés aux tiers
La loi américaine de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie(HIPAA) a été adoptée afin de garantir que les informations médicales protégées (PHI) ne soient pas divulguées sans le consentement du patient. La loi HIPAA comprend une règle de sécurité qui établit des mesures de protection pour les organisations détenant des informations médicales protégées stockées électroniquement (ePHI), ainsi qu'une règle de confidentialité qui fixe des limites et des conditions à l'utilisation et à la divulgation de ces informations sans l'autorisation du patient.
Bien que les réglementations HIPAA concernent principalement les « entités couvertes » telles que les régimes de santé, les centres d'échange d'informations médicales et certains prestataires de soins de santé, elles s'appliquent également aux « partenaires commerciaux », c'est-à-dire aux fournisseurs tiers qui ont accès aux informations médicales protégées. Cela augmente considérablement le nombre d'organisations qui doivent se conformer aux exigences HIPAA et le nombre de tiers que les prestataires doivent évaluer.
Les organisations doivent être conscientes des risques liés aux informations critiques, tant en interne qu'auprès des tiers ayant accès aux ePHI. La loi HIPAA en fait une exigence et étend le terme « organisation » aux entités couvertes et aux partenaires commerciaux. La section 164.308(a)(1)(ii)(A) stipule : « ANALYSE DES RISQUES (obligatoire). Réalisez une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par [l'organisation]. »
L'évaluation de la capacité d'un fournisseur à se conformer aux attentes de l'entité couverte en matière de sécurité s'effectue au moyen d'une évaluation des risques liés aux fournisseurs.
Exigences pertinentes
- La règle de confidentialité HIPAA définit les informations médicales protégées (PHI) comme « toute information détenue par une entité couverte qui concerne l'état de santé, la prestation de soins de santé ou le paiement de soins de santé pouvant être liée à une personne ».
- La règle de sécurité HIPAA traite spécifiquement de la protection des informations médicales protégées stockées électroniquement (ePHI).
Respect des exigences TPRM de la règle de sécurité HIPAA
Voici comment Prevalent peut vous aider à répondre aux exigences de gestion des risques liés aux tiers de la loi HIPAA :
Règle de sécurité HIPAA 45 CFR Parties 160, 162 et 164 – Réforme de l'assurance maladie : normes de sécurité ; règle définitive
Comment nous aidons
Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))
(A) Analyse des risques (OBLIGATOIRE)
Une entité couverte ou un associé commercial doit procéder à une évaluation précise et approfondie des risques et vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations électroniques sur la santé protégées détenues par l'entité couverte ou l'associé commercial.
Une fois les évaluations collectées et analysées, la plateforme Prevalent TPRM propose des recommandations et des conseils intégrés pour remédier aux problèmes. Grâce à des rapports clairs et des conseils pour remédier aux problèmes, la plateforme garantit que les risques sont identifiés, analysés et transmis aux canaux appropriés afin que votre organisation atteigne un niveau de risque adapté à son appétit pour le risque.
Processus de gestion de la sécurité
Mesures de protection administratives
(§ 164.308(a)(1))
(D) Revue des activités du système d'information (OBLIGATOIRE)
Mettre en œuvre des procédures pour examiner régulièrement les enregistrements de l'activité des systèmes d'information, tels que les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité.
Prevalent fournit une vue continue des risques grâce à des flux de surveillance des menaces sur Internet et le Dark Web, ainsi qu'à des analyses des risques commerciaux et financiers, afin de mettre en évidence les développements susceptibles d'avoir un impact sur les risques.
La plateforme Prevalent permet également de réaliser des évaluations complètes grâce à un questionnaire dédié et personnalisé d'évaluation des contrats, ainsi que de suivre en continu les indicateurs de performance via des tableaux de bord centralisés des fournisseurs.
Prevalent conserve un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable, avec des rapports spécifiques sur la conformité réglementaire et le cadre de sécurité.
Contrats avec des partenaires commerciaux et autres accords
(§ 164.308(b)(1))
Une entité couverte peut autoriser un partenaire commercial à créer, recevoir, conserver ou transmettre des informations médicales protégées sous forme électronique pour le compte de l'entité couverte uniquement si cette dernière obtient des garanties satisfaisantes, conformément à la section § 164.314(a), que le partenaire commercial protégera ces informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles garanties satisfaisantes de la part d'un partenaire commercial qui est un sous-traitant.
Les capacités d'évaluation de Prevalent simplifient la conformité et réduisent les risques grâce à la collecte, l'analyse et la correction automatisées des réponses des fournisseurs à l'aide d'enquêtes standard ou personnalisées, y compris celles qui mesurent la protection des informations.
Bien que cela ne soit pas obligatoire, Prevalent offre une visibilité sur les 4e et Nth parties (par exemple, les sous-traitants) grâce à une cartographie détaillée des relations, fournissant ainsi des pistes d'audit des flux d'informations dans l'ensemble de l'écosystème des fournisseurs.
Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(6)
Spécification de mise en œuvre : Réponse et rapports (OBLIGATOIRE)
Identifier les incidents de sécurité suspectés ou connus et y répondre ; atténuer, dans la mesure du possible, les effets néfastes des incidents de sécurité connus de l'entité couverte ou de l'associé commercial ; et documenter les incidents de sécurité et leurs résultats.
Prevalent Vendor Threat Monitor(VTM) surveille Internet et le Dark Web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances, offrant une visibilité en temps réel sur les risques et permettant aux équipes de gestion des risques et de sécurité d'agir immédiatement.
Le service de réponse aux incidents tiers prévalent permet aux organisations d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Processus de gestion de la sécurité, mesures de protection administratives
§ 164.308(a)(8)
Norme : Évaluation. Effectuer une évaluation technique et non technique périodique, fondée initialement sur les normes mises en œuvre en vertu de la présente règle, puis, en réponse aux changements environnementaux ou opérationnels affectant la sécurité des informations électroniques protégées relatives à la santé, qui détermine dans quelle mesure les politiques et procédures de sécurité d'une entité couverte ou d'un partenaire commercial satisfont aux exigences de la présente sous-partie.
Prevalent Vendor Threat Monitor alerte les organisations en cas de changements défavorables dans les activités de tiers et déclenche des évaluations ciblées pour traiter les risques immédiats provisoires. Les alertes précoces permettent de disposer de plus de temps pour réagir aux incidents et les conseils de remédiation intégrés aident les organisations à protéger les informations médicales protégées et à éviter les mesures de l'OCR et les atteintes à leur réputation.
Certains changements, comme la pandémie de COVID-19, ont imposé des changements fondamentaux dans le mode de fonctionnement des entreprises. Les questionnaires d'évaluation de Prevalent comprennent des questions destinées à révéler les lacunes internes en matière de continuité des activités et les faiblesses externes de la chaîne d'approvisionnement qui pourraient avoir un impact négatif sur la capacité d'une organisation à maintenir le contrôle des informations médicales sensibles ou l'inciter à envisager d'autres fournisseurs.
Politiques, procédures et exigences en matière de documentation
(§ 164.316(b)(1))
Norme : Documentation
- (i) Conserver les politiques et procédures mises en œuvre pour se conformer à la présente sous-partie sous forme écrite (qui peut être électronique) ; et
- (ii) Si une action, une activité ou une évaluation doit être documentée conformément à la présente sous-partie, conserver un enregistrement écrit (qui peut être électronique) de l'action, de l'activité ou de l'évaluation.
La plateforme TPRM de Prevalent comprend la gestion des contrats, des documents, des preuves et des certifications avec des contrôles de version intégrés, l'attribution des tâches et des cadences de révision automatique dans des profils fournisseurs centralisés.
De plus, Prevalent capture et audite les conversations et compare la documentation ou les preuves aux risques. Des tableaux de bord intuitifs et simples offrent une vue d'ensemble claire des tâches, des calendriers, des activités à risque, de l'état d'avancement des enquêtes, des accords et des documents associés.
