HIPAA est l’acronyme de Health Insurance Portability and Accountability Act, une loi fédérale américaine qui impose la protection des données à toute personne ou organisation qui crée, stocke, transmet ou utilise des informations de santé protégées (PHI) d’un individu. Cette règle de confidentialité garantit les droits de chaque individu sur ses propres informations de santé. De nombreuses informations médicales protégées sont stockées sur des terminaux tels que des disques locaux, des disques durs, des systèmes de stockage en cloud et des clés USB. La protection de ces données sensibles contre les attaques est le plus grand défi du secteur de la santé. Les identifiants PHI comprennent toute information démographique comme le nom, les photos, le numéro de sécurité sociale, la date de naissance, le numéro de contact, l’adresse électronique, le numéro de dossier médical, les éléments biométriques, qui sont utilisés pour identifier un individu.
Dans le cadre de l’HIPAA, il existe deux entités qui doivent être conformes: les entités couvertes et les partenaires commerciaux. Les entités couvertes sont les prestataires de soins de santé, les régimes d’assurance maladie et les centres d’échange de données sur la santé qui sont directement impliqués dans la création de renseignements médicaux personnels. Les partenaires commerciaux sont toute organisation engagée par l’entité couverte ou un autre partenaire commercial pour traiter les RPS, ce qui inclut généralement les MSP, les DSE, les services de facturation médicale, les fournisseurs de stockage en cloud et les services de déchiquetage.
Les formations HIPAA sont largement mandatées dans les entreprises qui traitent des RPS. Elles fournissent les conseils nécessaires sur les utilisations et les divulgations autorisées des RPS, sur la manière de les protéger et sur les mesures à prendre en cas de violation. Même avec des formations HIPAA obligatoires, des évaluations et des audits annuels, et des données protégées par les méthodes de cryptage lourdes d’aujourd’hui, l’HIPAA, en vigueur depuis 25 ans, suit-elle les tendances modernes en matière de cybersécurité? La réglementation HIPAA est-elle suffisante pour empêcher les fuites de données et les attaques ?
Une étude récente du secteur indique que 82% des organisations du secteur de la santé dans le monde ont subi une cyberattaque IoT au cours des 1 an et demi passés et qu’il y a eu une augmentation de 40% des cyberattaques hebdomadaires moyennes sur toutes les organisations dans le monde à partir de 2021, par rapport à 2020. Les lois HIPAA ont été établies en 1996 et ces anciennes directives peuvent réduire les attaques de cybersécurité, mais pourraient ne pas être suffisantes pour fournir les meilleures protections. Bien que certaines révisions de la réglementation aient été adoptées, les règles HIPAA n’ont pas suivi le rythme de ce qui est requis d’un point de vue technologique. Lorsque la loi HITECH de 2009 est entrée en vigueur, quatre années se sont écoulées avant que la règle HIPAA Omnibus de 2013 n’entre en vigueur et plus de sept ans se sont écoulés depuis la prochaine mise à jour majeure. Le 5 janvier 2021, une nouvelle loi a été signée, modifiant la loi HITECH. La loi sur la sphère de sécurité HIPAA incitera les organisations à adopter volontairement les meilleures pratiques en matière de cybersécurité.
Voici cinq articles instructifs sur le rôle de la conformité à l’HIPAA à l’ère de la cybersécurité.
Pourquoi la conformité HIPAA est la clé de la prévention des cyberattaques
Le fait d’être conforme à la loi HIPAA permet non seulement à votre organisation d’éviter de lourdes amendes de la part du gouvernement fédéral, mais aussi de renforcer la sécurité de votre réseau et de protéger les données sensibles des regards indiscrets. Le processus de conformité à l’HIPAA comporte trois parties : la première est le processus de documentation, qui implique une évaluation des risques pour déterminer les changements à effectuer, la deuxième est la formation annuelle de vos employés à l’HIPAA et aux stratégies et procédures de sécurité de l’organisation, et la troisième est la mise en œuvre.
La conformité à l’HIPAA est-elle suffisante? Ce que vous devez savoir sur la cybersécurité
À l’ère numérique, les violations de données sont en constante augmentation, ce qui indique clairement qu’il ne suffit pas d’être conforme à l’HIPAA. L’HIPAA définit les normes minimales de sécurité, mais ne garantit pas la protection contre les piratages et les violations. Les organismes de santé doivent investir dans des technologies florissantes comme les environnements cloud, prendre le contrôle des actifs et en limiter l’accès, appliquer un protocole de gestion des risques et une politique de sécurité solide.
Conformité à l’HIPAA et protection de la cybersécurité
À l’ère de la cybersécurité, les données sensibles des patients sont sauvegardées et conservées sous forme numérique et protégées des pirates, des voleurs d’identité et des spammeurs. Face à cette menace croissante, les organismes de santé investissent massivement dans la cybersécurité et recrutent des experts en cybersécurité dont le rôle est de protéger les données et de s’assurer qu’elles ne sont accessibles qu’au personnel autorisé. La règle de confidentialité HIPAA peut contribuer à la sécurité, mais elle ne semble répondre qu’aux normes minimales. Les organisations doivent prendre des mesures allant au-delà de la conformité HIPAA de base pour garantir que leur sécurité est protégée contre un nombre croissant d’acteurs menaçants. Le National Institute of Standards and Technology (NIST) publie les lignes directrices et le cadre de travail pour les organisations. Ensemble, la règle de sécurité HIPAA et le cadre du NIST aident les organisations à réduire les risques de cybersécurité.
La cybersécurité et la conformité à l’HIPAA sont étroitement liées: voici pourquoi
Au cœur de l’HIPAA se trouve une règle de sécurité, également connue sous le nom de “Security Standards for the Protection of Electronic Protected Health Information” (normes de sécurité pour la protection des informations de santé électroniques protégées), qui traite des mesures de protection à mettre en place pour que les organisations puissent traiter au mieux les informations de santé électroniques protégées. Cette règle se comprend mieux en conjonction avec la règle de confidentialité, également connue sous le nom de “Standards for Privacy of Individually Identifiable Health Information”, créée pour établir des normes nationales qui garantissent que les données de santé confidentielles sont correctement protégées. Cet article traite des menaces internes et de la formation du personnel comme deux stratégies permettant de renforcer la cybersécurité du secteur de la santé. Cruciale pour le maintien de la conformité HIPAA, la cybersécurité exige des organisations qu’elles se penchent sur les menaces internes autant que sur les menaces externes et qu’elles éduquent les individus sur les meilleurs moyens de les détecter et de les signaler.
Ne négligez pas l’HIPAA et la cybersécurité
Le secteur de la santé est une cible de choix pour les cybercriminels. Contrairement à ce qui se passe dans le secteur bancaire et dans d’autres secteurs, l’usurpation d’identité médicale peut ne pas être immédiatement identifiée et arrêtée par les patients ou les prestataires du secteur de la santé, ce qui laisse souvent aux cybercriminels des années pour trafiquer l’identité d’un patient. Les données médicales ont donc 50 fois plus de valeur pour les cybercriminels que les informations relatives aux cartes de crédit. Les organismes du secteur de la santé peuvent tirer parti de la nouvelle loi HIPAA Safe Harbor, qui tient compte du fait que les cyberattaques ne peuvent pas toujours être évitées et que les lourdes amendes ne constituent pas une solution ou un remède. Cette loi modifie la loi HITECH et exige du ministère américain de la santé et des services sociaux qu’il reconnaisse les bonnes pratiques de cybersécurité existantes qu’une organisation a mises en place lorsqu’il enquête sur une violation de données et qu’il soit plus indulgent avec les sanctions, le cas échéant.