La Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale aux États-Unis qui exige la protection des données par toute personne ou entité qui génère, conserve, transmet ou utilise les informations de santé protégées (PHI) d’un individu. Cette loi sur la confidentialité protège le droit de chaque personne à ses propres informations de santé. Une quantité importante de PHI est stockée sur des terminaux tels que des lecteurs locaux, des disques durs, un stockage dans le cloud et des clés USB. La tâche la plus difficile pour le secteur de la santé est de protéger ces données sensibles contre les cybermenaces.
Dans HIPAA, il existe deux types d’entités qui doivent être conformes : les entités couvertes et les associés commerciaux. Les prestataires de soins de santé, les régimes d’assurance maladie et les centres d’information sur les soins de santé qui participent activement à la production de RPS sont des entités couvertes. Toute organisation employée par l’entité couverte où un autre associé commercial pour gérer les PHI est appelé un associé commercial, et cela inclut les MSP, les DSE, les services de facturation médicaux, les fournisseurs de stockage cloud et les services de broyage.
HIPAA fait des informations personnelles sur la santé une autre cible pour les cybercriminels. Alors que les entreprises de ressources humaines doivent gérer les besoins de portabilité des anciens travailleurs, les professionnels de l’ITSM doivent se préoccuper des caractéristiques de sécurité des données de cette loi, qui oblige les entreprises à prendre soin des données tout au long de toutes les transactions et à enregistrer toutes les données relatives à la santé.
Préparation à la conformité
Chaque entreprise a déjà dû faire face à l’HIPAA dans une certaine mesure, mais avec l’augmentation des attaques de cybercriminalité et de ransomware, la nécessité d’analyser et de traiter cette protection devient plus pressante de jour en jour. Il existe également des facteurs opérationnels pour s’assurer que les garanties mises en place sont adéquates et continuent d’être mises en œuvre plus de deux décennies après leur mise en œuvre initiale. Si ce n’est pas le cas, une violation de données ou une divulgation involontaire pourrait entraîner une publicité négative pour l’entreprise, ainsi que des répercussions supplémentaires en cas de non-conformité.
Comment les outils ITSM sont-ils utilisés dans le domaine de la santé ?
L’ITSM offre la flexibilité nécessaire pour concevoir des processus qui protègent les données tout au long des cycles de développement et de gestion de l’infrastructure, y compris les meilleures pratiques dans les opérations quotidiennes pour aider à sécuriser les données de santé personnelle. La mesure dans laquelle ils doivent être utilisés varie selon les organisations, mais ceux qui traitent les données médicales doivent prendre cela très au sérieux. Voici les principaux domaines dans lesquels une solution ITSM conforme à la loi HIPAA est utile :
-
Exécution des demandes et gestion des incidents : Les techniques ITSM se sont développées en dehors de l’informatique maintenant que la plupart des plates-formes ITSM incluent des fonctionnalités de gestion des services d’entreprises. Un système de ticket autrefois utilisé pour gérer les demandes et les problèmes informatiques peut désormais être utilisé pour suivre les réclamations d’assurance maladie, les dossiers médicaux tels que les résultats des tests et d’autres informations. Les demandes traitées par l’équipe informatique, l’équipe financière ou l’équipe de diagnostic peuvent contenir des informations sensibles telles que le nom ou l’identité du patient ; si des yeux non autorisés entrent en contact avec ces informations, cela pourrait être dévastateur pour toutes les parties prenantes.
-
La gestion d’actifs : Étant donné que les EC tels que les prestataires de soins de santé utilisent une variété d’actifs matériels et logiciels pour stocker et transmettre des ePHI sensibles, un produit ITSM avec un module d’actif est couramment utilisé pour suivre et gérer toutes ces ressources. L’accès non autorisé à l’inventaire des actifs peut entraîner la falsification des informations sur les actifs ou l’accès illicite de l’intrus aux systèmes contenant des détails médicaux sensibles.
-
Entretien : Les systèmes de sauvegarde automatisés et l’archivage programmé des données du centre de services permettant une restauration rapide en cas de panne et améliorent les performances de l’outil ITSM. Cependant, étant donné que les données de sauvegarde sont fréquemment stockées dans un emplacement centralisé sur un lecteur réseau, elles peuvent être vulnérables à un accès non autorisé et à une utilisation non surveillée, ce qui peut entraîner une mauvaise utilisation des dossiers de santé sensibles.
-
Intégrations : Les technologies ITSM sont nativement ou via des API connectées à de nombreux produits tiers pour fournir un environnement de collaboration transparent. Cela peut entraîner l’échange de données d’actifs importants avec des outils tels qu’un système de gestion des terminaux. Malgré l’utilisation d’API autorisées, les solutions ITSM n’ont aucun contrôle sur qui a accès aux outils tiers, ce qui pourrait entraîner une violation.
-
Gestion du changement : Bien que la gestion des modifications vise à réduire les risques lors de toutes les modifications apportées à l’infrastructure informatique, les employés informatiques doivent être particulièrement prudents lorsqu’ils traitent des modifications impliquant des actifs informatiques qui incluent des PHI. Lorsque des parties prenantes de divers départements participent au processus de planification du changement, des risques de conformité surviennent. Dans cette situation, l’une des parties prenantes peut recevoir involontairement un message automatisé contenant des informations sensibles ; ils pourraient même partager le plan de changement avec leur équipe pour les tenir au courant, permettant ainsi un accès non autorisé. Les techniciens peuvent enregistrer une copie locale du document de mise en œuvre du changement, puis ne pas le détruire, ce qui augmente le risque d’abus.
Conformité HIPAA dans ManageEngine ServiceDesk Plus
Les fonctionnalités suivantes de ServiceDesk Plus Cloud aident les entreprises à protéger les informations relatives à la santé de leurs utilisateurs :
-
Marquer les champs comme ePHI : Tous les champs de données sensibles peuvent être distingués des autres champs en étant marqués comme ePHI. Les champs système tels que le nom et le numéro de mobile sont considérés par défaut comme des ePHI dans ServiceDesk Plus.
-
Crypter les données sensibles : Protégez les données sensibles dans ServiceDesk Plus en chiffrant les données collectées et stockées à partir de tous les champs supplémentaires. Les données envoyées par ServiceDesk Plus aux intégrations tierces sont également cryptées en transit pour se protéger contre les attaques de l’homme du milieu.
-
Anonymiser et effacer les ePHI : Les données sensibles marquées comme ePHI peuvent être anonymisées collectivement ou individuellement et supprimées dans ServiceDesk Plus lorsqu’elles ne sont plus nécessaires.
-
Exporter les données protégées par mot de passe : ServiceDesk Plus permet d’exporter des données sensibles en toute sécurité en intégrant des rapports et toutes les données de module dans un fichier ZIP protégé par mot de passe.
-
Maintenir un journal ePHI : ServiceDesk Plus enregistre automatiquement toutes les actions effectuées autour des champs ePHI pour faciliter le processus d’audit.
À propos de ManageEngine ServiceDesk Plus
ManageEngine ServiceDesk Plus est un logiciel complet d’assistance et de gestion d’actifs qui offre aux agents d’assistance et aux responsables informatiques une plate-forme intégrée pour surveiller et gérer les actifs et les demandes informatiques effectuées par les utilisateurs des ressources informatiques d’une organisation. Le service d’assistance informatique est essentiel dans la prestation de services informatiques. C’est souvent le point de contact initial des utilisateurs lorsque quelque chose ne fonctionne pas comme prévu. Le service d’assistance informatique sert de point de contact unique pour les utilisateurs finaux qui ont besoin d’assistance. Sans cela, une entreprise subira presque probablement des pertes en raison d’inefficacités.
ManageEngine ServiceDesk Plus se concentre sur le suivi des demandes informatiques et la gestion des actifs. Les techniciens et les administrateurs systèmes peuvent résoudre rapidement des problèmes complexes, réduisant ainsi l’irritation de l’utilisateur final causée par le long processus de résolution des problèmes. Ils peuvent également utiliser la gestion des actifs pour suivre les demandes de l’organisation et distribuer de manière proactive les ressources aux utilisateurs/services appropriés, améliorant ainsi la productivité de l’organisation.
Découvrez comment ManageEngine Service Desk Plus peut aider votre entreprise à atteindre ses objectifs en visitant le web site. Vous pouvez explorer les fonctionnalités de Service Desk Plus en téléchargeant une version d’essai gratuite de 30 jours du logiciel. Pour demander une démonstration des fonctionnalités de Service Desk Plus au personnel du support technique, remplissez le formulaire sur cette page. Notre consultant technique sera sur place pour répondre à toutes vos demandes tout au long de la démonstration.
Pour savoir comment ManageEngine peut aider votre institution, vous pouvez visiter notre web site. Nous avons la réputation de déployer avec succès des solutions de gestion informatique. Obtenez un bref aperçu de nos plus de 50 produits primés et obtenez les solutions dont vous avez besoin pour gérer et protéger votre infrastructure informatique en consultant cette page.