Chat with us, powered by LiveChat
Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Fax, Innovation, Productivité, Sécurité, Technologie

En raison de la nature de plus en plus numérique des systèmes de classement des dossiers médicaux, on met de plus en plus l’accent sur la cybersécurité afin de protéger les dossiers, mais quelles sont les pratiques exemplaires en matière de protection physique des renseignements médicaux à l’ère numérique ?

Protection physique des renseignements médicaux

Étant donné l’accent mis sur la création d’un environnement de TI sécurisé qui protège contre les attaques externes, les entreprises négligent souvent les pratiques de base qui assurent la sécurité physique des données médicales. Par exemple, il est courant que les imprimantes multifonctions ou les fax soient utilisés par l’ensemble des employés d’un bureau. Puisque les dossiers médicaux sont généralement volumineux et que ces imprimantes multifonctions centrales traitent des centaines de pages, elles sont souvent laissées sans surveillance pendant de longues périodes. Ce problème peut être aggravé dans des environnements occupés où plusieurs personnes doivent faire des copies en même temps, ce qui donne beaucoup d’occasions à un acteur malveillant, à un employé négligent (à un employé qui n’est pas associé aux soins d’un patient donné) ou à un visiteur de voir, ou même de prendre, par accident, des renseignements qui ne lui appartiennent pas.

Un autre exemple courant d’une mauvaise pratique de sécurité physique est l’absence de contrôles physiques pour restreindre l’accès aux fichiers ou l’utilisation de noms d’utilisateur et d’un mot de passe commun pour les utilisateurs d’un réseau. Pire encore, les bureaux qui fournissent un nom d’utilisateur commun pour la plupart des employés affichent souvent le nom d’utilisateur et le mot de passe écrits sur un papier ou un autocollant situé sur l’ordinateur ou près de celui-ci. Cette pratique est exceptionnellement risquée et ne devrait jamais être utilisée. C’est un moyen beaucoup trop simple d’accéder aux renseignements et de les voler. De plus, même si le nom d’utilisateur et le mot de passe ne sont pas affichés près de l’ordinateur, il est généralement facile de se souvenir des noms d’utilisateur et des mots de passe communs, et quelqu’un qui tente de voler des renseignements n’a qu’à les deviner pour obtenir un accès libre au réseau. Également, les profils communs ne permettent pas d’identifier la source d’une atteinte, ni s’il s’agissait d’un acteur malveillant ou d’une personne à l’extérieur de l’entreprise.

Pratiques exemplaires en bref : Respectez la loi HIPAA, puis allez au-delà de celle-ci

La plupart des entreprises ont une idée de la façon de rester conformes à la loi HIPAA et de respecter ses exigences minimales, mais cela ne veut pas dire qu’elles devraient s’arrêter là. Les données à caractère personnel et les renseignements médicaux sont adéquatement protégés contre les cyberattaques, mais toutes les mesures sont-elles prises pour la protection physique de ces renseignements? La pratique exemplaire absolue pour toute entreprise qui traite des renseignements médicaux ou des données à caractère personnel consiste non seulement à respecter les exigences de la HIPAA, mais aussi à aller au-delà de celle-ci. Un bon point de départ consiste à effectuer une vérification de sécurité indépendante pour déterminer les lacunes en matière de sécurité.

Pratique exemplaire no 1 : Exécuter une vérification de la sécurité

À l’ère numérique moderne, la sécurité des données est généralement considérée comme un problème de TI. Même si la technologie est un vecteur d’attaque commun pour ceux qui tentent de voler des renseignements, il est tout aussi important de s’assurer que des contrôles physiques adéquats sont mis en place pour protéger ces renseignements. Par conséquent, les procédures globales de sécurité et de conformité de toute entreprise doivent comprendre une vérification de sécurité indépendante qui permet de vérifier l’efficacité de ses politiques de sécurité physique et informatique.

Ces vérifications peuvent aider les entreprises à découvrir des problèmes de sécurité qui n’ont jamais été détectés ou reconnus auparavant. L’exemple le plus courant est l’absence de contrôles visant à restreindre l’accès non autorisé aux dossiers des patients et à prévenir la mauvaise gestion des dossiers médicaux.

Pratique exemplaire no 2 : Restreindre l’accès non autorisé aux dossiers des patients

Le fait de restreindre l’accès non autorisé aux dossiers des patients est essentiel au respect de la loi HIPAA, qu’ils soient stockés sous forme numérique ou conservés dans des classeurs. Les employés cherchent trop souvent des renseignements sur les patients pour le plaisir de créer des rumeurs de bureau, pour rendre service à un ami ou à un parent, ou simplement par curiosité. Toutes ces raisons constituent des violations de la loi HIPAA. En ce qui concerne les fichiers physiques, qu’il s’agisse de documents imprimés ou de fichiers en cours de numérisation, des contrôles physiques doivent être mis en place pour empêcher ou décourager l’accès non autorisé à ceux-ci. Les mesures pourraient comprendre : garder les fichiers sous clé ou exiger des noms d’utilisateur et des mots de passe ou des données biométriques uniques et propres à chaque utilisateur. Cela éviterait que des employés non autorisés, et même de voleurs, aient accès aux fichiers, tout en conservant un registre d’accès qui permettrait de garder la trace des employés qui ont récupéré des fichiers, et contribuant ainsi à maintenir la transparence. De plus, tout fichier physique doit être déchiqueté à l’aide d’une déchiqueteuse sécurisée lorsqu’il n’est plus nécessaire ou une fois numérisé.

Dans les cas où les dossiers et les fichiers médicaux sont stockés sous forme numérique, il est essentiel de créer des comptes d’utilisateur uniques, protégés par un mot de passe, pour tous les employés. Comme il a été mentionné précédemment, même à l’heure actuelle, il n’est pas rare qu’une entreprise utilise les noms d’utilisateur et les mots de passe collectifs à l’échelle de l’entreprise ou d’un groupe d’utilisateurs. Pire encore, ces renseignements sont souvent affichés sur un autocollant situé sur les ordinateurs ou près de ceux-ci pour les nouveaux employés ou pour que les utilisateurs qui se servent rarement des postes en question puissent ouvrir une session facilement. Cela ne devrait jamais être fait, car quiconque lit les renseignements de connexion pourrait avoir un accès illimité au réseau de l’entreprise.

Pratique exemplaire no 3 : Utiliser la technologie moderne pour améliorer la sécurité physique

Dans le même ordre d’idées que la restriction de l’accès non autorisé aux fichiers, le problème relatif aux documents laissés sans surveillance sur une imprimante ou un fax, ou même dans une salle d’examen, survient trop souvent et peut exposer une entreprise à des violations de la loi HIPAA.

Ce genre de situation est généralement attribuable au rythme rapide du domaine médical, à la nécessité de transférer des renseignements rapidement et en toute sécurité et aux lacunes dans la formation des employés. Bon nombre de ces problèmes peuvent être réglés en utilisant des technologies modernes d’échange sécurisé de fichiers, comme XM SendSecure. Ce dernier crée une SafeBox pour l’échange de fichiers en toute sécurité, en plus d’offrir l’option d’authentification à deux facteurs (2FA) et d’utiliser des connecteurs d’imprimantes multifonctions. Ces connecteurs permettent d’échanger des documents en toute sécurité directement d’une imprimante multifonctions à une SafeBox de XM SendSecure. Les fonctionnalités de la SafeBox permettent d’assurer que les fichiers numériques ne sont pas consultés par des parties non autorisées et empêchent que les documents imprimés restent inactifs et sans surveillance sur une imprimante multifonctions. Cela aide non seulement à empêcher les consultations de documents non autorisées, mais réduit également les dépenses consacrées aux services de déchiquetage sécurisés, car il y a moins de documents à déchiqueter.

XM SendSecure offre également un historique de vérification très détaillé qui saisit chaque interaction d’un utilisateur avec une SafeBox ainsi que ses renseignements de connexion, son adresse IP et les détails de chaque action. L’historique de vérification comprend même un outil de suivi précis des téléchargements qui permet de s’assurer que le destinataire a téléchargé le fichier complet. Cet historique de vérification permet non seulement de déterminer la responsabilité des dossiers médicaux, mais aussi d’aider à éliminer la culpabilité si jamais les dossiers d’un patient sont exposés publiquement.

***

Si vous n’êtes pas certain que votre entreprise fait tout ce qu’elle peut pour protéger les renseignements médicaux des patients ou si vous souhaitez en savoir plus sur la façon dont nos solutions de communication peuvent aider votre entreprise à atteindre et à maintenir la conformité à la loi HIPAA, consultez notre centre d’information sur la loi HIPAA ou communiquez avec un de nos experts.

 

PARLEZ À UN EXPERT

 

Leave a Comment

Start typing and press Enter to search