We use cookies to give you the most personalized experience possible on our website, and to collect information about how visitors use our site. If you continue without changing your settings, we’ll assume that you’re ok with receiving cookies from the XMedius website. You can disable cookies in your browser settings at any time, but please note that parts of the site will not work properly if you disable cookies.

For more information on how we use cookies, read our privacy policy.
FERMER X

Aller au-delà de la loi HIPAA : 5 pièges liés à la loi HIPAA et comment les éviter

 Dans Blogue, Fax, Innovation, Productivité, Sécurité, Technologie

La loi sur la transférabilité et la responsabilisation en matière d’assurance-santé’ (Health Insurance Portability and Accountability Act,HIPAA) est une norme de conformité à laquelle il est très compliqué de s’attaquer. Il existe des exigences strictes en matière de confidentialité liées au traitement des renseignements médicaux et des renseignements à caractère personnel des patients ; or, la façon dont une organisation de soins de santé répond à ces exigences est essentiellement laissée à la discrétion de cette organisation. Si on ajoute les exigences de l’HIPPA en matière de transférabilité et d’accessibilité au fait que le système de dossiers médicaux électroniques (DME) d’une organisation pourrait ne pas être en mesure de communiquer directement avec celui d’une autre organisation, l’échange des renseignements protégés peut devenir compliqué.

Suivez un cours accéléré sur la loi HIPAA en consultant notre Centre d’informations sur la loi HIPAA >>

Le processus complexe d’échange d ‘informations médicales protégées (IMP) ouvre la voie à des infractions accidentelles à la loi HIPAA, et, peut-être pire encore, à une atteinte à grande échelle à la protection des données. Afin de vous aider, nous présentons ici 5 pièges courants à éviter relativement à la loi HIPAA lorsque vous cherchez à vous conformer à cette loi :

Refus de réclamations d’assurance

Toutes les organisations qui doivent se conformer à l’HIPPA doivent être conscientes des coûts d’une violation des données, mais qu’arrive-t-il si une brèche ou une violation survient quand même ?

Habituellement, les organisations ont une sorte de police d’assurance qui les protège contre les dommages découlant de violations de la loi HIPAA ou de violations de données, mais il n’est pas inhabituel que leur demande de réclamation soit refusée en raison de formulaires mal remplis, de l’échec du maintien d’une sécurité adéquate, ou, autrement, du fait de ne pas respecter les exigences mises en place par la compagnie d’assurance.

Les sociétés d’assurance pourraient avoir des exigences de sécurité qui dépassent celles associées à l’HIPAA. Il est important que les organisations répondent à ces exigences non seulement pour s’assurer que leur police d’assurance est valable en cas de violations des données, mais aussi parce que ces exigences peuvent souvent aider une organisation à renforcer sa sécurité et ainsi éviter une atteinte ou une violation.

Poursuites judiciaires et frais juridiques

Le rapport annuel sur le coût de violation des données de 2019 (Cost of a Data Breach Report 2019) d’IBM Security et de l’Institut Ponemon indique que l’une des plus importantes dépenses associées à une violation des données ne découle pas de la violation à proprement parler, mais plutôt de la « réponse post- -violation de données ». Plus précisément, ces dépenses sont associées à l’aide apportée aux clients touchés par une violation, ainsi qu’aux mesures visant à redresser la situation, au paiement d’indemnisations et aux répercussions juridiques relatives aux partenaires de l’organisation.

Autrement dit, bien qu’il soit essentiel pour une organisation de se conformer aux exigences définies par la loi HIPAA et les politiques d’assurance, il est tout aussi essentiel qu’elle s’assure de se conformer à toute autre loi, norme, entente auprès de partenaires commerciaux ou obligation contractuelle. Les enjeux vont même jusqu’à toucher des aspects comme la conformité à la norme PCI DSS si l’organisation de soins de santé accepte ou traite des paiements par carte de crédit, au respect des lois de l’État en matière de protection des renseignements sur les patients et les employés, et veille à ce que l’établissement et ses employés respectent les  exigences en matière de licences professionnelles.

Plusieurs facteurs expliquent cette particularité. D’abord, le respect de bon nombre de ces exigences contribue non seulement à renforcer la sécurité de votre organisation, mais également à garantir l’application de toutes les mesures de protection légales disponibles et à atténuer vos responsabilités si une violation de la loi HIPAA survient bel et bien. Par le fait même, cette conformité peut aider à diminuer les coûts généraux de la réponse post-violation de données.

Par exemple, si une organisation mandatée pour gérer le traitement des paiements d’un grand hôpital subit une violation de données découlant d’une infraction à la loi HIPAA, l’hôpital pourrait la tenir responsable des dommages qu’il a subi si la société qui traite les paiements n’a pas réussi à se conformer à la norme PCI DSS, même si elle répond aux exigences de la loi HIPAA. Qui plus est, la société qui traite les paiements pourrait voir sa réclamation d’assurance refusée en raison du fait qu’elle n’est pas restée conforme à la norme PCI DSS.

Mauvaise configuration des composantes matérielles et logicielles

Configurer un environnement TI est en soi compliqué. Si on tient compte des exigences de conformité à la loi HIPAA, des obligations liées aux contrats et aux assurances, et à la nécessité de respecter les autres normes, et exigences légales en vigueur comme celles mentionnées précédemment, cette configuration peut semer la confusion. Et cette confusion, à son tour, entraîne des erreurs.

L’une des pratiques exemplaires permettant d’atténuer cette confusion consiste à cerner toutes les exigences associées à votre environnement de TI, à la fois en ce qui concerne les fonctions qu’il doit exécuter et aux exigences légales et de sécurité à respecter. À partir de là, dressez une liste de vérification exhaustive pour chacune des composantes matérielles et logicielles qui doivent être mises en place, en vous assurant d’inclure des éléments comme des architectures d’environnement appropriées, des politiques en matière de sécurité des applications, et même des étapes d’essais qui permettront de vous assurer que l’environnement et toutes ses composantes fonctionnent comme prévu.

Perdre la conformité

Bien que la tenue de registres et la surveillance de base soient des exigences de l’HIPAA, des solutions de surveillance modernes peuvent faire plus que de répondre à ces exigences. Bon nombre de ces solutions peuvent non seulement fournir des renseignements précieux sur les tendances en matière d’utilisation au sein de votre environnement de TI, mais aussi identifier de façon proactive les risques liés à la sécurité. Ces risques peuvent comprendre de mauvaises configurations, des activités suspectes sur le réseau et des applications ou des composantes matérielles qui ne sont plus conformes ou ont besoin d’une mise à jour logicielle.

De plus, en cas d’audit ou d’incident, une solution de qualité pour la tenue de registres peut vous fournir des données claires sur les activités des utilisateurs et les activités réalisées dans votre environnement. Les registres détaillés peuvent vous aider à répondre rapidement aux exigences d’un audit de conformité et de trouver la source d’une violation de données s’il y a lieu.

Audits insuffisants

Une organisation qui tire profit d’une solution de tenue de registres et de surveillance devrait toutefois aller plus loin. Bien que cette solution puisse fournir des renseignements significatifs et exploitables sur les activités de votre environnement, les audits restent la meilleure façon de vous assurer que vous restez conforme aux exigences. Bien que les organisations puissent faire appel à des équipes internes d’évaluation de conformité et à des solutions de surveillance, il est possible qu’elles estiment à tort qu’elles sont conformes lorsqu’elles ne le sont pas. En conséquence, faire appel à un expert tiers qui réalisera des audits de conformité et de sécurité, y compris pour l’HIPAA, reste une pratique exemplaire.

Chaque fois qu’une nouvelle composante matérielle ou logicielle est mise en place, l’une des dernières étapes de la liste de contrôle devrait être l’audit de l’environnement TI en entier avant de le rendre fonctionnel. Un audit sert de confirmation définitive permettant de s’assurer que les applications et les logiciels sont correctement configurés et que l’architecture de l’environnement est la plus efficace possible. Un audit peut également permettre à une organisation de s’assurer qu’il respecte bel et bien toutes les exigences et tous les critères de l’HIPAA, ainsi que toute autre exigence égale et politique de sécurité en vigueur comme celles mentionnées précédemment. Il peut également déterminer si les politiques de sécurité, les procédures de mise en œuvre de ces politiques et les preuves de leur mise en œuvre ont été documentées adéquatement et si ces politiques ont été mises à jour le cas échéant.

Si des lacunes en matière de sécurité ou d’autres problèmes sont décelés pendant l’audit, l’organisation aura la possibilité de remédier à ces problèmes avant que l’environnement ne devienne fonctionnel et que les problèmes ne se concrétisent. Les organisations devraient tirer profit à la fois des audits réguliers ainsi que des audits aléatoires afin d’éviter les erreurs ou les problèmes qui n’ont pas été décelés et qui pourraient conduire à une violation de sécurité ou à une absence de conformité. En outre, en cas de violation ou d’infraction à la loi HIPAA, les vérifications régulières peuvent aider à atténuer les réclamations en vertu desquelles une organisation a fait preuve de négligence en matière de sécurité.

 

Pour en apprendre plus sur ces aspects et les autres pièces liés à l’HIPAA de la part d’un spécialiste en conformité à la loi HIPAA, voir notre webinaire (en anglais) >>

 

***

XMedius propose un ensemble de solutions d’échange sécurisé des fichiers conformes à la loi HIPAA qui peuvent aider les organisations à éviter les pièges liés à cette loi en leur permettant de respecter les exigences en matière de sécurité et de conformité (y compris celles de la norme PCI DSS).

Les solutions comme XM Fax et XM SendSecure offrent aux organisations une manière de partager de manière sécurisée des renseignements médicaux protégés (RMP) tout en fournissant des fonctionnalités de tenue de registres qui consignent les activités des utilisateurs, ce qui permet de produire un rapport clair et facile à lire à des fins de vérification.

 

PARLEZ À UN EXPERT

 

Leave a Comment