Pour la plupart des organismes de santé, la protection de la vie privée des patients est l’aspect le plus important de l’HIPAA, et le plus difficile. L’HIPAA utilise le terme d’informations de santé protégées (PHI) pour désigner les données protégées, mais le concept est très similaire au terme d’informations personnellement identifiables (PII), qui est utilisé dans d’autres régimes de conformité. Comprendre comment les PII et les PHI se chevauchent peut aider les organisations à unifier les efforts de conformité entre les régimes, réduisant ainsi le risque, le coût et la complexité du maintien de la sécurité des données.
PHI vs. PII:
Comme son nom l’indique, les informations personnellement identifiables sont toutes les données qui peuvent identifier une personne. Certaines informations comme le nom complet, la date de naissance, l’adresse et les données biométriques sont toujours considérées comme des PII. D’autres données, comme le prénom, l’initiale du prénom et le nom de famille, voire la taille ou le poids, ne peuvent compter comme IIP que dans certaines circonstances, ou lorsqu’elles sont combinées à d’autres informations.
Par exemple, il est peu probable qu’un dossier faisant référence à « M. Smith à New York » contienne suffisamment d’informations pour révéler l’identité du sujet. En revanche, si le patient avait un nom moins courant et vivait dans une petite ville, cela compterait probablement comme des DPI, car il serait facile de déduire qui est le sujet.
Bien qu’elle ne traite pas explicitement des informations personnellement identifiables, l’HIPAA réglemente des situations comme celle-ci sous le terme d’informations de santé protégées. Les PHI comprennent tout ce qui est utilisé dans un contexte médical et qui peut identifier les patients, comme :
- Nom
- Adresse
- Date de naissance
- Numéro de carte de crédit
- Permis de conduire
- Dossiers médicaux
Les PHI sont soumis à des exigences strictes en matière de confidentialité et de divulgation qui ne s’appliquent pas à la plupart des autres industries aux États-Unis. En d’autres termes, la protection des PHI est toujours légalement requise, mais la protection des PII n’est mandatée que dans certains cas.
Développement d’une approche unifiée de la conformité
Les États-Unis ont la particularité de ne pas avoir de norme unique de confidentialité et de protection des données ou d’entité gouvernementale. Au lieu de cela, les entreprises américaines sont confrontées à des lois spécifiques à leur secteur d’activité, ainsi qu’à des réglementations de conformité au niveau des villes, des États et à l’échelle internationale.
Bien que cela permette à de nombreuses industries d’utiliser les données des consommateurs de manière plus intensive, cela crée également de sérieux risques de conformité. Par exemple, étant donné que la Californie a des lois plus strictes sur les PII que d’autres États, une entreprise qui suit légalement les utilisateurs du Nevada lorsqu’ils visitent son site Web pourrait enfreindre la conformité si un Californien y surfait.
Bien que les exigences en matière de PHI soient strictes, une liste de contrôle de la conformité HIPAA n’abordera pas nécessairement les PCI, les lois européennes sur la protection des données et d’autres réglementations. Plutôt que de développer des programmes individuels pour chaque régime, les organisations devraient mettre en œuvre les meilleures pratiques de sécurité des PII de manière générale, puis itérer pour répondre aux règles restantes, spécifiques à chaque régime.
Auditer les PII : développer une sécurité prête à la conformité
Une bonne sécurité commence par l’identification des PII dans toute votre organisation, que ce soit dans les bases de données médicales, les e-mails, les sauvegardes ou l’environnement informatique d’un partenaire. Les DPI doivent ensuite être classées en fonction du préjudice qu’une violation pourrait causer – une mesure connue sous le nom de niveau d’impact sur la confidentialité. Le NIST recommande de prendre en compte les facteurs suivants :
- Identifiabilité : Est-il facile d’identifier de manière unique la personne utilisant les DPI ?
- Quantité de DPI : combien d’identités pourraient être compromises par une violation ? La façon dont vos données sont organisées est un facteur. Par exemple, une clinique aurait probablement plus de DPI à risque si elle partageait une base de données avec des cliniques alliées que si elle maintenait une base de données séparée.
- Sensibilité des champs de données : Quel préjudice les données pourraient-elles causer, en cas de violation ? Un numéro de téléphone est moins sensible qu’une carte de crédit ou un numéro de sécurité sociale, par exemple. Cependant, si une violation du numéro de téléphone compromettrait très probablement aussi le nom, le SSN ou d’autres données personnelles, ce numéro de téléphone devrait être considéré comme sensible.
- Contexte d’utilisation : La façon dont les informations sont utilisées affecte-t-elle leur impact ? Par exemple, imaginez que votre hôpital dispose d’un bulletin d’information opt-in destiné aux patients, médecins, organisations et autres membres de la communauté. Une liste d’abonnés à la newsletter contiendrait les DPI de certains patients, mais cette info serait moins sensible que les mêmes DPI dans les dossiers médicaux des patients, puisqu’elle n’indiquerait pas nécessairement le statut du patient.
- Obligations de protection de la confidentialité : Quelles sont les informations que vous êtes tenu de protéger en vertu de la loi HIPAA, HITECH, PCI et d’autres régimes ? Il s’agit évidemment d’une considération clé pour les organisations de soins de santé.
- Accès aux IPI et localisation de celles-ci : les informations personnellement identifiables régies par l’HIPAA sont souvent stockées, transportées et traitées par des services informatiques tiers, accessibles hors site par des professionnels médicaux qui ne sont pas des employés de l’organisation et traitées par une variété d’associés commerciaux. Cela crée des risques qui ne seraient pas présents, par exemple, si les DPI étaient enfermés dans un coffre-fort et ne pouvaient être accessibles que par un seul médecin.
Mise en œuvre des meilleures pratiques de sécurité des DPI
Toutes les données que vous stockez sont potentiellement vulnérables. Collecter moins de données et purger les DPI inutiles de vos dossiers est le moyen le plus simple de réduire cette vulnérabilité. Vous devez également dépersonnaliser les données lorsque cela est possible. Lorsqu’elles sont effectuées correctement, des mesures comme l’anonymisation des commentaires des patients et la suppression ou la tokenisation des DPI peuvent faire sortir entièrement ces données du champ d’application de l’HIPAA.
Le contrôle de l’accès est une autre bonne pratique de sécurité des DPI. Les informations sensibles ne doivent être accessibles qu’aux personnes qui en ont besoin pour faire leur travail. Par exemple, le personnel de la réception qui ne s’occupe pas de la facturation, n’a pas besoin d’accéder aux dossiers médicaux complets.
Dans tout régime de conformité, toutes les informations sensibles doivent être cryptées par défaut. Le courrier électronique conforme à l’HIPAA et le stockage en nuage crypté empêchent les pirates de déchiffrer les DPI, même s’ils les interceptent.
Des politiques explicites et des formations régulières peuvent contribuer à garantir que vos travailleurs utilisent un courrier électronique et un stockage sécurisés, mais amener les patients à utiliser le cryptage du courrier électronique est plus délicat. Beaucoup rechignent devant les inconvénients des portails de santé, ce qui entraîne des taux d’adoption très faibles. Virtru Pro permet aux patients d’utiliser leurs propres comptes de messagerie et de crypter les messages et les pièces jointes en un seul clic, supprimant ainsi les inconvénients qui empêchent une utilisation significative.
Au delà des informations personnellement identifiables – Associés commerciaux HIPAA
L’HIPAA va au-delà des meilleures pratiques de sécurité PII dans ses exigences pour les organisations partenaires. En vertu de la règle de confidentialité de l’HIPAA, les fournisseurs de soins de santé ont une responsabilité juridique considérable pour les violations causées par les associés commerciaux.
Les services de cloud, les entrepreneurs, les processeurs de réclamations médicales et la plupart des autres organisations qui utilisent, stockent ou traitent les RPI comptent tous comme des associés commerciaux. Vous devez signer des accords d’associés d’affaires (BAA) avec chacune de ces organisations, décrivant :
- L’utilisation appropriée des PHI
- Les garanties pour protéger les brèches
- Les étapes pour remédier aux brèches et aux violations
- Les procédures de notification des brèches
Votre organisation doit évaluer soigneusement les associés d’affaires pour s’assurer qu’ils sont réellement capables de tenir leur part du marché. Les organisations devraient avoir des politiques et des pratiques de sécurité des données clairement documentées en place avant de signer un BAA, et devraient volontairement se soumettre à des audits réguliers pour assurer la conformité.
Au delà des informations personnellement identifiables – Avis et notifications HIPAA
L’HIPAA a également des exigences strictes sur la façon dont les informations de santé peuvent être utilisées et divulguées, et exige qu’un avis de pratiques de confidentialité soit fourni au patient. L’avis de confidentialité doit couvrir une série d’informations, notamment :
- Comment l’organisation peut utiliser et divulguer les informations du patient
- Les droits du patient
- Le devoir de l’organisation de protéger les informations, et d’autres obligations légales
- Qui le patient doit contacter pour plus d’informations
L’HIPAA a également des règles spécifiques pour la notification des violations. Selon les meilleures pratiques de conformité HIPAA, les organisations doivent notifier toute personne dont les données ont été compromises dans les 60 jours suivant la violation. S’assurer que vos partenaires utilisent le cryptage est crucial. Les données cryptées sont exemptées de la notification de violation, sauf si la clé est également exposée. Dans de nombreux cas, cela peut faire la différence entre un incident évité de justesse et une notification de violation coûteuse.
Suivre les meilleures pratiques de sécurité PII aide les organisations à pécher par excès de prudence. L’HIPAA n’est pas un ensemble de règles obscures et arbitraires destinées à vous rendre la vie difficile – c’est un cadre utile pour garantir un niveau élevé de soins et de confidentialité pour vos patients. Une approche des meilleures pratiques en matière de DPI simplifie la conformité en la transformant en un ensemble unique de règles qui peuvent être utilisées dans toute votre organisation. Il est ainsi plus facile de garantir la sécurité des patients et de s’assurer que les informations sensibles ne passent pas entre les mailles du filet.
Découvrez comment Virtru protège la conformité HIPAA dans le cloud ou contactez-nous pour organiser une démo.