La technologie a évolué pour devenir un outil essentiel dans la gestion des données. L'époque où les entreprises géraient des dossiers physiques contenant des informations sensibles est révolue. Aujourd'hui, grâce aux progrès technologiques, les organismes de soins de santé ont adopté les dossiers médicaux électroniques (DME), ce qui permet aux individus et aux prestataires d'accéder aux informations à distance. Cette transformation numérique introduit toutefois de nouvelles vulnérabilités. Pour contrer ces menaces et assurer une gestion sûre des informations électroniques protégées sur la santé (ePHI), des garanties techniques HIPAA ont été développées..

Qu'est-ce que les PHI dans le cadre de l'HIPAA ?

Les PHI (Protected Health Information) désignent toute information de santé identifiable utilisée par une entité couverte par l'HIPAA ou par un associé commercial. Il existe 18 types de données HIPAA qui sont considérées comme des informations de santé protégées, et certains exemples de PHI comprennent le nom, l'adresse ou le dossier médical d'un individu.

PII vs PHI : Quelle est la différence ?

Les informations personnelles identifiables (PII) vont de pair avec les PHI. Il s'agit de toutes les données relatives à un patient qui peuvent être utilisées pour identifier une personne spécifique. Il peut s'agir d'un identifiant tel que le numéro de sécurité sociale ou le numéro d'identification du patient. En bref, les IIP sont utilisées pour distinguer ou retracer l'identité d'une personne. La différence entre les deux réside essentiellement dans le fait que les ISP concernent les entités couvertes par la loi HIPAA qui détiennent ces informations de santé identifiables.

Les cinq garanties techniques de l'HIPAA

Comme le définit le texte du règlement de simplification administrative de l'HIPAA, les garanties techniques sont "la technologie, ainsi que la politique et les procédures relatives à son utilisation, qui protègent les informations électroniques protégées sur la santé et en contrôlent l'accès". Pour se conformer à cette garantie, les entités couvertes doivent suivre les garanties techniques suivantes afin d'assurer la conformité à l'HIPAA.

Garanties techniques de l'HIPAA : Contrôle d'accès

Le contrôle d'accès, qui fait partie des garanties techniques, joue un rôle important dans la prévention des violations de données. Il limite l'accès non autorisé aux données électroniques et réduit le risque de compromission des données. Conformément à la règle de sécurité de l'HIPAA, les entreprises mettent en œuvre des procédures qui contrôlent l'accès aux informations sur la santé. Avec l'avènement des technologies de pointe, les entreprises peuvent désormais utiliser des systèmes tels que les systèmes de contrôle d'accès biométriques ou basés sur l'IA, qui offrent un niveau de sécurité plus élevé. Mettez en œuvre des politiques telles que l'exigence d'un nom unique et d'une identification unique de l'utilisateur, la déconnexion automatique des postes de travail et des systèmes d'information, ainsi que des mesures de protection physique de ces systèmes.

Mesures de protection techniques de l'HIPAA : Contrôles d'audit

Alors que le contrôle d'accès permet de laisser des miettes de pain, les contrôles d'audit sont chargés de les suivre. Il existe plusieurs façons d'y parvenir. L'une des plus courantes consiste à enregistrer les activités liées à l'accès et à l'utilisation des fichiers contenant des PHI électroniques. Il est important de ne pas attendre qu'une plainte soit déposée pour examiner ces informations. Les organisations proactives confient la tâche d'auditer les activités de session à leurs équipes informatiques, à leurs gestionnaires, à leurs chefs d'équipe, voire à des auditeurs spécialisés dans ce domaine.

De bons mécanismes de contrôle d'audit ne se limitent pas à la collecte de données. Il doit également être possible de générer des rapports sur demande. Ces données peuvent inclure le nombre de personnes ayant accédé à un fichier particulier et le moment où elles l'ont fait. Il peut également s'agir de l'activité de session d'un employé spécifique qui a été soupçonné de non-conformité. Lorsque la non-conformité est intentionnelle, les rapports d'audit contribuent à protéger les organisations en montrant que les violations sont le fait d'un seul employé et non d'un problème à l'échelle de l'entreprise ou de politiques laxistes.

Les contrôles d'audit peuvent aider les entités couvertes et les enquêteurs à découvrir des schémas qui les conduisent à des vulnérabilités. Parfois, cela n'est pas intentionnel. Par exemple, un nouvel employé peut ne pas comprendre ou suivre toutes les recommandations techniques de la politique de l'entreprise.

Garanties techniques de l'HIPAA : PHI et intégrité des données

Le HHS définit l'intégrité des données comme la caractéristique des données qui n'ont pas subi"d'altération ou de destruction inappropriée". Le HHS considère la sécurité des patients comme l'une de ses principales préoccupations dans ces cas. Des informations manquantes ou modifiées pourraient entraîner un diagnostic, un traitement ou une médication erronés.

Les professionnels sont les plus susceptibles de soupçonner un comportement malveillant de la part de quelqu'un d'autre, comme un pirate informatique ou un membre du personnel médical. Cependant, les données peuvent être corrompues d'elles-mêmes. Un problème dans le système ou une erreur lors de l'enregistrement du fichier peut entraîner des modifications non autorisées et non intentionnelles.

L'un des meilleurs moyens de préserver l'intégrité des données est de stocker toutes vos données PHI hors site pendant au moins six ans. Les données doivent être stockées dans leur format d'origine et ne doivent pas être modifiables. Toute nouvelle donnée peut justifier la création d'un nouveau fichier.

Garanties techniques de l'HIPAA : Authentification de la personne ou de l'entité

Pour se conformer au contrôle d'accès, au contrôle d'audit et à l'intégrité, les entités couvertes doivent investir dans des fonctions d'authentification. Il existe plusieurs façons d'aborder cette étape. Les méthodes les plus courantes sont l'envoi d'un courrier électronique, un appel téléphonique, l'utilisation d'une application ou d'un site web, ou une visite en personne de l'organisation.

L'authentification est tout aussi importante pour les patients que pour les employés. Comme nous l'avons vu précédemment, les identifiants individuels facilitent le suivi des activités de la session. En ce qui concerne l'authentification, on part du principe qu'une personne qui ne devrait pas avoir accès à certaines informations n'aurait pas accès à un mot de passe pour entrer dans le système.

Lorsque des personnes appellent, envoient des courriels ou se rendent en personne, il est également essentiel de présenter des preuves. Les informations d'identification peuvent être une pièce d'identité délivrée par le gouvernement avec un nom et une photo, un numéro de sécurité sociale ou d'autres informations personnelles. Certaines compagnies d'assurance, par exemple, peuvent demander la date de naissance ou l'adresse.

Garanties techniques de l'HIPAA : Sécurité des transmissions

L'un des aspects les plus difficiles de la protection des informations personnelles est leur transmission. Le transfert de données entre deux parties - même si ces parties sont toutes deux autorisées - crée des vulnérabilités. Une partie peut ne pas sécuriser les données aussi bien que l'autre. Les réseaux qui leur fournissent une connexion peuvent également présenter des faiblesses. Les faiblesses de transmission peuvent permettre aux cybercriminels d'intercepter et de voler plus facilement des données sans avoir à pirater une entreprise.

Le HHS recommande l'utilisation de deux outils principaux pour protéger les données lors de leur transmission. Le premier est le contrôle de l'intégrité et le second le cryptage. Les contrôles d'intégrité permettent de s'assurer que les données envoyées sont les mêmes que celles reçues. Les organisations peuvent y parvenir en mettant à jour leurs protocoles de communication réseau. Les codes d'authentification des messages sont également efficaces.

Ee cryptage est un peu plus compliqué. Il s'agit de transformer les données de leur forme originale en quelque chose que les personnes non autorisées ne peuvent pas comprendre. Les organisations doivent également y parvenir sans altérer l'intégrité des données. Heureusement, il existe plusieurs types d'outils de cryptage des données que les entités couvertes peuvent utiliser.

Il est important de noter que pour que les outils de cryptage fonctionnent comme prévu, l'expéditeur et le destinataire doivent avoir accès au même logiciel ou à un logiciel compatible. Il est préférable de s'en tenir à un seul outil pour l'ensemble de l'organisation.

Pourquoi les mesures de protection techniques sont-elles importantes ?

Il y a deux raisons principales pour lesquelles la protection des informations personnelles est si importante. La première est d'ordre éthique et la seconde est d'ordre juridique. D'un point de vue éthique, les patients ont droit au respect de leur vie privée. Un accès non autorisé viole ce droit et peut conduire à ce que des informations très sensibles tombent entre de mauvaises mains. La corruption de données peut avoir un impact négatif sur la vie des patients et modifier la confiance que vos clients accordent à votre entreprise.

Quel est l'objectif des mesures de sécurité technique ?

En ce qui concerne l'aspect juridique, la règle de confidentialité HIPAA oblige les entreprises qui traitent des informations personnelles à mieux protéger ces données. Les entreprises et leurs employés qui enfreignent la loi HIPAA peuvent être poursuivis en justice. Les amendes peuvent atteindre 250 000 dollars. Il convient également de noter qu'il existe trois types d'organisations qui relèvent de cette règle :

• les centres d'échange d'informations sur les soins de santé

• Les fournisseurs de plans de santé

• Les prestataires de soins de santé

Aelon le HHS, la règle de confidentialité ne détaille pas les actions spécifiques que les entités couvertes doivent entreprendre pour protéger les données. Elle exige que les entreprises fassent de la sécurité des données une priorité. Néanmoins, la plupart des cinq mesures de protection technique présentées ci-dessus suivent les recommandations du HHS.

Comment respecter les normes relatives aux garanties techniques pour les PHI ?

La plupart des professionnels ont une compréhension générale des garanties techniques de l'HIPAA, même s'ils n'ont pas de formation technique. Une mise en œuvre correcte, en revanche, exige un savoir-faire technique solide. Pour cela, les entreprises doivent choisir des partenaires qui apportent les compétences dont elles ont besoin.

Chez PubNub, nous créons pour nos clients des API qui non seulement améliorent l'interconnectivité, mais donnent la priorité à la sécurité des données. Nous proposons un produit entièrement personnalisable afin de répondre aux besoins de votre entreprise et de vos clients ou patients. Utilisez notre formulaire de contact pour obtenir plus d'informations sur la façon dont nous pouvons vous aider à protéger vos clients et leurs informations personnelles.

Sommaire

Qu'est-ce qu'une PHI selon HIPAA ?PII vs PHI : Quelle est ladifférence? Lescinq mesures de protection technique de l'HIPAALesmesures de protection technique del'HIPAA:Contrôle d'accèsLes garanties techniques de l'HIPAA:Contrôles d'auditLesgaranties techniques HIPAA : PHI et intégrité des donnéesLesgaranties techniques HIPAA : Authentification de la personne ou de l'entité:Sécurité des transmissionsPourquoiles garanties techniques sont importantesQuel estl'objectif des garanties techniques de sécuritéCommentrépondre aux normes de garanties techniques pour les PHI?

Comment PubNub peut-il vous aider ?

Cet article a été publié à l'origine sur PubNub.com

Notre plateforme aide les développeurs à construire, fournir et gérer l'interactivité en temps réel pour les applications web, les applications mobiles et les appareils IoT.

La base de notre plateforme est le réseau de messagerie périphérique en temps réel le plus grand et le plus évolutif de l'industrie. Avec plus de 15 points de présence dans le monde, 800 millions d'utilisateurs actifs mensuels et une fiabilité de 99,999 %, vous n'aurez jamais à vous soucier des pannes, des limites de concurrence ou des problèmes de latence causés par les pics de trafic.

Découvrez PubNub

Découvrez le Live Tour pour comprendre les concepts essentiels de chaque application alimentée par PubNub en moins de 5 minutes.

S'installer

Créez un compte PubNub pour un accès immédiat et gratuit aux clés PubNub.

Commencer

La documentation PubNub vous permettra de démarrer, quel que soit votre cas d'utilisation ou votre SDK.