La loi HIPAA exige que les organisations de soins de santé de toutes tailles sécurisent les informations de santé protégées (PHI), mais comment les entités couvertes peuvent-elles sécuriser les informations sur les patients? Si on vous demande comment sécuriser les renseignements sur les patients, pourriez-vous fournir une réponse?
Comment Sécuriser Les Informations Des Patients?
La loi HIPAA exige que les organisations de soins de santé et leurs associés commerciaux mettent en œuvre des mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des RPS, bien que les réglementations HIPAA fournissent peu de détails sur la manière de sécuriser les informations sur les patients.
Ceci est intentionnel, car le rythme auquel la technologie progresse est bien supérieur à la vitesse à laquelle HIPAA peut être mis à jour. Si les détails étaient inclus, ils seraient bientôt obsolètes.
La technologie est en constante évolution et de nouvelles vulnérabilités sont découvertes dans des systèmes et des logiciels précédemment considérés comme sécurisés. Sécuriser les informations des patients ne consiste donc pas à mettre en œuvre des solutions de sécurité et à les oublier. Pour sécuriser réellement les informations des patients, vous devez régulièrement revoir vos contrôles de sécurité, mettre à jour les politiques et procédures, maintenir les solutions logicielles et de sécurité et les mettre à niveau lorsque de nouvelles solutions améliorées sont développées.
Il n’existe pas de solution de sécurité unique pouvant être utilisée pour sécuriser les informations des patients. Pour sécuriser les informations des patients, vous devez mettre en œuvre des défenses en couches – une gamme de mécanismes de protection qui ralentissent toute attaque potentielle et rendent l’accès aux données beaucoup plus difficile. On parle souvent de défense en profondeur.
Les mesures de sécurité typiques qui peuvent être mises en œuvre dans le cadre d’une stratégie de sécurité en couches comprennent:
- Un pare–feu pour empêcher les personnes non autorisées d’accéder à votre réseau et à vos données
- Un filtre anti-spam pour bloquer les e-mails et les logiciels malveillants
- Une solution antivirus pour bloquer et détecter les logiciels malveillants sur votre système
- Un filtre Web pour empêcher les employés d’accéder à des sites Web malveillants
- Contrôles d’accès et de confidentialité pour empêcher tout accès inapproprié au sein de l’organisation
- Cryptage des données sur tous les appareils portables
- Cryptage pour protéger les données en transit – e-mail crypté par exemple
- Un sécurisé (conforme à la norme HIPAA) plate-forme de messagerie qui crypte toutes les communications
- Un système de détection d’intrusion qui surveille les modifications de fichiers et l’activité réseau irrégulière
- Solutions d’audit qui surveillent l’accès incorrect aux informations du patient
- Contrôles de reprise après sinistre pour assurer un accès continu aux données en cas d’urgence
- Sauvegardes étendues pour s’assurer que les informations du patient ne sont jamais perdues
- Solutions de sécurité permettant la suppression à distance des données stockées sur des appareils mobiles en cas de perte ou de vol
- Sensibilisation à la sécurité et anti-hameçonnage formation du personnel
- Contrôles physiques pour prévenir le vol de données et d’équipements
- Analyse des vulnérabilités et tests de pénétration pour identifier les vulnérabilités avant qu’elles ne soient découvertes par des pirates
- Bonnes politiques de gestion des correctifs pour s’assurer que les logiciels sont à jour et exempts de vulnérabilités
Les entités couvertes par HIPAA peuvent mettre en œuvre tous ces contrôles de sécurité, ou une sélection de ces contrôles, ou peuvent sous-traiter ces services à un fournisseur de services gérés (MSP) .
Les patients Pourraient Demander Comment Leur RPS est sécurisé
Si un patient vous demandait comment sécurisez-vous les informations sur les patients, seriez-vous en mesure de leur fournir une réponse? Pour de nombreux médecins, la réponse serait non. Les médecins se préoccupent de fournir des soins aux patients, et non de mettre en œuvre des solutions de sécurité et des mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des RPS. Cette tâche est souvent confiée à leurs services informatiques et à la personne en charge de la conformité HIPAA. De nombreux professionnels de la santé seraient dans un bateau similaire.
Cependant, compte tenu du volume de violations de données de santé qui se produisent actuellement et du risque de préjudice et de perte résultant du vol de PHI, de nombreux patients sont préoccupés par la sécurité des données et peuvent se poser la question.
Les patients veulent être rassurés que toute information fournie à, créée par et maintenue par leurs fournisseurs de soins de santé est sécurisée et demeure confidentielle. Il peut être utile de savoir quelles mesures ont été utilisées pour sécuriser leurs informations, afin que vous puissiez fournir des informations en termes généraux.
Dans la plupart des cas, une explication simple suffit. Les patients veulent simplement être rassurés que leurs informations de santé sont sécurisées et resteront confidentielles.
En termes généraux, vous pourriez expliquer que vous sécurisez les informations sur les patients par:
- Chiffrer les PHI au repos et en transit (si tel est le cas)
- Stocker uniquement les PHI sur des systèmes internes protégés par des pare-feu
- Stocker les graphiques dans des emplacements sécurisés ils ne sont accessibles qu’aux personnes autorisées
- Utiliser des contrôles d’accès pour empêcher les personnes non autorisées d’accéder aux PHI
- Partager uniquement les PHI avec des personnes ou des organisations pour faciliter la fourniture, la coordination ou la gestion des soins de santé et des services connexes tels que le paiement et la facturation
- Ne partageant les RPS qu’avec un nombre limité de tiers après une un contrat a été conclu pour s’assurer qu’ils respectent des règles strictes concernant les utilisations et les divulgations de PHI et la sécurité des données
- Former à nouveau tout le personnel (annuellement) pour maintenir des normes élevées de confidentialité et de sécurité des données
- Vous utilisez les dernières versions de logiciels et vous assurez que tous les logiciels et systèmes d’exploitation sont à jour et utilisez des solutions antivirus pour bloquer les logiciels malveillants
Si les patients ont besoin de plus d’informations ou veulent des détails, vous pouvez expliquer que pour des raisons de sécurité, vous ne pouvez pas fournissez des informations détaillées sur les contrôles de sécurité que vous avez mis en place. Tout comme vous ne diriez à personne où se trouve votre coffre-fort et combien de tours de cadran sont nécessaires pour l’ouvrir.