Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Liste de contrôle de conformité HIPAA : Comment être conforme à HIPAA en 2024

Liste de contrôle de conformité HIPAA : Comment être conforme à HIPAA en 2024

Nov 19, 2020

La loi Health Insurance Portability and Accountability Act (HIPAA), telle que modifiée par la loi Health Information Technology for Economic and Clinical Health (HITECH), est conçue pour protéger les informations médicales et les dossiers de santé des individus. En atteignant et en maintenant la conformité à HIPAA compliance, les organisations de soins de santé peuvent protéger les informations de santé sensibles des patients tout en atténuant les risques de violations de données et de sanctions légales.

Cet article détaille les exigences clés de HIPAA et HITECH et fournit des ressources importantes pour que vous puissiez vous assurer que votre entreprise est conforme à HIPAA et éviter de vous retrouver dans les gros titres de violation de données.

Qu'est-ce que la conformité HIPAA ?

La conformité HIPAA fait référence au respect des réglementations établies par la Health Insurance Portability and Accountability Act pour garantir la confidentialité, la sécurité et l'intégrité des informations de santé protégées (PHI) des individus.

Les organisations tenues de se conformer à la HIPAA comprennent les prestataires de soins de santé, les plans de santé et les centres de traitement des données de santé, ainsi que leurs associés commerciaux. Les entités couvertes par la HIPAA doivent garantir la confidentialité et la sécurité des données des informations de santé protégées. Des exemples de PHI incluent :

  • Noms des individus
  • Photos de face complète et images comparables
  • Identifiants biométriques
  • Adresses e-mail
  • Numéros de téléphone
  • Numéros de fax
  • Données géographiques
  • Numéros de sécurité sociale
  • Numéros de dossier médical
  • Numéros de compte
  • Numéros des bénéficiaires de la couverture santé
  • Numéros de certificat et de licence
  • Identifiants de véhicules et numéros de série
  • Identifiants de périphériques et numéros de série
  • Dates, sauf l'année
  • Adresses IP
  • URLs Web
  • Tout numéro ou code d'identification unique

Qu'est-ce que HITECH ?

La loi Health Information Technology for Economic and Clinical Health (HITECH) renforce les réglementations HIPAA en incitant les prestataires à numériser les dossiers médicaux et de santé. La loi pénalise les manquements à l'utilisation significative des dossiers de santé électroniques et vise à encourager l'utilisation à l'échelle nationale de données de santé électroniques fiables, interopérables et sécurisées.

Quelles sont les règles et les contrôles HIPAA ?

Les règles HIPAA comprennent :

  • Règle de confidentialité HIPAA
  • Règle de sécurité HIPAA
  • Règle de notification de violation HIPAA
  • Règle d'application de la HIPAA
  • Règle Omnibus HIPAA

Les contrôles HIPAA sont des politiques, procédures et autres mesures que les entités couvertes par HIPAA doivent mettre en place pour protéger les PHI et se conformer aux règles HIPAA, comme détaillé ci-dessous.

Règle de confidentialité HIPAA

La règle de confidentialité HIPAA Privacy Rule décrit un ensemble de normes régissant la manière dont les informations de santé protégées peuvent être utilisées et divulguées. Cette règle vise à appliquer des directives strictes qui régissent la manipulation des données de santé sensibles, favorisant la confidentialité et la vie privée des patients au sein des systèmes de santé.

Voici les contrôles HIPAA pour les exigences de la règle de confidentialité :

  1. Politiques et procédures de confidentialité: Les entités couvertes doivent élaborer et mettre en œuvre un ensemble de politiques et procédures pour garantir la confidentialité des PHI.

Contenu connexe sélectionné :

  1. Personnel: Les entités couvertes par HIPPA doivent :
  • Désignez un responsable de la confidentialité chargé du développement et de l'administration des pratiques et ressources de confidentialité de l'entité.
  • Établissez un point de contact responsable de la réception des plaintes et de l'information des individus sur les pratiques de confidentialité de l'entité.
  1. Formation et gestion du personnel: Les entités couvertes doivent former tous les membres du personnel sur les pratiques de confidentialité afin qu'ils puissent exercer leurs fonctions conformément à la Règle de confidentialité.
  2. Atténuation: Les entités couvertes doivent atténuer tout effet préjudiciable causé par l'utilisation ou la divulgation de PHI qui viole les politiques de confidentialité ou la Règle de confidentialité HIPAA.
  3. Mesures de protection des données: Les entités couvertes doivent établir et maintenir des mesures de protection administratives, techniques et physiques pour prévenir les violations malveillantes et non intentionnelles des PHI.
  4. Plaintes: Les entités concernées doivent établir des canaux par lesquels les individus peuvent déposer des plaintes concernant la conformité à la vie privée.
  5. Rétorsion et renonciation: Une entité couverte par HIPAA ne peut pas exercer de représailles contre un individu pour :
  • Exerçant leurs droits tels que prévus par la règle de confidentialité HIPAA
  • Aider une enquête menée par HHS ou d'autres autorités pertinentes
  • Refus de s'engager dans tout acte considéré comme une violation de la règle de confidentialité HIPAA
  1. Documentation et conservation des enregistrements: Une entité couverte doit conserver toute la documentation créée dans le but de se conformer aux réglementations de la Privacy Rule (politiques et procédures de confidentialité, registres des plaintes, avis sur les pratiques de confidentialité, etc.) pendant au moins six ans après la date de création ou la dernière date d'efficacité.
  2. Exception: Les régimes d'assurance santé collective entièrement assurés sont tenus de se conformer uniquement aux exigences (7) et (8).

Règle de sécurité HIPAA

La règle de sécurité HIPAA Security Rule établit des directives qui protègent l'intégrité des dossiers de santé électroniques (EHR) et garantissent leur confidentialité et disponibilité.

L'Institut national des normes et de la technologie (NIST) dispose d'un ensemble de directives établies pour aider les organisations à développer des pratiques de sécurité conformes à la règle de sécurité HIPAA. Elles peuvent également utiliser le CIA Triad, où « CIA » représente ces trois composants :

  • Confidentialité: Assurez-vous que les ePHI ne sont pas accessibles ou divulgués à des personnes ou des processus non autorisés.
  • Intégrité: Assurez-vous que les ePHI ne sont pas altérés ou détruits de manière non autorisée
  • Disponibilité: Assurez-vous que les ePHI sont accessibles et utilisables à la demande par les personnes autorisées.

Les exigences de la règle de sécurité HIPAA comprennent les types de contrôles suivants pour les données sensibles :

  • Mesures de sécurité techniques: Contrôles d'accès, contrôles d'audit, contrôles d'intégrité, authentification de personne/entité, sécurité de transmission
  • Mesures de protection physiques: Contrôle d'accès aux installations, utilisation des postes de travail, sécurité des postes de travail, dispositifs et contrôles des supports
  • Mesures administratives de sauvegarde: Processus de gestion de la sécurité, responsabilité attribuée en matière de sécurité, sécurité du personnel, gestion de l'accès à l'information, sensibilisation et formation à la sécurité, procédures en cas d'incident de sécurité, plans de contingence, évaluation, plans d'associés commerciaux et autres procédures

Les organisations font souvent la distinction entre les mesures de protection « obligatoires » et « applicables » :

  • Les mesures de protection obligatoires doivent être suivies à la lettre ; il n'y a pas de place pour l'interprétation.
  • Addressable requirements afford organizations some flexibility to account for unique infrastructural or technical limitations.

Règle de notification de violation HIPAA

The HIPAA Breach Notification Rule requires covered entities to notify certain parties when they suffer a breach of PHI. Specifically, the HIPAA Breach Notification Rule requires:

  • Avis individuel: Les entités couvertes doivent notifier les individus affectés lors de la découverte d'une violation de PHI.
  • Avis aux médias: En cas de violation affectant plus de 500 résidents d'un État ou d'une juridiction, les entités couvertes doivent notifier les principaux médias desservant l'État ou la juridiction.
  • Avis au Secrétaire: Les entités couvertes doivent notifier le Secrétaire lors de la découverte d'une violation de PHI.

Il est possible pour les entités de prouver leur diligence raisonnable et de démontrer une faible probabilité de compromission des informations de santé protégées en se basant sur des procédures d'évaluation des risques adéquates.

Contenu connexe sélectionné :

Règle d'application de la HIPAA

La règle d'application de la HIPAA établit des normes sur la manière d'enquêter sur les violations de données et décrit une structure de pénalités pour les parties responsables.

Règle Omnibus HIPAA

La règle Omnibus HIPAA :

  • Établit une structure de pénalités échelonnée comme l'exige HITECH
  • Introduit des modifications au seuil de préjudice et inclut la règle finale sur la Notification de Violation pour les ePHI non sécurisés sous le HITECH Act
  • Modifie HIPAA pour inclure des dispositions de la Genetic Information Nondiscrimination Act (GINA), qui interdit la divulgation d'informations génétiques à des fins de tarification d'assurance
  • Empêche l'utilisation des informations de santé protégées et des identifiants personnels à des fins de marketing

Les exigences de la règle Omnibus HIPAA comprennent les éléments suivants :

  • Nouveaux accords d'associé commercial (BAAs): Avant d'employer les services d'un associé commercial, les entités doivent signer un nouveau BAA conforme à HIPAA
  • Mises à jour de l'Accord d'Associé Commercial: Les Accords d'Associé Commercial existants doivent être mis à jour pour se conformer à la Règle Omnibus.
  • Mises à jour de la politique de confidentialité: Les politiques de confidentialité doivent être mises à jour pour se conformer aux modifications de la Règle Omnibus.
  • Avis de mise à jour des pratiques de confidentialité (NPP): Les NPP doivent être mis à jour pour couvrir les informations requises par la Règle Omnibus.
  • Formation du personnel mise à jour sur HIPAA: La formation du personnel sur les modifications de la règle Omnibus et les changements de définition doit être fournie et documentée.

Liste de contrôle HIPAA

Utilisez la liste de contrôle suivante pour aider votre organisation à garantir la conformité avec HIPAA.

1) Audits et évaluations

Effectuez régulièrement un audit interne HIPAA, évaluation de la sécurité et audit de la confidentialité pour soutenir la sécurité des données:

  • Déterminez les audits et évaluations annuels HIPAA requis applicables à votre organisation, conformément à la règle HIPAA SP 800-66, Révision 1, en utilisant les directives NIST.
  • Réalisez les audits et évaluations requis, analysez et comprenez les résultats, et documentez tout problème ou déficience.
  • Créez et documentez des plans de remédiation approfondis pour traiter ces problèmes et insuffisances.
  • Mettez les plans en œuvre, examinez les résultats et mettez à jour le plan si les résultats souhaités n'ont pas été atteints.

Contenu connexe sélectionné :

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité