Que sont les règlements de sécurité et de confidentialité HIPAA ?

Conséquences de la non-conformité

La loi HIPAA exige que les entités concernées, y compris les partenaires commerciaux, mettent en place des mesures de protection techniques, physiques et administratives pour les informations médicales protégées. Ces mesures de protection visent à protéger non seulement la confidentialité, mais également l'intégrité et l'accessibilité des données.

Le bureau OCR (Office of Civil Rights) du département HHS (Health and Human Services) est en charge des infractions non pénales de la loi HIPAA. La non-conformité peut entraîner des amendes allant de 100 $ à 50 000 $ par infraction « à la même disposition », par année civile.

De nombreux règlements liés à la conformité HIPAA du bureau OCR ont donné lieu à des amendes de plus d'un million de dollars. L'indemnisation la plus importante depuis septembre 2016 s'est élevée à 5,5 millions de dollars, à l'encontre de l'association Advocate Health Care à la suite de plusieurs compromissions ayant affecté un total de 4 millions de personnes.

Outre les sanctions civiles, les individus et les entreprises peuvent être tenus responsables au niveau pénal lorsqu'ils obtiennent ou divulguent des informations médicales protégées en toute connaissance de cause, sous de mauvais prétextes ou dans l'intention de les utiliser à des fins commerciales ou malveillantes. Les infractions pénales en vertu de la loi HIPAA relèvent de la compétence du ministère de la Justice des États-Unis et sont passibles d'une peine d'emprisonnement pouvant aller jusqu'à 10 ans, en sus des amendes.

Règlement de confidentialité et règlement de sécurité

Le règlement de confidentialité HIPAA (Privacy Rule) établit des normes pour la protection des dossiers médicaux des patients et autres informations médicales protégées. Il précise les droits des patients sur leurs informations et exige que les entités concernées protègent ces informations. Le règlement de confidentialité traite essentiellement de la manière dont les informations médicales protégées (PHI) peuvent être utilisées et divulguées. Le règlement de sécurité (Security Rule), en tant que partie du règlement de confidentialité, s'applique spécifiquement aux informations médicales protégées au format électronique (ePHI).

Le règlement de sécurité HIPAA impose les mesures de protection suivantes :

Mesures de protection techniques

Les mesures de protection techniques désignent les technologies, les politiques et les procédures d'utilisation de la technologie qui protègent collectivement les informations ePHI et contrôlent l'accès à celles-ci.

Les mesures de protection techniques incluent les suivantes :

• Accès : fait référence à la capacité et/ou aux moyens de lire, d'écrire, de modifier et de communiquer les données, et inclut les fichiers, les systèmes et les applications. Les contrôles doivent inclure des identificateurs utilisateur uniques ainsi que des déconnexions automatiques, et peuvent inclure des procédures d'accès en cas d'urgence, ainsi que le chiffrement des données.
• Contrôles d'audit : désignent les mécanismes d'enregistrement et d'examen des activités relatives aux données ePHI au sein des systèmes d'information.
• Intégrité : requiert des politiques et des procédures pour empêcher l'altération ou la destruction non autorisées des données.
• Authentification : exige la vérification de l'identité de l'entité ou de la personne demandant à accéder aux données protégées.

Mesures de protection physiques

Il s'agit des politiques et procédures visant à protéger les systèmes d'information électroniques ainsi que les équipements et bâtiments associés contre les risques naturels/environnementaux et les intrusions non autorisées.

Les mesures de protection physiques incluent les suivantes :

• Contrôle de l'accès aux installations : politiques et procédures permettant de limiter l'accès aux installations hébergeant les systèmes d'information. Les contrôles peuvent inclure des opérations d'urgence pour restaurer les données perdues, un plan de sécurité de l'installation, des procédures de contrôle et de validation de l'accès en fonction du rôle et des fonctions d'une personne, ainsi que des fiches de maintenance des réparations et modifications apportées à la sécurité de l'installation.
• Utilisation des postes de travail : concerne l'utilisation professionnelle appropriée des postes de travail, à savoir n'importe quel équipement informatique électronique, ainsi que des supports électroniques stockés dans l'environnement immédiat. Par exemple, le poste de travail qui traite la facturation des patients peut uniquement être utilisé si aucun autre programme n'est exécuté en arrière-plan, par exemple un navigateur.
• Sécurité des postes de travail : exige la mise en œuvre de mesures de protection physiques pour les postes de travail qui accèdent aux données ePHI. Alors que la règle d'utilisation du poste de travail décrit les modalités d'utilisation d'un poste de travail hébergeant des données ePHI, la règle de sécurité du poste de travail précise comment protéger physiquement les postes de travail contre un accès non autorisé, ce qui peut impliquer de conserver le poste de travail dans une pièce sécurisée, accessible aux seules personnes autorisées.
• Contrôles des équipements et des supports : requiert des politiques et procédures pour le retrait ou la mise au rebut du matériel et des supports électroniques contenant des données ePHI au sein de l'installation et en dehors de celle-ci. La norme traite de l'élimination et de la réutilisation des supports, de la tenue d'un registre concernant tous les mouvements des supports et de la sauvegarde/stockage des données.

Mesures de protection administratives

Ces mesures administratives représentent les stratégies et procédures visant à gérer la sélection, la mise au point, l'implémentation et l'administration des mesures de sécurité destinées à protéger les données ePHI et à gérer les comportements des employés relatifs à la protection des données ePHI.

Plus de la moitié des dispositions du règlement de sécurité HIPAA porte sur les mesures de protection administratives. Celles-ci incluent :

• Processus de gestion de la sécurité : inclut les politiques et procédures de prévention, de détection, de confinement et de correction des compromissions. Une part essentielle de cette norme consiste à effectuer une analyse des risques et à mettre en œuvre un plan de gestion des risques.
• Attribution de la responsabilité de sécurité : requiert la nomination d'un responsable de la sécurité désigné, chargé de mettre au point et de mettre en œuvre les politiques et procédures.
• Sécurité du personnel : fait référence aux stratégies et procédures régissant l'accès des employés aux données ePHI, y compris l'autorisation, la supervision, l'habilitation et la révocation.
• Gestion de l'accès aux informations : permet de limiter les accès inutiles et inappropriés aux données ePHI.
• Sensibilisation et formation à la sécurité : exige la mise en œuvre d'un programme de sensibilisation à la sécurité pour l'ensemble du personnel de l'entité visée.
• Procédures relatives aux incidents de sécurité : inclut les procédures permettant d'identifier les incidents et de les signaler aux personnes appropriées. Un incident de sécurité est défini comme une tentative non autorisée (aboutie ou non) d'accès, d'utilisation, de divulgation, de modification ou de destruction d'informations ou d'interférence avec le fonctionnement d'un système d'information.
• Plan d'urgence : prévoit des plans pour les opérations de sauvegarde des données, de reprise sur sinistre et en mode d'urgence.
• Évaluation : prévoit l'évaluation périodique des plans et procédures de sécurité mis en œuvre afin de garantir la conformité continue au règlement de sécurité HIPAA.
• Accords commerciaux et de partenariat : toutes les entités visées doivent avoir conclu des accords ou des contrats écrits avec leurs fournisseurs, sous-traitants et autres partenaires commerciaux qui créent, reçoivent, gèrent ou transmettent des données ePHI au nom de l'entité soumise à la loi HIPAA.

Conformité à la loi HIPAA

La loi HIPAA n'est pas prescriptive. Au contraire, elle a été conçue dans un souci de flexibilité et d'évolutivité afin qu'elle puisse être adaptée, même avec l'évolution des technologies, pour chaque entité concernée. Chaque organisation ou entreprise doit déterminer les mesures de sécurité raisonnables et appropriées en fonction de son propre environnement.

Bien que certaines solutions puissent être coûteuses, le ministère de la Santé américain (HHS, Health and Human Services) prévient que le coût ne doit pas être le seul facteur déterminant. Il souligne tout particulièrement l'importance de la réalisation d'évaluations des risques et la mise en œuvre de plans destinés à atténuer et gérer les risques.

Bien que le règlement de sécurité HIPAA reste neutre en termes de technologies (il n'exige pas un type de technologie de sécurité spécifique), le chiffrement est l'une des bonnes pratiques recommandées. Un grand nombre de compromissions de données HIPAA signalées au bureau OCR résultent du vol et de la perte d'équipements non chiffrés.

Ces deux ou trois dernières années, un nombre croissant d'incidents sont imputables à des cyberattaques. Le chiffrement des données protégées les rend inutilisables par des tiers non autorisés, que la compromission soit due à la perte ou au vol d'un équipement, ou à une cyberattaque. Par ailleurs, les données chiffrées perdues ou volées ne sont pas considérées comme une compromission de données et ne doivent pas être signalées en vertu de la loi HIPAA.

Avec la migration des entreprises vers le cloud, ces dernières doivent également prendre en compte l'impact de l'utilisation de services cloud sur leur conformité au règlement de sécurité HIPAA et explorer les solutions de sécurité cloud tierces telles qu'un service CASB. Un service cloud qui traite des données ePHI est considéré comme un partenaire commercial au sens de la loi HIPAA et doit donc signer un accord démontrant sa conformité. Cependant, la diligence raisonnable et la responsabilité finale incombent à l'entité visée, même si un tiers est à l'origine de la compromission des données.

Le bureau OCR examine non seulement les compromissions signalées, mais a également mis en place un programme d'audit. Au cours des dernières années, le nombre de règlements amiables HIPAA et les amendes ont augmenté. Les infractions qui ont donné lieu à des amendes vont des infections de malware et de l'absence de pare-feu à la non-évaluation des risques et à la non-exécution des accords de partenariat appropriés.

D'après le site HIPAA Journal, une compromission de données HIPAA coûte en moyenne 5,9 millions de dollars à une organisation, hors amende imposée par le bureau OCR. Alors que les amendes établies par le bureau OCR peuvent s'élever à des millions de dollars, la non-conformité peut avoir d'autres conséquences, telles qu'une perte d'activité, des coûts de notification de compromission et des poursuites judiciaires par les personnes concernées, ainsi que des coûts moins tangibles, par exemple l'atteinte à la réputation de l'entreprise.