Qu'est-ce que la loi HIPAA ?

La loi HIPAA (Health Insurance Portability and Accountability Act de 1996) a été conçue pour protéger les données de santé ou les informations de santé électroniques protégées (electronic protected health information, ePHI). Il s'agit d'une loi américaine conçue pour fournir des normes de confidentialité afin de protéger les dossiers médicaux des patients et d'autres informations de santé. La loi HIPAA définit les ePHI, les règles et les politiques d'utilisation et de partage des ePHI, ainsi que les sanctions en cas d'utilisation abusive ou de violation des ePHI par des parties non autorisées. Bien que les objectifs initiaux englobent la gouvernance de la confidentialité des données via un accès consenti et la garantie de la portabilité des ePHI pour simplifier les modifications apportées aux régimes d'assurance, la loi HIPAA a établi une stratégie de règles fondamentales sur lesquelles s'appuyer pour répondre aux besoins du secteur.

La loi est plus pertinente que jamais aujourd'hui, car les ePHI sont inclus dans la plupart des formats standard d'échange de soins de santé, toutes les parties concernées (y compris les acteurs malveillants) étant intéressées par l'accès aux données sensibles. Un rapport de 2023 du bureau de la sécurité de l'information du ministère américain de la santé et des services sociaux (Health and Human Services, HHS) montre une tendance à la hausse des violations de données dans le domaine de la santé entre 2012 et 2021. Le rapport souligne également que les violations de données dans le domaine de la santé ont doublé au cours des trois dernières années. Les établissements de santé et les organismes associés, tels que les assurances, sont des dépositaires d'informations de santé protégées (PHI). Ces entreprises sont donc une cible attrayante pour les cybercriminels. Les cyberattaques ciblant le domaine de la santé incluent la menace insidieuse des ransomwares et les problèmes de sécurité des données, qui commencent souvent par un accès non autorisé et un manque de contrôles d'accès de moindre privilège.

Notions de base sur les HIPAA

La loi HIPAA a été promulguée le 21 août 1996. Cependant, depuis sa création, sa structure a connu plusieurs ajouts majeurs. Il s'agit notamment de la règle de sécurité, de la règle de confidentialité, de la règle de notification de violation et de la règle Omnibus. Le HHS réglemente la loi HIPAA, mais l'office des droits civils (Office for Civil Rights, OCR) est responsable de l'application de la loi HIPAA.

Illustration définissant les composants du système de conformité HIPAA.

Sous « simplification administrative » , la norme HIPAA est définie par plusieurs composants, notamment :

Normes relatives aux transactions et aux ensembles de codes
Normes d'identification
Règle de confidentialité
Règle de sécurité
Règle d'application
Règle de notification de violation

Ensemble, ces règles et normes établissent le protocole en matière de protection des ePHI.

Comment Akamai aide votre entreprise à se conformer à la loi HIPAA

La protection des ePHI est au cœur de la conformitéà la loi HIPAA. Les solutions de sécurité d'Akamai proposent des renseignements et offrent une protection de bout en bout destinée à protéger les données financières des violations et des expositions accidentelles. Akamai accompagne vos équipes de sécurité dans l'optimisation de l'efficacité et du retour sur investissement de vos placements en matière de sécurité. Akamai va bien au-delà de la détection traditionnelle des terminaux pour fournir une solution Zero Trust puissante dédiée à la sécurité et à la confidentialité des données.

Akamai propose :

une plateforme de sécurité mondiale qui applique la sécurité Zero Trust avec une couverture complète de votre environnement informatique
une visibilité approfondie sur les actifs, les accès et les flux réseau ;
une application granulaire des règles de sécurité configurées par le client.

Comment la loi HIPAA affecte-t-elle votre entreprise ?

Toute entité de santé, y compris tout associé commercial traitant des données de santé, doit respecter les règles strictes de confidentialité et de sécurité des données de la loi HIPAA. Si votre organisation relève de la loi HIPAA, vous devrez respecter les réglementations qui affectent l'accès aux informations de santé confidentielles et leur traitement. Si une entité affectée enfreint les règles de sécurité et de confidentialité de la loi HIPAA, elle est liée par les règles de notification des violations. Si plus de 500 utilisateurs sont affectés par une violation, la notification de l'incident doit être transmise à l'OCR. Les détails de la violation sont répertoriés sur un site Web public consultable, « Breach Portal : Notification au secrétaire du HHS de violation d'informations de santé protégées non sécurisées. »

Les types spécifiques d'entreprises concernées par la loi HIPAA sont les suivants :

_Hôpitaux

La règle de confidentialité HIPAA exige que les hôpitaux fournissent des explications claires sur les droits des patients en matière de confidentialité. En outre, la sécurité est un élément essentiel de la protection des données des patients, avec la règle HIPAA 45 CFR 164.502(b), 164.514(d) stipulant explicitement que les entités concernées doivent « ... évaluer leurs pratiques et renforcer les mesures de protection nécessaires pour limiter l'accès inutile ou inapproprié aux informations de santé protégées et leur divulgation ».

Les hôpitaux doivent donc prendre des mesures pour minimiser le risque d'accès non autorisé aux données. Une approche de sécurité Zero Trust en matière d'accès aux données fournit le cadre nécessaire pour atténuer les risques pour les PHI dans un environnement hospitalier.

_{Partenaires commerciaux}

Aux termes de la loi HIPAA, un associé commercial désigne toute entreprise qui « crée, reçoit, conserve ou transmet des informations de santé protégées » au nom d'une entité couverte. Cela inclut les entreprises telles que les fournisseurs de logiciels, les fournisseurs de services cloud et les agences de facturation. Les associés commerciaux sont tenus de protéger et de maintenir la confidentialité, l'intégrité et l'accessibilité des informations de santé protégées à l'aide de mesures techniques et de mesures de protection. La loi HIPAA exige des mesures de sécurité visant à identifier les risques et à sécuriser les informations de santé protégées. Une plateforme Zero Trust offre une visibilité sur un écosystème de données étendu afin d'appliquer des mesures de sécurité robustes pour lutter contre les accès non autorisés aux données.

Avantages de la conformité HIPAA en matière de sécurité et de confidentialité

La loi HIPAA prévoit des mesures de protection strictes pour garantir la sécurité et la confidentialité des ePHI. L'application des principes de la loi HIPAA offre une série d'avantages aux entités couvertes et aux patients. Parmi les avantages les plus importants :

Confidentialité accrue des patients : Les informations personnelles et sensibles sur la santé des patients sont limitées aux seules personnes qui en ont besoin. Dans certaines conditions, les patients doivent consentir au partage de leurs données de santé.

Application des principes d'accès basés sur les rôles et de moindre privilège : Les données ne sont disponibles que pour ceux qui en ont besoin. La sécurité Zero Trust peut aider à appliquer ces principes.

Exigences d'authentification robuste : La loi HIPAA exige que toutes les entités couvertes mettent en œuvre une authentification robuste pour aider à appliquer les stratégies de contrôle d'accès.

Protection contre les logiciels malveillants : Les ransomwares attaquent les hôpitaux et autres établissements de santé. Les ePHI sont donc vulnérables. La conformité HIPAA protège contre les infections par les logiciels malveillants.

Solutions d'Akamai pour la conformité au règlement HIPAA

Akamai propose une gamme complète de solutions qui offre une sécurité Zero Trust pour vous aider à respecter et à maintenir la conformité HIPAA. Nos clients reconnaissent que les solutions de sécurité de pointe d'Akamai sont les meilleures de leur catégorie. Nos clients du secteur de la santé utilisent Akamai pour protéger les ePHI et appliquer les principes du moindre privilège et des contrôles d'accès robustes. La gamme de solutions de sécurité d'Akamai est passée d'un ensemble de solutions ponctuelles à une plateforme Zero Trust complète et performante. Les solutions de classe mondiale d'Akamai fournissent des contrôles de sécurité pour prendre en charge la règle de sécurité et de confidentialité HIPAA couvrant la sécurité, la disponibilité, l'intégrité et la confidentialité des données. Akamai offre une visibilité approfondie sur votre environnement informatique et sur l'ensemble de votre infrastructure étendue afin d'inclure vos partenaires commerciaux.

Akamai Cloud : Notre plateforme cloud massivement distribuée en bordure de l'Internet est au service du Cloud Computing, de la sécurité et de la diffusion de contenu. Akamai Cloud est conçu pour garantir que les entités couvertes par la loi HIPAA peuvent utiliser Cloud Computing et rester conformes.

Akamai Identity Cloud : La confidentialité et la sécurité sont intégrées à Akamai Identity Cloud dès sa conception. La solution offre une gestion des identités hautement évolutive et gère les cas d'utilisation complexes : Identity Cloud stocke les données des clients de manière hautement sécurisée, en appliquant les principes du moindre privilège pour atténuer les cyberattaques. En outre, la solution intègre une gestion du consentement pour respecter les réglementations, notamment HIPAA, RGPD, CCPA, LPRPDE, etc.

Qui doit se conformer à la loi HIPAA ?

HHS classe les entités couvertes par la loi HIPAA en trois catégories :

Prestataires de soins de santé : comprend les médecins, les cliniques, les dentistes et les pharmacies
Régimes d'assurance maladie : comprend les compagnies d'assurance maladie et les régimes d'assurance maladie des entreprises
Centres d'échange dans le domaine de la santé : organisations qui traitent des informations de santé non standard provenant d'une autre entité

La protection des informations médicales confidentielles est étendue par la règle Omnibus afin d'inclure tout associé commercial qui gère des données de santé.

Quelles informations sont protégées en vertu de la loi HIPAA ?

Les informations de santé électroniquement protégées (ePHI) en vertu des réglementations HIPAA font référence à des données de santé identifiables individuellement ou à des informations de santé personnelles : La loi HIPAA comprend 18 « identifiants ». Ces identifiants représentent les différents types de données d'identification couverts par la loi HIPAA. Les types d'informations incluent les noms des patients, les adresses e-mail, les numéros de sécurité sociale, les dossiers médicaux électroniques, les dossiers médicaux, les données biométriques, etc. L'autorisation du patient est requise pour transmettre les dossiers contenant l'une de ces données.

Les ePHI sont exclus des contrôles HIPAA s'ils peuvent être anonymisés à l'aide de la « norme d'anonymisation » en vertu de la loi HIPAA Section 164.514(a) de la règle de confidentialité HIPAA.

Règlement de sécurité HIPAA

Toute entité couverte par la loi HIPAA qui crée, reçoit, utilise ou gère des informations médicales confidentielles doit se conformer à la règle de sécurité HIPAA. La règle couvre explicitement les mesures de protection administratives, physiques et techniques qui garantissent la confidentialité, l'intégrité et la sécurité des ePHI. Les mesures de protection techniques visant à aider à respecter la loi HIPAA et à protéger les informations de santé comprennent les mesures suivantes :

Contrôle d'accès aux ePHI
Authentification de personne ou d'entité
Sécurité de la transmission, par exemple, chiffrement

D'autres dispositions en matière de sécurité incluent la formation et la sensibilisation des employés à la conformité, ainsi que des mesures de protection de l'accès physique.

La règle de confidentialité HIPAA

La règle de confidentialité HIPAA a été ajoutée en décembre 2000 et mise à jour en août 2002. Elle fournit le cadre de confidentialité pour protéger les informations de santé individuellement identifiables par les entités concernées et pour contrôler la divulgation des informations de santé protégées. Les données associées sont également couvertes par la règle de confidentialité, par exemple :

Conditions physiques ou mentales passées, présentes et futures
Le traitement d'une affection
Informations de paiement relatives au traitement

La loi HIPAA est-elle liée à la loi HITECH ?

La loi HIPAA et la loi HITECH (Health information Technology for Economic and Clinical Health Act) visent à protéger les ePHI. Cependant, la loi HITECH étend les exigences de conformité en matière de chiffrement HIPAA et la divulgation des violations de données des informations médicales confidentielles « non protégées » (non chiffrées). Cela signifie que les patients peuvent demander à être avertis de toute divulgation de leurs informations médicales confidentielles.

HIPAA et notifications de violation

L'HIPAA dispose d'une règle de notification de violation qui définit ce qui déclenche une notification de violation en cas de violation HIPAA. Les règles de base pour la notification des violations sont les suivantes :

Violations affectant 500 personnes ou plus : Les entités couvertes doivent en informer le ministre dans un délai raisonnable de moins de 60 jours suivant une violation.
Violations affectant moins de 500 personnes : Les entités concernées peuvent en informer le ministre chaque année, mais dans les 60 jours suivant la fin de l'année de la violation.

La règle de notification de violation HIPAA se trouve sous la section HIPAA 45 CFR §§ 164.400-414.

Violations et sanctions en vertu de la loi HIPAA

Les pénalités en cas de non-conformité à la loi HIPAA incluent des amendes pouvant aller jusqu'à 50 000 $ par violation de la loi HIPAA et peuvent inclure des sanctions pénales.

FAQ

HIPAA signifie Health Insurance Portability and Accountability. Cette loi est un élément essentiel de la législation américaine promulguée en 1996. Il s'agit d'un effort complet du ministère américain de la santé et des services sociaux (HHS) visant à établir des normes nationales pour la protection et le traitement confidentiel des informations de santé électroniques protégées (ePHI).

L'objectif principal de la loi HIPAA est de protéger la confidentialité et la sécurité des informations de santé, en particulier les informations stockées numériquement. Elle établit un cadre juridique et des normes réglementaires pour protéger les informations sensibles sur la santé des patients contre la divulgation sans le consentement ou la connaissance du patient, tout en répondant aux préoccupations croissantes des cyberattaques dans le secteur de la santé.

La loi HIPAA protège les ePHI, qui englobent toutes les informations sur l'état de santé, la prestation de soins de santé ou le paiement de soins de santé pouvant être liées à une personne. Cela inclut un large éventail d'identifiants tels que les noms des patients, les adresses, les dossiers médicaux et les numéros de sécurité sociale, garantissant ainsi leur confidentialité, leur intégrité et leur sécurité.

Les informations non protégées par la loi HIPAA incluent les données de santé anonymisées, dont les identifiants individuels ont été supprimés, ce qui rend impossible le lien entre les informations et des individus spécifiques. En outre, les dossiers détenus par des organisations non couvertes par la loi HIPAA, telles que les employeurs ou les prestataires d'assurance-vie, et les informations partagées par les patients en dehors du contexte des soins de santé, ne sont pas protégés.

Pour s'assurer de la conformité HIPAA, cela implique la mise en œuvre d'un ensemble complet de mesures de sécurité, y compris le contrôle d'accès, le chiffrement des données et des évaluations régulières des risques. Les entreprises doivent également dispenser une formation aux employés, établir des politiques et des procédures de gestion des ePHI et conserver la documentation de leurs efforts de conformité. En cas de violations ou d'audits, il est essentiel de pouvoir présenter ces preuves pour prouver le respect des réglementations HIPAA.

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.

Produits connexes

Akamai Guardicore Segmentation

Visualisez, protégez et segmentez les environnements sur site, cloud et hybrides.

API Security

Protégez toutes vos API des attaques et des vols de données toujours plus fréquents.

Ressources supplémentaires

Remplir les critères du CAF dans le secteur public britannique grâce à Akamai Security

Akamai aide les entreprises à atteindre les objectifs du Cyber Assessment Framework britannique grâce à des solutions résilientes. Découvrez comment nous pouvons vous aider.

Présentation du règlement sur la résilience opérationnelle numérique (DORA)

Ley de resiliencia operativa digital: preparación de las entidades financieras para el cumplimiento de DORA con Akamai

Découvrez comment Akamai aide les entités financières à gérer efficacement les défis liés à la conformité.

Accélérer la conformité PCI et en garantir la validation continue avec Akamai Guardicore Segmentation

Akamai Guardicore Segmentation permet de se conformer à plusieurs exigences PCI DSS à l'aide d'un seul outil, afin d'offrir de la visibilité aux auditeurs et d'aider les équipes d'intervention à détecter les violations.

Simplification de la conformité NERC CIP avec Akamai Guardicore Segmentation

Un modèle pour la construction d'une architecture Zero Trust

Akamai Guardicore Segmentation peut aider les entreprises déjà en conformité avec NERC CIP en simplifiant et en améliorant leur posture de conformité.