La Loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) est l'un des documents clés pour chaque CISO travaillant dans le secteur de la santé. Rédigée il y a plus de 20 ans, bien avant l'apparition des smartphones, du Wi-Fi ou de Google, elle réglemente toujours la sécurité des informations de santé dans l'industrie. Découvrez comment elle est appliquée de nos jours pour garantir des soins médicaux sécurisés.
Pourquoi la sécurité des données est-elle importante dans le domaine de la santé ?
Nom. Adresse. Identifiants. Ordonnances. Photos.
Ce ne sont que quelques données que les organisations de santé avaient, ont et auront sur leurs clients. Un accès non autorisé à de telles informations peut entraîner de graves conséquences pour la personne concernée. Elle peut être victime de vol d'identité, de fraude, de vol d'argent, ainsi que de dommages moraux. La recherche a révélé que les dossiers médicaux provenant de violations de données d'hôpitaux peuvent coûter des centaines de dollars chacun sur un marché noir.
Pour une organisation de santé, les enjeux sont élevés en matière de problèmes de sécurité des données des patients. Les violations de sécurité dans le domaine de la santé entraînent des dépenses pour des experts forensiques indépendants, des enquêtes internes, des communications avec les employés et les clients, des règlements, des amendes, et finalement des dommages à la réputation et une perte de confiance client qui affectent le profit à long terme de l'organisation.
C'est pourquoi le rôle d'un CISO est d'une importance capitale dans le secteur de la santé. Leur travail consiste à développer un système qui atténuerait adéquatement les risques et protégerait contre les menaces anticipées.
Qu'est-ce que la sécurité des données pour les PHI ?
La HIPAA assure la sécurité des données de santé (PHI) en réglementant la manière dont elle est utilisée, conservée, stockée ou transmise par une entité couverte par la HIPAA (un fournisseur de soins de santé, un plan de santé ou une compagnie d'assurance maladie, un centre de traitement de santé) ou un associé commercial d'une telle entité.
PHI signifie Informations de Santé Protégées, et selon la HIPAA, cela englobe toutes les informations liées à l'état de santé d'un individu. Cela inclut les dossiers médicaux, les antécédents de santé, les résultats d'analyses de laboratoire et les factures médicales. Les PHI sont protégées quel que soit leur forme, y compris les dossiers physiques, les dossiers électroniques ou les informations verbales. Dès lors que les informations de santé incluent des identificateurs individuels, elles deviennent des PHI et sont protégées par la HIPAA.
Il existe 18 identificateurs PHI :
- Nom
- Adresse (y compris les subdivisions plus petites qu'un État, comme une adresse postale, une ville, un comté ou un code postal)
- Toutes les dates (à l'exception des années) directement liées à un individu. Cela inclut la date de naissance, la date d'admission ou de sortie, la date de décès ou l'âge exact.
- Numéro de téléphone
- Numéro de télécopieur
- Adresse e-mail
- Numéro de sécurité sociale
- Numéro de dossier médical
- Numéro de bénéficiaire d'un plan de santé
- Numéro de compte
- Numéro de certificat/licence
- Identifiants de véhicule, numéros de série ou numéros de plaque d'immatriculation
- Identifiants de périphérique ou numéros de série
- URL Web
- Adresse IP
- Identifiants biométriques tels que les empreintes digitales ou les empreintes vocales
- Photos de visage complet
- Tous les autres numéros, caractéristiques ou codes d'identification uniques.
Les entités couvertes par la HIPAA et leurs associés commerciaux doivent se conformer aux exigences de confidentialité, d'intégrité et de disponibilité des données de santé électroniques (ePHI). La confidentialité consiste à veiller à ce que l'ePHI ne soit pas divulguée illégalement sans l'autorisation appropriée du patient. L'intégrité consiste à garantir que l'ePHI transférée ou conservée par une organisation de santé ne puisse être consultée que par des parties appropriées et autorisées. La disponibilité permet aux patients d'accéder à leur ePHI dans le cadre des normes de sécurité HIPAA.
Une ligne entre les PHI et non PHI
On pense souvent que toutes les informations médicales sont considérées comme des PHI selon la HIPAA, mais il existe quelques exceptions.
La HIPAA ne s'applique qu'aux entités couvertes et à leurs associés commerciaux. Cela signifie que si les informations médicales ne sont pas partagées avec de telles entités, elles ne sont pas considérées comme des PHI.
Prenons comme exemple les traqueurs de santé (qu'il s'agisse d'appareils portables ou d'applications mobiles) qui enregistrent des informations de santé telles que le rythme cardiaque ou la pression artérielle. À moins que le fabricant de l'appareil ou le développeur de l'application ne partage ces données avec une entité couverte par la HIPAA, elles ne sont pas considérées comme des PHI selon la HIPAA.
La HIPAA ne s'applique pas aux dossiers d'éducation ou d'emploi. Un hôpital peut détenir des données sur ses employés, qui peuvent inclure certaines informations de santé comme les allergies ou le groupe sanguin, mais cela n'est pas classé comme des PHI.
Si les PHI sont dépouillées de tous les identifiants qui peuvent les relier à un individu, elles deviennent des PHI désidentifiées, et les règles de la HIPAA ne s'appliquent plus.
Qu'est-ce qu'une violation de données dans le domaine de la santé ?
Une violation de données dans le domaine de la santé signifie qu'un ou plusieurs dossiers sont susceptibles d'être exposés ou ont été accessibles ou divulgués sans autorisation. L'accès potentiel aux données est également considéré comme une violation de la sécurité des données.
De grandes violations de sécurité des données se produisent chaque année, visant même les plus grandes entreprises de santé. Une seule attaque contre l'American Medical Collection Agency a affecté 25 millions de patients.
Des recherches montrent que les attaques par ransomware et par injection SQL sont la cause la plus courante d'une violation de données dans le domaine de la santé. Elles surviennent souvent lorsque des employés stressés et/ou peu informés ne parviennent pas à identifier les e-mails, les sites Web ou les logiciels malveillants.
Un autre défi courant est la conformité à la politique d'authentification des utilisateurs. Les professionnels de la santé utilisent plusieurs postes de travail partagés, ce qui peut souvent entraîner une divulgation involontaire d'informations. La sécurité des données de santé n'est pas, et ne devrait pas être, leur priorité numéro un. Il incombe au CISO de fournir une solution de gestion des accès qui soit à la fois sécurisée et facile pour les utilisateurs finaux.
Solution pour la sécurité des soins de santé
Hideez a développé une solution d'authentification de premier ordre spécifiquement pour l'industrie de la santé. Elle garantit la sécurité des données des patients dans un environnement potentiellement risqué de postes de travail partagés accessibles par plusieurs utilisateurs simultanés.
Une fonction de gestionnaire de mots de passe intégrée à une Solution d'entreprise Hideez protège les utilisateurs contre les attaques de phishing en ne fournissant des mots de passe que pour les domaines de confiance. La clé offre également une couche supplémentaire de personnalisation et des contrôles de proximité sans fil avancés qui rendent la protection des données dans le domaine de la santé plus réalisable. Les ordinateurs non surveillés sont l'un des plus grands défis auxquels les CISO doivent faire face sous HIPAA dans l'industrie de la santé. Cela se résume à un facteur humain, et une simple expiration n'est pas suffisante.
Avec les contrôles de proximité, vous disposez d'un moyen élégant de verrouiller l'ordinateur une fois qu'il n'est plus utilisé. Un professionnel de la santé n'a qu'à faire trois ou quatre pas loin de l'ordinateur pour le verrouiller automatiquement. Libérez les professionnels de la santé de la charge cognitive de la sécurité des données. Utilisez simplement la solution Hideez pour libérer vos collègues des mots de passe et gagner du temps.