Passer au contenu
La loi HIPAA (Health Insurance Portability and Accountability Act) est l'un des documents clés pour chaque RSSI travaillant dans le secteur de la santéÉcrit il y a plus de 20 ans, bien avant l'invention des smartphones, du WiFI ou de Google, il réglemente toujours la sécurité des informations de santé dans l'industrieDécouvrez comment il est appliqué de nos jours pour assurer des soins médicaux sécurisés
Pourquoi la sécurité des données est-elle importante dans le domaine de la santé ?
NomAdresseidentifiantsOrdonnancesPhotos
Il ne s'agit que d'une fraction des données que les organisations de santé avaient, ont et auront sur leurs clientsL'accès non autorisé à ces informations peut entraîner de graves conséquences pour la personne divulguéeIls peuvent être confrontés au vol d'identité, à la fraude, au vol d'argent, ainsi qu'à des dommages morauxLa recherche a révélé que les dossiers de santé des violations de données hospitalières peuvent coûter des centaines de dollars chacun sur un marché noir
Pour un établissement de santé, les enjeux sont importants en matière de sécurité des données patientsLes failles de sécurité dans les soins de santé entraînent des dépenses pour des experts médico-légaux indépendants, des enquêtes internes, des communications avec les employés et les clients, des règlements, des amendes et, en fin de compte, des atteintes à la réputation et une perte de confiance des clients qui affectent le bénéfice à long terme de l'organisation
C'est pourquoi un rôle de CISO est de la plus haute importance dans le secteur de la santéIl leur incombe de développer un système qui atténuerait adéquatement les risques et protégerait contre les menaces anticipées
Qu'est-ce que la sécurité des données pour PHI ?
HIPAA garantit la sécurité des données de santé (PHI) en régulant la manière dont elles sont utilisées, conservées, stockées ou transmises par une entité couverte par HIPAA (un fournisseur de soins de santé, un plan de santé ou un assureur maladie, un centre d'échange de soins de santé) ou un associé d'affaires de cette entité
PHI signifie Protected Health Information, et sous HIPAA, il couvre toute information liée à l'état de santé d'un individuIl comprend les dossiers médicaux, les antécédents médicaux, les résultats des tests de laboratoire et les factures médicalesLes PHI sont protégés quelle que soit la forme qu'ils prennent, y compris les enregistrements physiques, les enregistrements électroniques ou les informations oralesUne fois que les informations sur la santé incluent des identifiants individuels, elles deviennent des PHI et sont protégées par la loi HIPAAIl existe 18 identifiants PHI :
- Nom
- Adresse (y compris les subdivisions plus petites qu'un état, comme une adresse postale, une ville, un comté ou un code postal)
- Toutes les dates (à l'exception des années) qui sont directement liées à un individuIl comprend l'anniversaire, la date d'admission ou de sortie, la date du décès ou l'âge exact
- Numéro de téléphone
- Numéro de télécopie
- Adresse e-mail
- Numéro de sécurité sociale
- Numéro de dossier médical
- Numéro de bénéficiaire du plan de santé
- Numéro de compte
- Numéro de certificat/licence
- Identifiants du véhicule, numéros de série ou numéros de plaque d'immatriculation
- Identifiants ou numéros de série des appareils
- URL Web
- Adresse IP
- Identifiants biométriques tels que les empreintes digitales ou vocales
- Photos de face
- Tout autre numéro d'identification unique, caractéristique ou code
Les entités couvertes par la loi HIPAA et leurs partenaires commerciaux doivent se conformer aux exigences de confidentialité, d'intégrité et de disponibilité des PHI électroniques (ePHI)La confidentialité consiste à maintenir que les ePHI ne sont pas divulguées illégalement sans l'autorisation appropriée du patientL'intégrité consiste à s'assurer que les ePHI qui sont transférés ou conservés par un organisme de soins de santé ne sont accessibles qu'aux parties appropriées et autoriséesLa disponibilité permet aux patients d'accéder à leur ePHI conformément aux normes de sécurité HIPAA
Une ligne entre PHI et non PHI
On pense souvent que toutes les informations de santé sont considérées comme des RPS en vertu de la loi HIPAA, mais il existe quelques exceptions
HIPAA ne s'applique qu'aux entités couvertes et à leurs associés commerciauxCela signifie que si les informations sur la santé ne sont pas partagées avec ces entités, elles ne sont pas considérées comme des RPS
Prenons l'exemple des trackers de santé (qu'ils soient portables ou mobiles) qui enregistrent des informations sur la santé telles que la fréquence cardiaque ou la tension artérielle.À moins que le fabricant de l'appareil ou le développeur de l'application ne partage ces données avec une entité couverte par la loi HIPAA, elles ne sont pas considérées comme des PHI en vertu de la loi HIPAA.
HIPAA ne s'applique pas aux relevés d'études ou d'emploiUn hôpital peut détenir des données sur ses employés, qui peuvent inclure des informations sur la santé comme les allergies ou le groupe sanguin, mais elles ne sont pas classées comme PHI
Si les PHI sont dépouillés de tous les identifiants qui peuvent les lier à un individu, ils deviennent des PHI anonymisés et les règles HIPAA ne s'appliquent plus
Qu'est-ce qu'une violation de données dans le domaine de la santé ?
Une violation de données dans le domaine de la santé signifie qu'un ou plusieurs dossiers risquent d'être exposés ou ont été consultés ou divulgués sans autorisationL'accès potentiel aux données compte également comme une violation de la sécurité des données
Des violations de la sécurité des mégadonnées se produisent chaque année, ciblant même les plus grandes entreprises de soins de santéUne seule attaque contre l'American Medical Collection Agency a touché 25 millions de patients
Les recherches montrent que les ransomwares et les attaques par injection SQL sont la cause la plus fréquente de violation des données de santéIls se produisent souvent lorsque des employés stressés et/ou inconscients ne parviennent pas à identifier les e-mails, sites Web ou logiciels malveillants
Un autre défi courant est le respect de la politique d'authentification des utilisateursLes professionnels de la santé utilisent plusieurs postes de travail partagés, ce qui peut souvent conduire à la divulgation involontaire d'informationsLa sécurité des données de santé n'est pas et ne devrait pas être leur priorité numéro unC'est le travail du CISO de fournir une solution de gestion des accès qui serait à la fois sécurisée et facile pour les utilisateurs finaux
Solution pour des soins de santé sécurisés
Hideez a développé une solution d'authentification de premier ordre spécialement pour le secteur de la santéIl garantit la sécurité des données des patients dans un environnement potentiellement risqué d'ordinateurs partagés accessibles par plusieurs utilisateurs simultanés
Une fonctionnalité de gestionnaire de mots de passe intégrée à une Hideez Enterprise Solution protège les utilisateurs contre les attaques de phishing en fournissant des mots de passe uniquement pour les domaines de confianceLa clé offre également une couche supplémentaire de personnification et des contrôles de proximité sans fil avancés qui rendent la protection des données dans le domaine de la santé plus réalisableLes ordinateurs sans surveillance sont l'un des défis les plus difficiles auxquels les RSSI doivent faire face en vertu de la loi HIPAA dans le secteur de la santéCela se résume à un facteur humain, et un simple délai d'attente ne suffit pas
Grâce aux commandes de proximité, vous disposez d'un moyen élégant de verrouiller l'ordinateur une fois qu'il n'est plus utiliséUn professionnel de la santé n'a qu'à s'éloigner de trois à quatre pas de l'ordinateur pour qu'il se verrouille automatiquementÉloignez la charge cognitive de la sécurité des données des professionnels de la santéUtilisez simplement la solution Hideez pour libérer vos collègues des mots de passe et gagner leur temps
