Pourquoi la conformité HIPAA est vitale pour votre entreprise

L'acronyme HIPAA désigne la loi sur la portabilité et la responsabilité en matière d'assurance maladie ou « Health Insurance Portability and Accountability Act ». L'objectif de cette législation est de garantir la confidentialité et la sécurité des informations médicales protégées (IMP). Elle définit pour les prestataires de soins de santé et les entreprises associées les méthodes de traitement et de protection des données médicales. Elle établit les normes nécessaires pour garantir que les données IMP sont stockées, manipulées et accessibles correctement à tout moment.

Elle prévoit des amendes et des sanctions lourdes pour les personnes et les organisations qui traitent des données IMP sensibles sans respecter les normes.

Les IMP incluent :

• Tous les dossiers médicaux, tels que les résultats d'analyses médicales, les IRM, etc.
• Les dossiers de facturation dans un cabinet médical ou autres services médicaux.
• Les échanges (e-mails, notes) entre le patient et son médecin, entre le médecin et d'autres membres du personnel médical, ou entre le prestataire de soins et la compagnie d'assurance.

À l'origine, seuls les médecins, les hôpitaux et les compagnies d'assurance devaient se conformer aux dispositions de la loi HIPAA, car ils étaient les seules personnes et organisations ayant accès aux IMP. Ces organisations sont connues sous le nom d'entités couvertes, regroupant tous les services qui fournissent « des traitements, des paiements et des opérations nécessaires aux soins de santé ».

Les entités couvertes incluent :

• Les médecins et les cabinets médicaux
• Les hôpitaux
• Les pharmacies
• Les compagnies d'assurance
• Les organismes d'assurance maladie

Toutefois, en 2013 une mise à jour a élargi le champ d'application de la loi HIPAA pour tenir compte du recours accru à l'externalisation et aux fournisseurs Cloud dans le domaine des soins de santé. Tout service qui transmet, stocke ou reçoit des données IMP est désormais considéré comme un Associé commercial et doit se conformer à la loi HIPAA.

Les associés commerciaux incluent :

• Les services de transcription médicale utilisés par des médecins.
• Les sociétés SaaS qui traitent des dossiers médicaux électroniques basés sur le Cloud et utilisés par des médecins.
• Les sociétés d'analyse qui traitent des données médicales.

Pour qu'une entité couverte ou un associé commercial soit conforme à la loi HIPAA, il doit respecter quatre exigences :

1. Prendre des mesures appropriées pour garantir la protection constante des données IMP.
2. Restreindre l'accès aux données IMP aux seules personnes nécessaires à la réalisation des activités prévues.
3. Signer des contrats d'associé commercial (Business Associate Agreement - BAA) avec les fournisseurs de services pour assurer la sécurité des données IMP.
4. Mettre en place des procédures et des politiques pour limiter l'accès aux données IMP, des formations pour enseigner au personnel et aux utilisateurs la sécurité et la confidentialité des données.

Parmi les quatre règles de la loi HIPAA (sécurité, confidentialité, application et notification des violations), les développeurs sont surtout concernés par la règle de sécurité.

Pour les entreprises SaaS qui souhaitent travailler avec des prestataires de soins de santé, des organisations médicales ou des associés commerciaux, la règle de sécurité définit comment l'appli et le service doivent traiter les données IMP.

Cette règle définit les protections techniques qui doivent assurer le contrôle des accès aux données, leur sécurité et l'authentification des demandeurs d'accès.

• Contrôle des accès. Des politiques et des procédures doivent être mises en place pour garantir que seuls les utilisateurs dûment autorisés peuvent accéder aux données IMP. Ces moyens peuvent inclure des identifiants uniques pour chaque utilisateur, des procédures d'accès d'urgence et des procédures de chiffrement.
• Contrôle des audits. Des mécanismes doivent être mis en place pour enregistrer les activités dans le système et vérifier les accès accordés aux utilisateurs.
• Contrôle de l'intégrité. Toute modification ou destruction de données IMP doit être structurée et contrôlée. Des procédures doivent être mises en place pour que les auditeurs puissent vérifier et confirmer le respect de ces opérations.
• Sécurité des transmissions. Des mesures de sécurité doivent garantir qu'aucun accès non autorisé aux données IMP n'est possible pendant la circulation des données sur un réseau.

L'application des normes HIPAA vous ouvre les portes de nouveaux clients sur un marché en pleine expansion. 67 % des organismes de soins de santé utilisent actuellement un service SaaS dans leur flux de travail. 92 % des prestataires du secteur ont déclaré pouvoir envisager une utilisation future des SaaS. Les normes HIPAA vous ouvrent les portes du secteur des soins de santé, actuellement évalué à 3 000 milliards de dollars.

En développant votre conformité HIPAA, vous pourrez offrir vos services dans trois nouvelles bases de clients :

• Entités couvertes
  • 80 % des médecins et 60 % des hôpitaux utilisent actuellement un système de dossiers médicaux électroniques. Ces entreprises exigent la conformité à la loi HIPAA pour tous les services Cloud qu'elles utilisent.
• Associés commerciaux
  • Outre les entités couvertes, d'autres associés commerciaux utilisateurs de données IMP auront la certitude que vos services protégeront toutes les données. Avec la progression du Cloud dans le secteur des soins de santé, des solutions tierces pourront se commercialiser en tant qu'associés commerciaux.
• Technologies médicales et dispositifs portables
  • Alors que la loi HIPAA n'exige pas encore la mise en conformité des dispositifs médicaux portables connectés, la tendance au partage des données médicales personnelles collectées par les dispositifs portables et les applis commence à remettre en cause les limites définies entre ce qui doit être conforme et ce qui n'a pas besoin d'être conforme à la loi HIPAA.

Les entreprises peuvent donc configurer Auth0 en tant que service d'identité et d'authentification, parmi d’autres éléments nécessaires à leur conformité HIPAA.