Voici une liste de contrôle en 6 étapes que les entreprises SaaS doivent suivre pour se conformer à la loi HIPAA :
1- Protégez les bons types de données patient
La première étape pour mettre en place des mesures de sécurité et de confidentialité appropriées consiste à connaître les types de données des patients qui doivent être protégées.
Pour savoir si vous protégez le bon type de données, vous devez comprendre ce qui constitue les PHI. La règle de confidentialité HIPAA définit les PHI comme des « informations de santé identifiables individuellement » stockées ou transmises par une entité couverte ou ses associés commerciaux. Les données des patients à protéger comprennent généralement, mais sans s’y limiter :
- Des noms
- Dates liées à la naissance et au décès
- Numéros de dossier médical
- Photographies et autres images
- Empreintes
- Autres formes d’identification unique
2- Mettre en place des garanties
Les PHI ou ePHI nécessitent un stockage sécurisé et ne peuvent pas être conservés n’importe où. Des garanties sont nécessaires pour protéger les données des patients, telles que l’utilisation du cryptage, de l’authentification multifacteur, du contrôle d’accès, etc. Cela inclut :
- Sauvegardes techniques – Tous les matériels, logiciels et autres unités technologiques doivent être protégés.
- Mesures de protection physiques – L’accès aux installations physiques qui stockent les RPS doit être contrôlé.
- Mesures de protection administratives – Les processus de gestion de la sécurité doivent être documentés et les risques pour les RPS doivent être analysés.
Des politiques et des procédures doivent être établies pour les incidents de sécurité.
3- Effectuer des évaluations périodiques des risques
Cela implique d’identifier les risques potentiels et les vulnérabilités des données des patients dans votre application SaaS et d’évaluer l’impact.
L’analyse des risques doit être un processus continu même après avoir atteint la conformité HIPAA. Toutes les politiques administratives et technologiques doivent être couvertes par vos audits et toute lacune ou faiblesse identifiée doit être corrigée rapidement.
Des inspections périodiques et des corrections basées sur celles-ci sont le seul moyen de maintenir la conformité.
4- Avoir des accords d’associés en place
La majorité des entreprises SaaS sont classées en tant qu’associés commerciaux en vertu des réglementations HIPAA. Vous devrez vous assurer de signer des accords de partenariat commercial (BAA) avec vos clients et sous-traitants qui ont accès à ePHI.
Un BAA décrit les responsabilités des deux parties dans la sauvegarde des ePHI et les considérations suivantes sont particulièrement pertinentes :
- Identifiez toutes les parties qui traitent les ePHI
- Précisez les services fournis
- Définir les obligations de sécurité
- Définir les procédures de notification des violations
- Conditions de résiliation et retour et destruction des ePHI
5- Prévenir les violations potentielles de la loi HIPAA
Les violations de la loi HIPAA peuvent se produire de différentes manières. Les violations internes sont le type d’infraction le plus fréquent, et non les violations de données ou les piratages par des tiers.
La plupart des infractions aux règles de confidentialité sont le résultat d’une négligence ou d’une adhésion partielle. Les membres du personnel doivent être formés sur les règles HIPAA et les politiques et procédures de sécurité.
Cela permet d’éviter les divulgations involontaires de PHI et empêche ainsi les violations. Prenez des mesures de base telles que la reconnaissance des violations courantes, et comprenez, anticipez et préparez-vous aux violations.
6- Maintenir une documentation appropriée et rester à jour sur les changements HIPAA
Compiler tous les documents liés à la loi HIPAA et être ouvert sur vos politiques est une pratique essentielle. En général, vous devez conserver des enregistrements de tout ce qui concerne les RPS. Les dossiers contenant des PHI ou les lignes directrices pour exposer les PHI doivent être conservés pendant au moins six ans.
- Les dossiers doivent généralement comprendre :
- Les politiques et les procédures
- Copies de toutes les communications au sein de l’organisation
- Toute tâche, décision ou titre nécessitant la tenue de registres écrits ou électroniques
Les politiques et les procédures doivent être revues et mises à jour au besoin pour maintenir la conformité aux modifications des réglementations HIPAA. Même si vous avez atteint la conformité HIPAA à l’heure actuelle, il est impératif de surveiller les nouvelles mises à jour et de vous assurer de vous conformer lorsqu’elles arrivent.
Assurer la conformité avec HIPAA ne doit pas être un énorme casse-tête ou une dépense pour votre organisation. OrdiWeb aide les entreprises SaaS de soins de santé dans leur parcours HIPAA avec des rapports de test de pénétration conformes à HIPAA.
