Health Insurance Portability and Accountability Act

Guide de conformité HIPAA

Le Health Insurance Portability and Accountability Act (HIPAA) établit des normes nationales pour la protection des informations de santé protégées. Que vous soyez une entité couverte, un partenaire commercial ou un sous-traitant, nous vous aidons à mettre en oeuvre les exigences de la règle de confidentialité, de la règle de sécurité et de notification de violation avec des processus clairs et une documentation prête pour l'audit.

Commencer l'évaluation HIPAA Réserver une consultation conformité

Qu'est-ce que HIPAA ?

Le Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi fédérale qui a établi des normes nationales pour protéger les informations de santé sensibles des patients contre la divulgation sans le consentement ou la connaissance du patient.

Appliquée par : Le département américain de la Santé et des Services sociaux (HHS) Office for Civil Rights (OCR). HIPAA s'applique aux entités couvertes (prestataires de soins, régimes de santé, centres d'échange), aux partenaires commerciaux et à leurs sous-traitants.

Règle de confidentialité

Contrôle l'utilisation et la divulgation des PHI

Règle de sécurité

Protège les PHI électroniques (ePHI)

Complète la certification SOC 2 et ISO 27001 pour la sécurité des informations de santé.

Qui doit se conformer ?

Entités couvertes

Prestataires de soins, régimes de santé, centres d'échange de données de santé qui transmettent des informations de santé électroniquement

Partenaires commerciaux

Tiers qui créent, reçoivent, conservent ou transmettent des PHI pour le compte d'entités couvertes

Sous-traitants

Entités qui créent, reçoivent, conservent ou transmettent des PHI pour le compte de partenaires commerciaux

Prestataires de soins

Hôpitaux, cliniques, médecins, dentistes, pharmacies, maisons de retraite, agences de soins à domicile

Régimes de santé

Compagnies d'assurance maladie, HMO, régimes de santé employeur, programmes de santé gouvernementaux

Fournisseurs de technologies de santé

Fournisseurs de DME, stockage cloud, analyse de données, services de facturation, support informatique, consultants

Comment VerifyWise soutient la conformité HIPAA

Des capacités concrètes qui répondent aux exigences de la règle de confidentialité, de la règle de sécurité et de notification de violation

Inventaire des PHI et cartographie des données

Identifiez et documentez tous les systèmes qui créent, reçoivent, conservent ou transmettent des informations de santé protégées. La plateforme maintient une cartographie complète des flux de PHI requise pour la conformité à la règle de confidentialité et la planification de la réponse aux violations.

Couvre : Règle de confidentialité : identification des PHI, minimum nécessaire, documentation des flux

Mise en oeuvre des mesures de protection

Suivez la mise en oeuvre des mesures administratives, physiques et techniques requises par la règle de sécurité. La plateforme documente les contrôles de sécurité, les contrôles d'accès, les mesures de chiffrement et la journalisation des audits dans votre infrastructure PHI.

Couvre : Règle de sécurité : contrôles d'accès, chiffrement, contrôles d'audit, contrôles d'intégrité

Évaluation et analyse des risques

Réalisez des évaluations des risques alignées sur HIPAA identifiant les menaces et vulnérabilités pour la confidentialité, l'intégrité et la disponibilité des PHI. La plateforme génère la documentation des risques et suit les remédiations requises par la règle de sécurité.

Couvre : Règle de sécurité : analyse des risques, gestion des risques, processus de gestion de la sécurité

Gestion des politiques et procédures

Maintenez les politiques, procédures et documentation HIPAA requises avec contrôle de version et flux d'approbation. La plateforme garantit que les politiques couvrent toutes les exigences des règles de confidentialité et de sécurité avec des cycles de révision appropriés.

Couvre : Règles de confidentialité et sécurité : politiques, procédures, documentation, formation du personnel

Notification de violation et réponse aux incidents

Gérez les enquêtes de violation HIPAA avec des flux structurés respectant le délai de 60 jours de la règle de notification de violation. La plateforme suit la découverte de violation, l'évaluation des dommages, les obligations de notification et le signalement à l'OCR.

Couvre : Règle de notification de violation : découverte, évaluation, notification, documentation

Gestion des partenaires commerciaux

Suivez tous les partenaires commerciaux et sous-traitants avec le statut des BAA, les évaluations des risques et la surveillance continue. La plateforme maintient la supervision des tiers requise par les règles de confidentialité et de sécurité.

Couvre : Règles de confidentialité et sécurité : suivi des BAA, risque fournisseur, gestion des sous-traitants

Toutes les activités liées aux PHI sont suivies avec des horodatages, des responsables assignés et des flux d'approbation. Cette piste d'audit démontre une conformité systématique et soutient les enquêtes ou audits de l'OCR.

Couverture complète des exigences HIPAA

VerifyWise fournit des outils dédiés pour toutes les exigences des règles HIPAA

Exigences HIPAA

Exigences avec outils dédiés

100%

Couverture de toutes les règles

Règle de confidentialité8/8

Utilisation des PHI, divulgation, droits, minimum nécessaire

Règle de sécurité18/18

Mesures administratives, physiques, techniques

Notification de violation4/4

Découverte, notification, documentation, atténuation

Application4/4

Enquêtes, sanctions, conformité, audits

Conçu pour la conformité de santé dès le départ

Prêt pour l'audit OCR

Dossiers de preuves pour les enquêtes et examens de conformité de l'OCR

Suivi de violation sous 60 jours

Flux de notification de violation automatisés respectant les délais de l'OCR

Gestion des BAA

Suivez les partenaires commerciaux et sous-traitants avec le statut des BAA

IA dans la santé

Combinez HIPAA avec les cadres de gouvernance de l'IA pour les systèmes d'IA clinique

Règles clés de HIPAA

Comprendre les composantes majeures de la conformité HIPAA

Règle de confidentialité

Contrôle l'utilisation et la divulgation des informations de santé protégées et établit les droits individuels.

Norme du minimum nécessaire pour l'utilisation des PHI
Droits individuels (accès, modification, comptabilisation)
Avis de pratiques de confidentialité
Responsable de la confidentialité désigné
Formation et sanctions du personnel

Règle de sécurité

Établit des normes nationales pour protéger les informations de santé protégées électroniques (ePHI).

Mesures administratives (9 normes)
Mesures physiques (4 normes)
Mesures techniques (5 normes)
Exigences organisationnelles
Documentation des politiques et procédures

Règle de notification de violation

Exige la notification aux individus, au HHS et, dans certains cas, aux médias lorsque des PHI sont violées.

Découverte et évaluation de la violation
Notification individuelle (60 jours)
Notification au HHS (annuelle ou immédiate)
Notification aux médias (500+ individus)
Documentation et atténuation

Règle d'application

Établit les procédures d'enquêtes, d'audiences et d'imposition de sanctions pécuniaires civiles.

Enquêtes de conformité de l'OCR
Niveaux de sanctions pécuniaires civiles
Renvois en poursuites pénales
Plans d'action corrective
Accords de résolution

Règle Omnibus

A renforcé HIPAA avec la responsabilité des partenaires commerciaux, l'extension de la notification de violation et la mise en oeuvre de la loi HITECH.

Responsabilité directe des partenaires commerciaux
Exigences de BAA pour les sous-traitants
Application renforcée
Droits individuels élargis
Protections des informations génétiques

Détail des mesures de la règle de sécurité

Mesures administratives, physiques et techniques requises pour la protection des ePHI

Mesures administratives

Politiques, procédures et processus documentés pour gérer la sécurité des PHI

Processus de gestion de la sécurité

Analyse des risques, gestion des risques, politique de sanctions, examen de l'activité du système d'information

Responsabilité de sécurité attribuée

Responsable de sécurité désigné pour la sécurité HIPAA

Sécurité du personnel

Procédures d'autorisation, de supervision, d'habilitation, de cessation d'emploi

Gestion des accès à l'information

Autorisation d'accès, établissement d'accès, modification d'accès

Sensibilisation et formation à la sécurité

Rappels de sécurité, protection contre les logiciels malveillants, surveillance des connexions, gestion des mots de passe

Procédures d'incidents de sécurité

Réponse et signalement des incidents de sécurité

Plan de contingence

Sauvegarde des données, reprise après sinistre, mode d'urgence, tests, criticité des applications et données

Évaluation

Évaluation technique et non technique périodique des mesures de sécurité

Contrats avec les partenaires commerciaux

Contrats écrits avec assurances satisfaisantes concernant la protection des PHI

Mesures physiques

Mesures physiques pour protéger les systèmes d'information électroniques et les bâtiments

Contrôles d'accès aux installations

Opérations de contingence, plan de sécurité des installations, contrôle et validation d'accès, registres de maintenance

Utilisation des postes de travail

Politiques et procédures pour les fonctions et la sécurité des postes de travail

Sécurité des postes de travail

Mesures physiques pour restreindre l'accès aux postes de travail aux utilisateurs autorisés

Contrôles des appareils et supports

Élimination, réutilisation des supports, responsabilité, sauvegarde et stockage des données

Mesures techniques

Technologies et politiques pour protéger les ePHI et contrôler l'accès

Contrôle d'accès

Identification unique des utilisateurs, accès d'urgence, déconnexion automatique, chiffrement et déchiffrement

Contrôles d'audit

Mécanismes matériels, logiciels et procéduraux pour enregistrer et examiner l'accès aux ePHI

Intégrité

Politiques pour garantir que les ePHI ne sont pas modifiées ou détruites de manière inappropriée

Authentification de la personne ou de l'entité

Procédures pour vérifier la personne ou l'entité demandant l'accès aux ePHI

Sécurité de la transmission

Contrôles d'intégrité et chiffrement pour la transmission des ePHI sur les réseaux

Feuille de route de mise en oeuvre sur 24 semaines

Un parcours pratique vers la conformité HIPAA avec des jalons clairs

Phase 1Semaines 1-4

Fondation et analyse des écarts

Désigner les responsables confidentialité et sécurité
Réaliser l'évaluation initiale des écarts HIPAA
Créer l'inventaire des PHI et les cartographies de flux
Examiner les politiques et procédures existantes

Phase 2Semaines 5-10

Évaluation des risques et planification

Compléter l'analyse complète des risques
Identifier les menaces et vulnérabilités pour les ePHI
Prioriser les activités de remédiation
Élaborer le plan de gestion de la sécurité

Phase 3Semaines 11-20

Mise en oeuvre des mesures de protection

Mettre en oeuvre les mesures administratives
Déployer les contrôles de sécurité physique
Configurer les mesures techniques
Établir les accords de partenariat commercial

Phase 4Semaines 21-24

Formation et validation

Réaliser la formation confidentialité et sécurité du personnel
Tester les procédures de réponse aux incidents
Valider les contrôles techniques
Documenter les preuves de conformité

Sanctions et application de HIPAA

Comprendre les conséquences financières et pénales de la non-conformité

Niveaux de sanctions pécuniaires civiles

Niveau 1Par violation

Ne savait pas (et en faisant preuve de diligence raisonnable n'aurait pas su)

Fourchette

100 $ - 50 000 $

Max annuel

25 000 $

Niveau 2Par violation

Cause raisonnable (violation due à des circonstances hors de tout contrôle raisonnable)

Fourchette

1 000 $ - 50 000 $

Max annuel

100 000 $

Niveau 3Par violation

Négligence volontaire (mais corrigée dans les 30 jours)

Fourchette

10 000 $ - 50 000 $

Max annuel

250 000 $

Niveau 4Par violation

Négligence volontaire (non corrigée dans les 30 jours)

Fourchette

50 000 $ - 50 000 $

Max annuel

1 500 000 $

Sanctions pénales

Niveau 1 pénal

Obtention ou divulgation sciemment de PHI

Jusqu'à 50 000 $ et jusqu'à 1 an d'emprisonnement

Niveau 2 pénal

Obtention de PHI sous de faux prétextes

Jusqu'à 100 000 $ et jusqu'à 5 ans d'emprisonnement

Niveau 3 pénal

Obtention ou divulgation de PHI avec l'intention de vendre, transférer ou utiliser à des fins commerciales, de gain personnel ou de nuisance

Jusqu'à 250 000 $ et jusqu'à 10 ans d'emprisonnement

Note : Les sanctions sont évaluées par violation. Des violations multiples peuvent entraîner des sanctions dépassant les maximums annuels. Le ministère de la Justice gère les poursuites pénales pour les violations HIPAA.

Modèles de politiques

Bibliothèque de modèles de politiques HIPAA

Accédez à des modèles de politiques HIPAA prêts à l'emploi couvrant les exigences de la règle de confidentialité, de la règle de sécurité et de notification de violation

Politiques de la règle de confidentialité

• Avis de pratiques de confidentialité
• Politique du minimum nécessaire
• Politique des droits individuels
• Désignation du responsable de la confidentialité
• Utilisation et divulgation des PHI
• Comptabilisation des divulgations
• Processus de demande de modification

Politiques de la règle de sécurité

• Processus de gestion de la sécurité
• Politique de contrôle d'accès
• Politique de contrôles d'audit
• Chiffrement et déchiffrement
• Plan de réponse aux incidents
• Plan de contingence
• Politique de sécurité du personnel

Violation et conformité

• Politique de notification de violation
• Évaluation des risques de violation
• Accord de partenariat commercial
• Politique de sanctions
• Formation et sensibilisation
• Surveillance de la conformité
• Politique d'évaluation des risques

Parcourir tous les modèles de politiques

Questions fréquemment posées

Questions courantes sur la conformité HIPAA

HIPAA est appliquée par l'Office for Civil Rights (OCR) au sein du département américain de la Santé et des Services sociaux (HHS). L'OCR mène des examens de conformité, enquête sur les plaintes, effectue des audits et impose des sanctions pécuniaires civiles pour les violations. L'application pénale est gérée par le ministère de la Justice (DOJ). Consultez le site officiel HHS HIPAA pour les directives d'application.

Les PHI sont des informations de santé identifiables individuellement détenues ou transmises par une entité couverte ou un partenaire commercial sous toute forme (électronique, papier, orale). Elles comprennent 18 identifiants tels que les noms, dates, coordonnées, numéros de dossier médical, numéros de régime de santé et identifiants biométriques lorsqu'ils sont liés à des informations de santé. Les PHI électroniques (ePHI) sont soumises à des exigences supplémentaires de la règle de sécurité.

Les entités couvertes sont les prestataires de soins, les régimes de santé et les centres d'échange de données de santé qui gèrent directement les PHI. Les partenaires commerciaux sont des tiers qui effectuent des services impliquant des PHI pour le compte d'entités couvertes (fournisseurs de DME, sociétés de facturation, consultants). Depuis la règle Omnibus (2013), les partenaires commerciaux ont une responsabilité HIPAA directe et doivent se conformer à la règle de sécurité et à la règle de notification de violation.

Oui, les entités couvertes doivent avoir un BAA signé avec chaque partenaire commercial avant de partager des PHI. Les partenaires commerciaux doivent avoir des BAA avec leurs sous-traitants. Le BAA doit inclure des dispositions spécifiques requises concernant la protection des PHI, la notification de violation, le retour ou la destruction des PHI et la responsabilité. Aucune PHI ne peut être partagée sans un BAA conforme en place.

Une violation est l'acquisition, l'accès, l'utilisation ou la divulgation de PHI qui compromet la sécurité ou la confidentialité de l'information. Vous devez effectuer une évaluation des risques en utilisant le test à 4 facteurs. Si la violation n'est pas exclue et que l'évaluation des risques montre plus qu'une faible probabilité de compromission, la notification est requise dans les 60 jours aux personnes concernées, au HHS et potentiellement aux médias (pour 500+ individus).

Les sanctions civiles vont de 100 $ à 50 000 $ par violation selon le niveau de culpabilité, avec des maximums annuels de 25 000 $ à 1,5 million de dollars par type de violation. Niveau 1 (sans connaissance) : 100 $-50 000 $ par violation, max annuel 25 000 $. Niveau 2 (cause raisonnable) : 1 000 $-50 000 $, max 100 000 $. Niveau 3 (négligence volontaire, corrigée) : 10 000 $-50 000 $, max 250 000 $. Niveau 4 (négligence volontaire, non corrigée) : 50 000 $ par violation, max 1,5 M$. Les sanctions pénales peuvent atteindre 250 000 $ et 10 ans d'emprisonnement.

Un programme de conformité HIPAA typique prend 6 à 9 mois à mettre en oeuvre selon la taille de l'organisation, l'infrastructure existante et la complexité de la gestion des PHI. Les petites pratiques peuvent avancer plus rapidement avec une portée ciblée, tandis que les grands systèmes de santé nécessitent une mise en oeuvre plus étendue. La règle de sécurité exige des évaluations annuelles des risques et une surveillance continue.

La règle de sécurité exige une analyse complète des risques identifiant les menaces et vulnérabilités pour la confidentialité, l'intégrité et la disponibilité des ePHI. Cela doit être documenté et inclure l'évaluation de : où les ePHI sont stockées, créées, reçues, transmises ; les menaces potentielles (humaines, naturelles, environnementales) ; les mesures de sécurité actuelles ; la probabilité et l'impact des menaces ; les niveaux de risque et les priorités de remédiation. L'analyse des risques doit être révisée et mise à jour régulièrement.

Le chiffrement est adressable (non requis) en vertu de la règle de sécurité, mais fortement recommandé comme mesure de protection. Si les PHI sont chiffrées à l'aide d'algorithmes validés par le NIST et d'une gestion appropriée des clés, une violation de ces données ne nécessite pas de notification. Vous devez documenter pourquoi vous avez choisi de mettre en oeuvre ou non le chiffrement, et si vous ne chiffrez pas, quelles mesures alternatives équivalentes sont en place.

Les fournisseurs de services cloud et les fournisseurs SaaS qui stockent, traitent ou transmettent des ePHI sont des partenaires commerciaux et doivent signer un BAA. L'entité couverte reste responsable de s'assurer que le fournisseur dispose de mesures de protection appropriées. Les fournisseurs doivent se conformer aux mesures administratives, physiques et techniques de la règle de sécurité. Examinez les pratiques de sécurité, les certifications (HITRUST, SOC 2) et les capacités de réponse aux incidents du fournisseur avant de s'engager.

HIPAA exige la formation du personnel sur les politiques de confidentialité et de sécurité, mais ne précise pas la fréquence ni le format. La meilleure pratique est une formation annuelle pour tous les membres du personnel (employés, bénévoles, stagiaires, contractuels) avec une formation supplémentaire pour ceux ayant un accès élevé aux PHI. La formation doit couvrir : les règles de confidentialité et de sécurité, la notification de violation, les sanctions, les droits individuels, le minimum nécessaire, les exigences des partenaires commerciaux. Documentez toutes les formations avec les registres de présence et le contenu.

HIPAA établit un plancher fédéral pour la protection des informations de santé. Les lois étatiques peuvent être plus strictes. Lorsque la loi étatique offre des protections de la vie privée ou des droits individuels supérieurs, c'est la loi étatique qui s'applique. Les organisations doivent se conformer à la fois à HIPAA et aux lois étatiques applicables en matière de vie privée de la santé. Certains États ont des délais ou exigences supplémentaires de notification de violation. Contrairement à SOC 2, qui est volontaire, la conformité HIPAA est obligatoire pour les entités couvertes.

Oui, VerifyWise fournit des flux de travail spécifiques à HIPAA pour les évaluations des risques, l'inventaire des PHI, le suivi de la mise en oeuvre des mesures de protection, la gestion des notifications de violation et la documentation des politiques. Notre plateforme associe les contrôles aux exigences de la règle de confidentialité, de la règle de sécurité et de la règle de notification de violation. Nous fournissons également des correspondances avec SOC 2, ISO 27001 et NIST AI RMF pour les organisations mettant en oeuvre plusieurs cadres.

Prêt à atteindre la conformité HIPAA ?

Commencez votre parcours de conformité avec notre évaluation HIPAA guidée et nos outils de mise en oeuvre conçus pour les organisations de santé.

Commencer l'évaluation HIPAA Planifier une consultation