S'assurer que votre MedTech est conforme à l'HIPAA : Ce qu'il faut savoir

Kayla Matthews, rédactrice technique indépendante, explique comment s'assurer que votre produit médico-technique est conforme à la législation européenne. Conformité HIPAAt. 

Rendering competent and high-quality aid to those in need is the top priority in the soins de santé sector. These days, data security and integrity comes in at a very close second.  La sécurité des informations de santé protégées (PHI) des patients est la raison même de la création de l'HIPAA (Health Information and Portability and Accountability Act), qui a fait l'objet de plusieurs mises à jour depuis que la technologie et les attentes en matière de sécurité ont évolué.

L'un de ces changements, connu sous le nom de HITECH Act de 2009, a renforcé l'HIPAA en supprimant les failles exploitables pour les organisations de soins de santé et en créant des incitations pour que la communauté des soins de santé passe aux dossiers de santé électroniques (DSE). Les soins de santé modernes - y compris les dossiers historiques et récents des patients - doivent être mobiles, sécurisés et capables de suivre les patients entre les médecins et les établissements.

Travailler dans le secteur des soins de santé implique de faire preuve de diligence raisonnable et d'établir une culture qui respecte l'HIPAA ainsi que la souveraineté et l'importance des données exactes des patients. Les attentes sont devenues plus strictes au fil des ans, la communauté médicale ayant trouvé de nouveaux moyens de collecter et de mettre à profit les données des patients.

Découvrez ce qu'il faut faire pour que la technologie médicale - medtech - reste conforme aux exigences en constante évolution de l'HIPAA.

Pourquoi la conformité HIPAA est-elle essentielle dans le secteur des technologies médicales ?

La conformité à l'HIPAA n'est pas facultative pour les prestataires de services médicaux, connus sous le nom d'entités couvertes. Les données de santé ayant pris une place centrale dans les environnements de soins de toutes sortes, les entités ont dû réévaluer les techniques qu'elles utilisent pour capturer, stocker, transmettre et communiquer les dossiers des patients.

Financial concerns are the first and probably most significant worry for soins de santé providers. In 2018, Fresenius Medical Care North America was a été condamné à une amende de $3,5 millions d'euros par l'Office for Civil Rights et le Department of Health and Human Services. FMCNA a accepté les conditions, y compris l'obligation d'établir un plan d'action complet pour corriger les multiples violations de l'HIPAA.

Les pertes financières expliquent en grande partie pourquoi les organismes de soins de santé doivent veiller au strict respect des exigences de l'HIPAA. Les réputations compromises en sont une autre. 

FMCNA fournit des produits et des services à 170 000 patients et emploie plus de 60 000 personnes sur de multiples sites et types d'installations. Une amende de ce type entraîne presque invariablement une perte de confiance et une perte d'activité.

Maintenant que nous savons pourquoi cela est essentiel pour les entités de soins de santé, pourquoi les technologies médicales et l'HIPAA sont-elles vitales pour les patients ?

Pour commencer, les informations de santé protégées sont certaines des données les plus précieuses sur le marché noir aujourd'hui - plus que les données financières, notamment les numéros de cartes de crédit. Les violations de RPS peuvent être plus longues à détecter que la perte de données financières, mais elles ne sont pas moins utiles aux cybercriminels.

Avec les RPS, les pirates peuvent commander des appareils médicaux et des ordonnances sous le nom de quelqu'un d'autre, commettre des fraudes à l'assurance et réaliser un certain nombre d'autres crimes qui peuvent causer un préjudice considérable aux patients et aux établissements de soins.

Considérez certaines des exigences spécifiques auxquelles les organisations de soins de santé doivent se conformer lorsqu'elles adoptent des technologies médicales et cherchent de nouvelles façons d'améliorer les résultats pour les patients.

1. Les sauvegardes de données doivent être complètes et cryptées

En vertu de l'HIPAA, les organismes de soins de santé doivent rester cohérents quant à la manière, la fréquence et la durée de sauvegarde des données des patients. Ces exigences relèvent de deux catégories : le plan de sauvegarde des données de l'organisme de soins de santé et la période de conservation requise.

L'HIPAA exige que les organismes de soins de santé conservent des sauvegardes complètes, récupérables et cryptées de tous les dossiers médicaux électroniques des patients. Les détails supplémentaires incluent : 

• Cryptage: Les données au repos doivent être cryptées à l'aide d'un chiffrement AES 256 bits.
• Redondance: Au moins deux ou trois lieux de stockage distincts.
• Données en transit: Les données transférées via les réseaux publics doivent être cryptées en AES 256 bits.
• Surveillance: Les organisations doivent surveiller les sauvegardes de données et les plans de sauvegarde pour détecter les erreurs et les échecs de sauvegarde.

En outre, les dépôts de données physiques - comme les salles de serveurs - doivent être dotés de solides contrôles d'accès afin de garantir que seul le personnel qualifié et autorisé puisse y pénétrer.

En ce qui concerne les périodes de conservation, les choses se compliquent légèrement. Les États ont leurs propres lois concernant la durée pendant laquelle les prestataires doivent conserver les dossiers médicaux. En Floride, c'est cinq ans après le dernier contact avec le patient. Cependant, l'HIPAA exige que les organismes de soins de santé conservent pendant six ans les documents liés à l'HIPAA, notamment :

• Autorisations de divulgation des RPS
• Journaux de mise à jour et d'enregistrement des PHI
• Dossiers d'analyse et d'évaluation des risques
• Documentation concernant les notifications de violation
• Examens de sécurité et modifications ou audits de systèmes 
• Avis sur les pratiques de l'organisation en matière de protection de la vie privée

Les prestataires de soins de santé gérés par Medicare et Medicaid ont d'autres exigences, notamment celle de conserver les rapports de coûts pendant cinq et dix ans, respectivement.

2. Les canaux de communication doivent être sécurisés

Maintien des soins médicaux conformité sous HIPAA s'étend également aux méthodes de communication utilisées par les entités couvertes. Les canaux de communication modernes, tels que le téléphone, l'e-mail, le fax et les messages texte, sont tous un peu différents lorsqu'il s'agit d'être conforme à l'HIPAA médicale.

L'HIPAA n'interdit pas l'utilisation de la messagerie textuelle pour la transmission de RPS. Si l'entité couverte a informé le patient des risques et que celui-ci a donné son consentement, les prestataires de soins de santé peuvent envoyer des RPS par SMS à cette personne et à aucune autre partie. L'HIPAA exige des contrôles d'audit pour la création et la transmission des RPS, mais cela est difficile étant donné le nombre d'outils de communication et de systèmes d'exploitation utilisés.

Dans la plupart des situations, il est préférable d'utiliser d'autres méthodes. Quel que soit l'outil de communication utilisé, les entités couvertes doivent tenir compte des éléments suivants :

• Contrôles d'accès stricts pour les appareils qui envoient et reçoivent les textes.
• Le cryptage de bout en bout - une préoccupation à prendre en compte dans le cadre de l'HIPAA
• Prévention des pertes pour les appareils facilement égarés ou volés

Le fax fait partie depuis longtemps de la communauté médicale. En fait, quelque chose comme 75% de toute communication dans le secteur des soins de santé aux États-Unis se fait par télécopie. Les systèmes de télécopie électronique basés sur le cloud fournissent l'écosystème structuré, sécurisé et crypté nécessaire pour échanger ce type d'informations en toute sécurité entre les parties.

À la différence des systèmes de télécopie traditionnels, où tous les documents restent sur place et risquent d'être volés, les télécopies électroniques assurer la sécurité de l'accès et l'auditabilité pour les entités couvertes. Les systèmes de télécopie électronique stockent toutes les informations de communication - y compris les messages eux-mêmes, ainsi que toutes les données historiques qui les accompagnent - hors site, dans un emplacement secondaire sécurisé du fournisseur.

Les entités couvertes doivent garder à l'esprit plusieurs protections essentielles lors de la communication des dossiers, notamment :

• Mots de passe forts ou authentification biométrique 
• Cryptage sur l'appareil, conforme aux normes de l'industrie.
• Des plans complets pour retirer les renseignements médicaux personnels des appareils avant de les mettre hors service.
• Protection physique et numérique des réseaux Wi-Fi et des infrastructures informatiques
• Mises à jour des micrologiciels et des logiciels pour tous les types d'appareils, dès qu'elles sont disponibles.

3. Les entités de soins de santé doivent effectuer des analyses de risque exhaustives

L'absence d'analyse des risques à l'échelle de l'organisation est l'une des principales raisons pour lesquelles les organismes de santé se voient infliger des amendes pour violation de l'HIPAA. Les entités couvertes doivent effectuer des analyses de risques régulièrement, notamment à chaque fois que leur infrastructure numérique change. Cancer Care Group, Lahey Hospital & Medical Center, Cardionet et Oregon Health & Science University ont tous été condamnés à des amendes. entre $750.000 et $2,7 millions pour des oublis de cette nature.

Le site methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:

• Définir comment les PHI circulent dans l'organisation: Comment les RPS entrent-ils dans le système ? Où sont-elles stockées ? Comment en sortent-ils ? Y a-t-il des endroits potentiels pour des fuites ?
• Tenir compte de l'ensemble du cycle de vie des PHI: Quels sont les tiers qui entrent en contact avec les PHI ? D'autres partenaires commerciaux ? Les entreprises de recyclage ou de déchiquetage ? Services de réparation ou de gestion des ordinateurs ?
• Connaître vos vulnérabilités spécifiques: Aucune organisation de soins de santé ne se ressemble exactement. Les faiblesses peuvent être dues à une négligence interne, à une formation incomplète des employés sur la prévention du phishing, à des mots de passe de mauvaise qualité, à des menaces physiques pesant sur les lieux de stockage des données (pannes de courant, conditions météorologiques extrêmes, cyberattaques délibérées, etc.
• Classer les menaces par ordre de priorité en fonction de leur probabilité et de leur impact.: Toutes les vulnérabilités organisationnelles doivent recevoir un niveau de menace faible, moyen ou élevé afin de garantir que les équipes allouent les fonds de manière appropriée, et que l'entreprise puisse examiner en détail les lacunes en matière de formation, d'embauche ou de procédures qui entraînent une perte de données.

Pour un examen plus détaillé des exigences en matière d'analyse des risques en vertu de l'HIPAA, le gouvernement a une feuille de travail disponible pour les organismes de soins de santé qui veulent s'assurer qu'ils n'ont rien oublié. La feuille de travail est régulièrement révisée en fonction de l'évolution du secteur et des technologies.

Des prestataires de services médicaux conformes pour un avenir plus sain

Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.

L'HIPAA et ses modifications au fil des ans nous rappellent à quel point les données relatives à la santé peuvent être précieuses, tant pour les patients que pour les voleurs de données potentiels.

Besoin d'aide avec Conformité HIPAA ou développer un produit medtech ? Consultez les experts freelance sur Kolabtree. Il est gratuit de publier votre projet et d'obtenir des devis.