La loi HIPAA a été promulguée en 1996 afin de fournir des dispositions en matière de confidentialité et de sécurité des données pour la protection des informations médicales. En 2017, 86 % des médecins exerçant en cabinet avaient numérisé les dossiers médicaux de leurs patients. Afin de fournir un cadre normatif pour la confidentialité, l’intégrité et la sécurité de ces dossiers, le département américain de la santé et des services sociaux (U.S. Department of Health and Human Services, HHS) a publié la réglementation de sécurité HIPAA. Le respect de cette réglementation est largement considéré comme une pratique exemplaire en ce qui concerne la sécurisation des données de santé protégées au format électronique (ePHI).
Qu’est-ce que la réglementation de sécurité HIPAA ?
La réglementation de sécurité HIPAA établit des normes nationales pour la protection des données de santé personnelles des individus au format électronique qui sont créées, reçues, utilisées ou gérées par une entité couverte. La réglementation de sécurité exige des protections administratives, physiques et techniques appropriées pour assurer la confidentialité, l’intégrité et la sécurité des ePHI.
What if your organization doesn’t comply with HIPAA?
Le coût total de la non-conformité peut atteindre des millions de dollars. Mais le non-respect des exigences de sécurité prévues par la loi HIPAA peut également entraîner des violations de données de santé qui dépassent la simple perte financière.
Comment SailPoint peut-il vous aider à vous conformer à la loi HIPAA ?
Notre plateforme ouverte de gouvernance des identités dans le cloud vous permet de voir et de contrôler l’accès à toutes vos applications et données pour chaque utilisateur.
Who does the HIPAA Security Rule apply to?
HIPAA security rule covers both individuals and organizations. These are often called HIPAA-covered entities. HIPAA covered entities include health insurance companies, HMOs, employer sponsored health plans, government healthcare programs, clearinghouses, and healthcare providers.
HIPAA even extends to business associates who work with covered entities. Examples of business associates include accountants, data analysts, consultants, bill collectors and more.
À quels domaines clés de la loi HIPAA la gouvernance des identités répond-elle ?
Protection de l’intégrité des ePHI
Identifiez et analysez les risques potentiels relatifs aux ePHI et mettez en œuvre des politiques de gouvernance, de gestion des risques, et de conformité pour diminuer les vulnérabilités.
Gestion des accès aux informations/contrôle d’accès
Sachez qui a accès à quelles applications et à quelles données, et comment cet accès est utilisé.
Journaux d’activité et contrôles d’audit
| Réduisez les coûts de mise en conformité en générant automatiquement des pistes d’audit et des rapports d’accès sur toutes les applications et données clés. |
Évaluation
Évaluez régulièrement les politiques et procédures de sécurité.
En savoir plus sur
les sujets liés à la gestion des identités
How identity governance helps ensure HIPAA compliance
- En employant l’intelligence artificielle/l’analyse prédictive pour surveiller et identifier les comportements d’accès inhabituels.
- En appliquant constamment les politiques d’accès et en soumettant les applications contenant des ePHI à des contrôles.
- En localisant et en sécurisant les ePHI structurées ou non structurées, quel que soit leur lieu de stockage.
- En effectuant des examens périodiques automatisés des droits d’accès des utilisateurs.
Steps to implement data governance
Having a strong governance policy for your healthcare data is extremely important. The healthcare industry deals with an immense amount of personal health information, and without a way to govern who has access, how they got access and the various risks that presents, it’s hard to manage and protect the data.
A data governance solution helps healthcare organizations securely share data, grant user permissions, and manage health data throughout the patient lifecycle.
Follow these steps to implement a data governance policy that works for your healthcare organization.
1. Identify all your data
The first step to any data governance system is performing an audit of sensitive data, in particular, PHI and ePHI. You’ll want to create a data hierarchy to understand the sensitivity of the data, its current permission levels, and the level of risk it would present if compromised.
It’s especially important to understand permission levels in order to create a least privilege approach to data governance. This is the idea of limiting user access to only what’s needed for their job function. This is particularly important when dealing with highly sensitive data.
2. Clean up data
Another step in the data governance process is data clean up and upkeep. Stale (old) data can be both expensive to store and poses potential security risk. If there’s lack of visibility into where the stale data resides and how it is being used, it opens organizations up to risk of data infringement. Not to mention, if stale data is being used in patient lifecycle management or patient data storage, it could pose a huge risk to their wellbeing.
3. Comply with government standards
Inconsistencies in how your data is being handled can lead to violations in laws like HIPAA. Poor organization and user management limits the ability to protect patient health information.
Assurez-vous de bien vous conformer la loi HIPAA.
Découvrez comment SailPoint peut vous aider.