Conformité

HIPAA : Health Insurance Portability and Accountability Act

L’HIPAA est une loi américaine sur les soins de santé qui établit des exigences relatives à l’utilisation, la divulgation et la protection des informations de santé identifiables individuellement. Elle s’applique aux entités — cabinets médicaux, hôpitaux, assurances-maladie et autres sociétés de soins de santé — ayant accès aux renseignements médicaux sensibles (ou PHI pour Protected Health Information) des patients, ainsi qu’aux entreprises associées, tel que le Cloud (de Solver) et les fournisseurs informatiques, qui traitent ces PHI. (La plupart des entités visées n’exercent pas directement de fonctions telles que les réclamations ou le traitement des données ; elles comptent sur des partenaires pour le faire.)

La loi réglemente l’utilisation et la diffusion des PHI en quatre principaux domaines :

• La vie privée, qui couvre la confidentialité des patients.
• La sécurité, qui porte sur la protection de l’information, y compris les mesures de protection physiques, technologiques et administratives.
• Les identificateurs, qui sont les types de renseignements qui ne peuvent être divulgués s’ils sont recueillis à des fins de recherche.
• Les codes pour la transmission électronique de données dans le cadre de transactions liées aux soins de santé, y compris l’admissibilité et les réclamations et paiements d’assurance.

La portée de l’HIPAA a été étendue avec l’adoption de l’Health Information Technology for Economic and Clinical Health (HITECH) Act. Les règles de l’HIPAA et de l’HITECH Act comprennent ainsi :

• La règle de confidentialité de l’HIPAA qui met l’accent sur le droit des individus à pouvoir contrôler l’utilisation de leurs données personnelles, et couvre également la confidentialité relative aux PHI, limitant ainsi leur utilisation et leur divulgation.
• La règle de sécurité de l’HIPAA, qui établit les normes relatives aux mesures de protection administratives, techniques et physiques pour protéger les PHI au format électronique contre l’accès, l’utilisation et la divulgation non autorisés. Elle comprend également des exigences organisationnelles avec les Business Associate Agreements (BAA).

La dernière clause de notification des atteintes à l’HITECH exige de communiquer un avis aux particuliers et au gouvernement lorsqu’une atteinte à un PHI non sécurisé se produit.

Solver, l’HIPAA et l’HITECH Act

La réglementation de l’HIPAA exige que les entités couvertes et leurs associés – dans ce cas, Solver lorsqu’il fournit des services, y compris des services d’hébergement sur Cloud, à des entités couvertes – concluent des contrats pour s’assurer que ces associés commerciaux protégeront de manière appropriée les PHI. Ces contrats, ou BAA, auront pour objectif de clarifier et de limiter la façon dont l’associé pourra traiter les PHI, et mentionnera l’obligation de respect par chaque partie des dispositions de sécurité et de confidentialité énoncées dans l’HIPAA et l’HITECH Act. Une fois qu’un BAA est en place, les clients de Solver – entités couvertes – pourront utiliser ses services pour traiter et stocker des PHI.

Il n’existe actuellement aucune certification officielle pour attester de la conformité à l’HIPAA ou à la l’HITECH Act. Toutefois, les services de Solver couverts par la BAA ont fait l’objet d’audits effectués par des auditeurs indépendants accrédités.