Conformit챕

HIPAA : Health Insurance Portability and Accountability Act

L���HIPAA est une loi am챕ricaine sur les soins de sant챕 qui 챕tablit des exigences relatives �� l���utilisation, la divulgation et la protection des informations de sant챕 identifiables individuellement. Elle s���applique aux entit챕s ��� cabinets m챕dicaux, h척pitaux, assurances-maladie et autres soci챕t챕s de soins de sant챕 ��� ayant acc챔s aux renseignements m챕dicaux sensibles (ou PHI pour Protected Health Information) des patients, ainsi qu���aux entreprises associ챕es, tel que le Cloud (de Solver) et les fournisseurs informatiques, qui traitent ces PHI. (La plupart des entit챕s vis챕es n���exercent pas directement de fonctions telles que les r챕clamations ou le traitement des donn챕es ; elles comptent sur des partenaires pour le faire.)

La loi r챕glemente l���utilisation et la diffusion des PHI en quatre principaux domaines :

• La vie priv챕e, qui couvre la confidentialit챕 des patients.
• La s챕curit챕, qui porte sur la protection de l���information, y compris les mesures de protection physiques, technologiques et administratives.
• Les identificateurs, qui sont les types de renseignements qui ne peuvent 챗tre divulgu챕s s���ils sont recueillis �� des fins de recherche.
• Les codes pour la transmission 챕lectronique de donn챕es dans le cadre de transactions li챕es aux soins de sant챕, y compris l���admissibilit챕 et les r챕clamations et paiements d���assurance.

La port챕e de l���HIPAA a 챕t챕 챕tendue avec l���adoption de l���Health Information Technology for Economic and Clinical Health (HITECH) Act. Les r챔gles de l���HIPAA et de l���HITECH Act comprennent ainsi :

• La r챔gle de confidentialit챕 de l���HIPAA qui met l���accent sur le droit des individus �� pouvoir contr척ler l���utilisation de leurs donn챕es personnelles, et couvre 챕galement la confidentialit챕 relative aux PHI, limitant ainsi leur utilisation et leur divulgation.
• La r챔gle de s챕curit챕 de l���HIPAA, qui 챕tablit les normes relatives aux mesures de protection administratives, techniques et physiques pour prot챕ger les PHI au format 챕lectronique contre l���acc챔s, l���utilisation et la divulgation non autoris챕s. Elle comprend 챕galement des exigences organisationnelles avec les Business Associate Agreements (BAA).

La derni챔re clause de notification des atteintes �� l���HITECH exige de communiquer un avis aux particuliers et au gouvernement lorsqu���une atteinte �� un PHI non s챕curis챕 se produit.

Solver, l���HIPAA et l���HITECH Act

La r챕glementation de l���HIPAA exige que les entit챕s couvertes et leurs associ챕s – dans ce cas, Solver lorsqu���il fournit des services, y compris des services d���h챕bergement sur Cloud, �� des entit챕s couvertes – concluent des contrats pour s���assurer que ces associ챕s commerciaux prot챕geront de mani챔re appropri챕e les PHI. Ces contrats, ou BAA, auront pour objectif de clarifier et de limiter la fa챌on dont l���associ챕 pourra traiter les PHI, et mentionnera l���obligation de respect par chaque partie des dispositions de s챕curit챕 et de confidentialit챕 챕nonc챕es dans l���HIPAA et l���HITECH Act. Une fois qu���un BAA est en place, les clients de Solver ��� entit챕s couvertes ��� pourront utiliser ses services pour traiter et stocker des PHI.

Il n���existe actuellement aucune certification officielle pour attester de la conformit챕 �� l���HIPAA ou �� la l���HITECH Act. Toutefois, les services de Solver couverts par la BAA ont fait l���objet d���audits effectu챕s par des auditeurs ind챕pendants accr챕dit챕s.