Un guide pratique de Violations HIPAA courantes et comment les éviter

Ce guide explique Violations HIPAA courantes et comment les éviter de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Les violations de HIPAA proviennent généralement de lacunes opérationnelles quotidiennes plutôt que d'attaques dramatiques : une analyse de risque manquée, un employé avec trop d'accès, un fournisseur sans accord de partenariat commercial, un appareil perdu, un dossier patient envoyé à la mauvaise personne ou une technologie de suivi placée sur un flux de travail destiné aux patients sans comprendre ce qu'elle révèle.

HIPAA s’applique aux entités couvertes et aux associés commerciaux. Les règles de base sont la règle de confidentialité, la règle de sécurité et la règle de notification de violation, appliquées par le Bureau des droits civils du HHS (Présentation de l'application du HHS HIPAA). Si votre organisation traite des informations de santé protégées (PHI), les outils d'analyse et de marketing méritent un examen particulier, car ils peuvent divulguer silencieusement les comportements de navigation liés à la santé.

1. Analyse des risques incomplète

Une analyse des risques n’est pas un document facultatif. Les directives du HHS indiquent que le processus d'analyse des risques de la règle de sécurité aide les organisations à identifier les risques et les vulnérabilités du PHI électronique (Guide d'analyse des risques du HHS). De nombreuses affaires d’application commencent par la découverte par OCR qu’une organisation n’a jamais effectué une analyse précise à l’échelle de l’entreprise.

Prévention:

• Systèmes d’inventaire qui créent, reçoivent, maintiennent ou transmettent des ePHI.
• Incluez des outils cloud, des scripts d'analyse, des enregistrements d'appels, des outils d'assistance, des sauvegardes et des journaux.
• Évaluez les menaces et les vulnérabilités par probabilité et impact.
• Attribuez des propriétaires de remédiation et des délais.
• Répétez l’opération après des modifications majeures du système, du fournisseur ou du flux de travail.

2. Accès non autorisé

Le concept minimum nécessaire de HIPAA et les contrôles d'accès aux règles de sécurité nécessitent un accès du personnel pour correspondre aux tâches du poste. Les violations se produisent lorsque les employés partagent leurs identifiants, conservent l'accès après des changements de rôle, parcourent des enregistrements par curiosité ou utilisent des comptes d'administrateur étendus pour le travail de routine.

Prévention:

• Utilisez des comptes uniques et une authentification multifacteur.
• Appliquez des contrôles d’accès basés sur les rôles.
• Examinez l’accès tous les trimestres.
• Supprimez l’accès immédiatement lorsque le personnel part.
• Surveillez les journaux d’audit pour déceler tout accès inhabituel aux enregistrements.
• Former les gestionnaires à demander des changements d’accès lorsque les tâches changent.

3. Faiblesses des contrôles d’audit

La règle de sécurité HIPAA inclut des contrôles d'audit à titre de protection technique (Résumé de la règle de sécurité HHS). Si vous ne pouvez pas voir qui a accédé à PHI, l'a exporté, l'a modifié ou l'a envoyé à un fournisseur, vous ne pouvez pas enquêter correctement sur les incidents.

Prévention:

• Enregistrez l'accès à PHI, les actions d'administration, les exportations, les échecs de connexion et les modifications d'autorisation.
• Protégez les journaux de toute altération.
• Examinez les événements à haut risque, pas seulement après une violation.
• Assurez-vous que les fournisseurs de SaaS fournissent des pistes d’audit.

4. Accords de partenaires commerciaux manquants ou faibles

Un accord de partenariat commercial est requis lorsqu'un fournisseur crée, reçoit, maintient ou transmet PHI au nom d'une entité couverte ou d'un autre partenaire commercial. Les fournisseurs d'analyses, de courrier électronique, d'hébergement, de centres d'appels, d'assistance et d'entrepôt de données peuvent entrer dans cette catégorie en fonction de ce qu'ils reçoivent.

Prévention:

• N'envoyez pas PHI à un fournisseur tant que le BAA n'est pas signé.
• Vérifiez les utilisations et les divulgations autorisées.
• Confirmez les délais de notification des violations.
• Examinez les conditions du sous-traitant.
• Réévaluez les fournisseurs lorsque de nouvelles fonctionnalités de suivi, de journalisation ou d'IA sont activées.

5. Échecs d’accès aux patients

HIPAA donne aux individus le droit d'accéder à leur dossier médical. L'OCR a traité cela comme une priorité en matière d'application à travers son initiative de droit d'accès, avec plusieurs règlements annoncés par le HHS (Application du droit d'accès).

Prévention:

• Créez un processus d’admission clair pour les demandes d’accès.
• Suivez les délais.
• Formez le personnel à ne pas survérifier ou à ne pas créer d’obstacles inutiles.
• Fournir des dossiers dans le format demandé lorsque cela est nécessaire et réalisable.
• Documentez tout refus légal.

6. Appareils non sécurisés et mauvais cryptage

Les ordinateurs portables perdus, les téléphones volés et les supports amovibles non chiffrés restent des sources courantes de violation. Le chiffrement n’est pas la seule protection, mais il peut réduire considérablement l’impact des violations en cas de perte d’un appareil.

Prévention:

• Chiffrez les ordinateurs portables, les appareils mobiles et les sauvegardes.
• Utilisez la gestion des appareils mobiles pour l’effacement à distance.
• Interdire les téléchargements locaux de PHI sauf si cela est nécessaire.
• Désactivez les exportations USB lorsque cela est possible.
• Exigez une messagerie sécurisée au lieu d’un e-mail personnel ou d’un SMS pour PHI.

7. Erreurs technologiques d’analyse et de suivi

Les établissements de santé utilisent de plus en plus l'analyse Web, les pixels, la relecture de session et les plateformes publicitaires sur les pages de rendez-vous, de symptômes, de paiement ou de portail. Cela peut divulguer PHI ou des conclusions liées à la santé à des tiers. Mise en garde importante pour 2024 : le HHS note qu'un tribunal a annulé une partie du bulletin de suivi de l'OCR appliqué à une adresse IP ainsi qu'à une visite de certaines pages Web publiques non authentifiées. Les équipes devraient donc évaluer le suivi des pages publiques dans leur contexte plutôt que de traiter chaque consultation de page de santé publique comme PHI par défaut. Le risque reste plus élevé pour les portails, les rendez-vous, les admissions, les paiements, les pages authentifiées et les flux de travail dans lesquels les utilisateurs divulguent des informations sur la santé. La FTC a également engagé des poursuites dans des affaires de confidentialité en matière de santé numérique en dehors de HIPAA, notamment des actions impliquant des applications de santé et le partage de données sensibles (outil d'application de santé mobile FTC).

Prévention:

• Gardez les trackers tiers hors des portails authentifiés et des pages de santé sensibles, à moins qu'ils ne soient examinés.
• N'envoyez pas le type de rendez-vous, le nom du prestataire, les termes de diagnostic, le patient IDs, les e-mails ou le portail URL à Analytics.
• Utilisez des analyses sans cookies et axées sur la confidentialité pour le contenu public lorsque cela est possible.
• Signez les BAA dans lesquels PHI est impliqué.
• Testez les requêtes réseau avant le lancement.

8. Mauvaise réponse aux violations

La règle de notification de violation HIPAA exige des notifications après des violations de PHI non sécurisé, avec des détails en fonction de l'ampleur et du risque (règle de notification de violation HHS). Une réponse tardive accroît les dommages juridiques et de réputation.

Prévention:

• Maintenir un plan de réponse aux incidents spécifique à PHI.
• Définissez qui évalue si PHI était impliqué.
• Conservez rapidement les journaux.
• Impliquez les équipes juridiques, de confidentialité, de sécurité et de communication.
• Entraînez-vous avec des exercices sur table.

La conformité à HIPAA n’est pas résolue par un seul classeur de politiques. Il s'agit d'un ensemble de contrôles opérationnels qui doivent porter sur l'accès, les fournisseurs, les appareils, les analyses, le support et la réponse aux incidents. Le programme d'analyse des soins de santé le plus sûr ne mesure que ce qui est nécessaire, évite par défaut les divulgations à des tiers et traite chaque nouvelle fonctionnalité de suivi comme un déclencheur d'examen de la confidentialité.

Suivi des contrôles de prévention des violations

Pour l'analyse des soins de santé, séparez la mesure de l'éducation publique des flux de travail de rendez-vous, de portail, d'admission, de paiement, spécifiques à une condition et authentifiés. Gardez les charges utiles d'analyse exemptes de noms, d'e-mails, de numéros de patients ou de dossiers, de détails de rendez-vous, de texte de formulaire, de chaînes de requête sensibles et d'identifiants pouvant lier un visiteur aux soins.

Avant l'expédition de toute nouvelle fonctionnalité de suivi, exigez une classification des pages, un examen de la charge utile, une vérification du rôle du fournisseur, une décision BAA, un paramètre de rétention et un test du réseau. Cela transforme le suivi d'une réflexion après coup en une étape normale de contrôle des modifications HIPAA.