Comment s'assurer que vos employés à distance sont conformes à la loi HIPAA ?

Maintenir la conformité HIPAA pour les employés à distance peut être une tâche intimidante, mais ce n'est pas une fatalité. Lisez la suite pour savoir comment l'accès et l'assistance à distance peuvent vous faciliter la tâche.

La plupart des organismes de santé sont confortablement installés dans leurs processus de conformité HIPAA depuis des années. Cependant, au cours des deux dernières années, le paysage a considérablement changé avec l'essor du travail à distance, de la télésanté et l'augmentation des cybermenaces contre les informations de santé protégées (PHI).

Gartner a récemment estimé que 51 % des travailleurs du savoir effectueront leur travail à distance au début de 2022. Cette évolution vers le travail à distance a des conséquences importantes pour les organisations qui doivent se conformer à la réglementation HIPAA (Health Insurance Portability and Accountability Act).

Les travailleurs à distance représentent-ils un risque de conformité à la loi HIPAA ?

Non, les travailleurs à distance eux-mêmes ne constituent pas un risque en soi. Cependant, les équipes informatiques qui ne sont pas préparées à fournir aux travailleurs à distance les ressources nécessaires pour se conformer aux réglementations en matière de confidentialité des données constituent un risque. Un article paru en 2021 dans Healthcare IT News a souligné que seulement 2 équipes informatiques sur 10 ont déclaré avoir fourni des outils et des ressources adéquats pour soutenir les employés travaillant à distance à long terme. Ce manque de préparation fait courir aux organisations le risque d'enfreindre les réglementations sur la protection des données et des dossiers médicaux électroniques (DME) de l'HIPAA.

En fait, le département américain de la santé et des services sociaux (HHS) a spécifiquement noté le risque de non-conformité à l'HIPAA lorsque les travailleurs utilisent des systèmes d'accès à distance dépourvus de fonctions de conformité à l'HIPAA. En décrivant la nécessité de revoir et de modifier régulièrement les politiques de sécurité pour les aligner sur l'HIPAA, le HHS a déclaré : "Cela est particulièrement pertinent pour les organisations qui autorisent l'accès à distance à l'EPHI (Electronic Protected Health Information) par le biais de dispositifs portables ou sur des systèmes ou du matériel externes qui ne sont pas détenus ou gérés par l'entité couverte."

Les violations de l'HIPAA sont une surveillance coûteuse

Les sanctions pour violation de l'HIPAA peuvent grimper rapidement, atteignant jusqu'à 1,8 million de dollars par violation. En outre, il est recommandé de suivre un plan d'action correctif (PAC) coûteux pour éviter de nouvelles violations. Les pénalités et les exigences en matière de PAC ont été établies par la loi sur les technologies de l'information sur la santé pour la santé économique et clinique (HITECH) qui est entrée en vigueur en mars 2013. Elles s'appliquent à bien d'autres organisations que les seuls prestataires de soins de santé - plans de santé, centres d'échange de soins de santé, toutes les entités couvertes et les associés commerciaux des entités couvertes.

Par exemple, un article récent de National Law Review décrit comment Peachstate Health Management, Inc. a négocié la réduction de sa pénalité pour violation de l'HIPAA à 25 000 dollars. Pourtant, la PAC qu'ils ont dû mettre en œuvre a entraîné des coûts bien plus élevés, car elle exigeait que Peachstate fasse ce qui suit :

  • Effectuer une analyse des risques à l'échelle de l'entreprise
  • Élaborer et mettre en œuvre un plan de gestion des risques
  • Élaborer des politiques et des procédures visant à assurer la conformité aux règles de sécurité de l'HIPAA.
  • Distribuer les politiques et procédures
  • Élaborer du matériel de formation pour la main-d'œuvre
  • Désigner un contrôleur indépendant
  • Soumettre des rapports de mise en œuvre, des rapports de non-conformité et des rapports annuels.

L'engagement d'un expert indépendant dépasserait de loin l'amende de 25 000 dollars, d'autant plus qu'il doit être approuvé par l'OCR (l'Office for Civil Rights du ministère américain de la santé et des services sociaux).

Comment les solutions d'accès et d'assistance à distance de Splashtop peuvent-elles vous aider à vous mettre en conformité ?

Tout d'abord, et c'est le plus important, Splashtop n'a pas accès aux informations ou aux dossiers des patients (EMR, PACS, etc.). Les solutions de Splashtop traitent le flux de données du bureau dans une session cryptée d'accès à distance ou d'assistance. Ce faisant, Splashtop n'a jamais accès aux données de la session.

Ne pas accéder aux données de session est une distinction importante. Cela signifie que Splashtop peut fournir un accès à distance et des services d'assistance dans le cadre de la règle d'exception HIPAA. L'exception du conduit est limitée aux services de transmission (qu'ils soient numériques ou sur papier), y compris tout stockage temporaire de données transmises dans le cadre de cette transmission. Cela exclut les services comme Splashtop de l'obligation de conclure des accords d'association avec les entités couvertes.

Cela permet à nos clients de mettre rapidement en œuvre les solutions Splashtop sans avoir à conclure de longs contrats liés à l'HIPAA. De plus, ils savent que les informations et les dossiers de leurs patients restent dans leur système et ne sortent jamais du périmètre de leur organisation.

Mesures de sécurité supplémentaires de Splashtop qui garantissent la sécurité de vos données

Splashtop a développé des "politiques de sécurité" comme un sous-ensemble de nos mesures techniques et organisationnelles (TOMs). Celles-ci décrivent les mesures et contrôles de sécurité mis en place et maintenus par Splashtop pour protéger et sécuriser les données que nous stockons et traitons. Nos politiques de sécurité sont régulièrement revues et modifiées par nos experts en sécurité informatique.

De plus, les employés de Splashtop suivent une formation sur la sécurité de l'information deux fois par an. Dans le cadre de cette formation, ils acceptent de se conformer aux politiques d'éthique commerciale, de confidentialité et de sécurité telles qu'elles sont énoncées dans notre "Code de conduite".

Les politiques de sécurité de Splashtop s'appuient sur une architecture robuste de sécurité des données qui comporte de nombreuses fonctionnalités. Le cryptage et le contrôle d'accès sont les deux plus importants pour maintenir la protection des données lorsque vos employés travaillent à distance.

  • Cryptage : Splashtop crypte toutes les données des utilisateurs en transit et au repos et toutes les sessions des utilisateurs sont établies de manière sécurisée en utilisant TLS. Le contenu auquel on accède au cours de chaque session est toujours crypté au moyen du protocole AES 256 bits.
  • Contrôle d'accès : Splashtop a mis en place des contrôles d'accès pour gérer l'accès électronique aux données et aux systèmes. Nos contrôles d'accès sont basés sur des niveaux d'autorité, des niveaux de besoin de savoir et la séparation des tâches pour ceux qui accèdent au système. Nous suivons l'accès basé sur les rôles avec des révisions régulières des comptes, la surveillance de l'accès et la journalisation.

L'accès à distance Splashtop introduit encore plus de fonctionnalités de sécurité, telles que l'authentification des appareils, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et plus encore. Si vous souhaitez en savoir plus, nous avons dressé une liste complète des fonctions de sécurité de Splashtop conformes à la loi HIPAA.

Assurez la conformité de votre organisation à la loi HIPAA grâce à l'accès et à l'assistance à distance

Le travail à distance étant appelé à perdurer, de nombreuses organisations tirent parti des solutions d'accès et d'assistance à distance pour traiter en toute sécurité les DME et autres données relatives aux patients. Pour que votre organisation reste conforme à la loi HIPAA, vous devez adopter un accès et une assistance à distance sûrs et sécurisés.

Splashtop fournit à des centaines d'organisations de soins de santé un accès et une assistance à distance sûrs et sécurisés - en conformité avec l'HIPAA et d'autres réglementations relatives à la confidentialité des consommateurs. Pour savoir comment Splashtop peut permettre à votre organisation de maintenir les travailleurs à distance en conformité avec la loi HIPAA, , contactez un expert Splashtop dès aujourd'hui.

Restez au courant des dernières nouvelles en matière de sécurité en vous abonnant à notre fil de sécurité .

Contenu connexe

Bannière d'essai gratuit sur le fond du blog