Qu'est-ce qu'une information de santé protégée (ISP)

Exemples d'informations de santé protégées

1. Informations personnelles identifiables (IPI)

Les informations personnelles identifiables (IPI) couvrent toutes les données qui relient un patient à des identifiants personnels, tels que ses données démographiques, son permis de conduire et ses données d'assurance maladie.

2. Informations personnelles sur la santé (ISP)

Les PHI sont un sous-ensemble des PII qui se réfère aux informations spécifiquement partagées avec les entités HIPAA. Il peut s'agir de la correspondance entre un patient et son prestataire, des dossiers de facturation, des scanners numériques des équipements de diagnostic et des résultats d'examens.

Exemples d'identifiants de RPS

Le ministère de la santé et des services sociaux énumère 18 identificateurs spécifiques de PHI :

1. Nom des patients
2. Éléments géographiques (adresses, municipalités, code postal)
3. Dates relatives à la santé ou à l'identité des personnes (date de naissance, date d'admission, date de sortie, date de décès)
4. Numéros de téléphone
5. Numéros de fax
6. Adresses électroniques
7. Numéros de sécurité sociale
8. Nombre de dossiers médicaux
9. Numéros des bénéficiaires de l'assurance maladie
10. Numéros de compte
11. Numéro de certificat/licence
12. Identificateurs de véhicules
13. Attributs ou numéros de série des appareils
14. Identifiants numériques, tels que les URL de sites web
15. Adresses IP
16. Éléments biométriques, y compris les empreintes digitales, rétiniennes et vocales
17. Images photographiques de face
18. Autres numéros ou codes d'identification

Qu'est-ce que l'ePHI ?

Les PHI électroniques (ePHI) sont simplement des PHI sous forme électronique/numérique. Il peut s'agir d'un rapport médical au format PDF ou d'une base de données en ligne contenant les antécédents médicaux d'un patient. Les ePHI sont spécifiquement mentionnés dans la HIPAA Security Rule. Le règlement comporte une sous-section consacrée aux données électroniques sur les soins de santé.

Aujourd'hui, plus que jamais, les informations sur les patients sont créées, stockées et partagées sous forme électronique. Les prestataires de soins de santé doivent veiller à sécuriser ces dossiers numériques de bout en bout dans l'écosystème des soins de santé.

La règle de sécurité de l'HIPAA énonce les exigences en matière de protection de la confidentialité, de l'intégrité et de la disponibilité (connue sous le nom de triade CIA) de tous les renseignements personnels électroniques. Cela inclut l'identification et la protection contre les menaces anticipées pour la sûreté et la sécurité des informations numériques relatives aux soins de santé. Elle permet également aux entités couvertes de mettre en place des systèmes, des procédures et des politiques visant à assurer la conformité avec les directives de l'HIPAA énoncées dans le cadre de la règle de sécurité.

Sécurisation des informations de santé protégées

La règle de sécurité de l'HIPAA impose aux entités couvertes de prendre des mesures spécifiques pour démontrer leur conformité, garantissant ainsi la confiance entre les patients et les prestataires lorsqu'il s'agit de protéger les PHI et les ePHI. Ces mesures se répartissent en trois catégories :

• Garanties administratives
• Garanties physiques
• Garanties techniques

1. Garanties administratives

Les garanties administratives visent à identifier et à déterminer les risques potentiels pour les PHI et à mettre en place des mesures qui réduisent les risques et les vulnérabilités en matière de sécurité. Elles prévoient également qu'un responsable de la sécurité soit tenu d'élaborer et de mettre en œuvre les règles et procédures de sécurité de l'entité couverte.

Les prestataires sont également tenus d'évaluer régulièrement dans quelle mesure leurs politiques de sécurité répondent aux exigences de la règle de sécurité de l'HIPAA.

2. Garanties physiques

Les garanties physiques couvrent des questions telles que la limitation de l'accès physique non autorisé aux installations, tout en permettant l'accès autorisé. Les entités couvertes sont également tenues de déployer des politiques et des procédures couvrant le traitement adéquat des données stockées électroniquement et des supports électroniques contenant des IIP et des IPS.

3. Garanties techniques

Les garanties techniques sont conçues pour s'assurer que seules les personnes dûment autorisées peuvent accéder aux documents numériques et autres informations électroniques. Cela couvre non seulement le matériel, les logiciels et les services nécessaires à la saisie, au stockage et à la gestion des soins de santé et des dossiers médicaux, mais aussi les références de sécurité et les procédures d'authentification qui régissent l'accès.

Ils comprennent également le cryptage et d'autres technologies conçues pour protéger contre l'accès inapproprié aux PHI et ePHI sur un réseau numérique.

Qu'est-ce qu'une violation de données personnelles ?

Ces dernières années, le secteur de la santé a connu une recrudescence des cyberattaques visant les informations personnelles des patients. Les acteurs malveillants utilisent des tactiques telles que le ransomware et l'extorsion pour obtenir des paiements exorbitants de la part des fournisseurs - certains vont même jusqu'à vendre les dossiers des patients aux plus offrants.

Les organisations du secteur de la santé paient en moyenne 1,41 million de dollars par rançon, selon le Incident Response Report 2022de l'Unit 42. Et une violation de données peut coûter jusqu'à 10,10 millions de dollars, selon le rapport Cost of a data breach 2022 d'IBM.

Qu'est-ce qui constitue une violation des données personnelles ?

Le HHS définit largement une violation de PHI comme "une utilisation ou une divulgation inadmissible en vertu de la règle de confidentialité qui compromet la sécurité ou la confidentialité des informations de santé protégées". Dans le monde réel, il peut s'agir d'un large éventail d'actions entraînant l'exposition de PHI.

Par exemple, les pirates informatiques qui commettent des fraudes à l'assurance maladie ou d'autres escroqueries à l'assurance mettent souvent en œuvre toute une série de techniques destinées à obtenir des informations sur la santé publique. Les ransomwares, l'usurpation d'identité, l'ingénierie sociale, le vol d'identifiants, le hameçonnage et les logiciels malveillants sont tous utilisés pour compromettre les appareils personnels non chiffrés ou sous-protégés.

En vertu de la loi HIPAA, une violation de PHI comporte quatre éléments clés :

1. La nature et l'étendue des PHI concernés, y compris les types d'identifiants et la probabilité de ré-identification.
2. La personne non autorisée qui a utilisé les informations de santé protégées ou à qui la divulgation a été faite.
3. La question de savoir si les informations protégées sur la santé ont été effectivement acquises ou consultées.
4. La mesure dans laquelle le risque pour les informations de santé protégées a été atténué.

Dans la plupart des cas, les violations de données personnelles résultant d'actions non intentionnelles, plutôt que malveillantes, ne sont pas considérées comme des violations de la loi HIPAA. Il est vivement conseillé aux entités couvertes de vérifier auprès de leurs avocats et de leurs équipes de conformité si une divulgation de PHI constitue une violation de la loi HIPAA ou d'autres directives relatives à la protection de la vie privée.

Un paysage en évolution : Technologies émergentes et sécurité des IPS

Le secteur des soins de santé connaît une transformation radicale sur de nombreux fronts, notamment en ce qui concerne la manière, le moment, le lieu et la raison de l'approvisionnement en soins de santé. Des tendances telles que l'essor des soins à distance, l'augmentation du nombre de dispositifs médicaux intelligents (internet des objets médicaux) et un environnement informatique de plus en plus complexe et interconnecté se sont combinées pour créer un paysage en évolution rapide.

Pour assurer la sécurité des données personnelles, les organisations de soins de santé et leurs partenaires/associés commerciaux ont besoin d'un partenaire expérimenté en cybersécurité pour concevoir, mettre en place, faire confiance et contrôler les opérations de cybersécurité à l'échelle de l'entreprise.

Lorsqu'ils évaluent des partenaires potentiels en matière de cybersécurité, les responsables de la sécurité de l'information et leurs collègues devraient exiger plusieurs capacités clés :

• Expertise en Zero Trust, qui prévient les violations en éliminant la confiance implicite.
• Expertise dans une gamme complète d'outils de cybersécurité, de la sécurité du réseau au SOC de nouvelle génération.
• Connaissance des procédures et cadres de sécurité cloud , en particulier pour les environnements cloud hybrides et multicloud.
• Accès aux services de renseignements sur les menacesles plus récents et les plus complets.

Découvrez comment Palo Alto Networks est le leader de choix en matière de cybersécurité pour les hôpitaux et les systèmes de santé du monde entier. Visitez www.paloaltonetworks.com/healthcare.

FAQ sur les informations de santé protégées (PHI)