Logiciel de surveillance des journaux pour la conformité à la loi HIPAA

Étant donné que le secteur des soins de santé évolue rapidement, de nombreuses avancées technologiques relatives au stockage et au transfert des données de patients ont fait leur apparition. Parallèlement au développement de ces technologies au cours des dernières décennies, de nombreuses nouvelles réglementations ont émergé pour assurer l’intégrité des dossiers de santé, les protéger des menaces des pirates ou des fuites de données accidentelles, et pour codifier qui a accès à ces informations, dont la loi HIPAA (Health Insurance Portability and Accountability Act). 

Votée par le Congrès des États-Unis en 1996, la loi HIPAA régit la façon dont les données hautement confidentielles des patients sont stockées, transférées et mises à jour. Elle s’applique à différents formats numériques dont syslog, les journaux d’application personnalisés, XML et HL7. La loi HIPAA comprend deux règles, la règle de confidentialité et la règle de sécurité, qui régissent ensemble la façon dont toutes les données de santé protégées doivent être gérées au milieu de cette révolution numérique. Si cette loi n’est pas respectée autant que possible, même de manière non intentionnelle, les responsables HIPAA infligeront de lourdes amendes. Légalement, financièrement et moralement, les services informatiques doivent comprendre les nuances de la loi HIPAA ou s’exposent à des conséquences graves. En effet, le montant des amendes HIPAA peut aller de quelques centaines à des milliers, voire des millions de dollars en fonction de l’infraction. 

Les exigences HIPAA décrivent les mesures techniques que toutes les entreprises doivent mettre en place pour garantir la confidentialité et la protection des données de tous les patients, en particulier en cas de violation ou de fuite accidentelle des données. Plus particulièrement, ces exigences contraignent les grandes entreprises comme les acteurs privés de la santé à se conformer à toutes les réglementations de transaction et de code pour les dossiers médicaux électroniques et à disposer d’un numéro d’identification de prestataire national (National Provider Identifier, NPI).

Pour que les professionnels de l’informatique appréhendent réellement les normes de confidentialité et de sécurité HIPAA spécifiques au secteur informatique, ils doivent bien comprendre les exigences HIPAA générales. C’est là que la liste de vérification de conformité HIPAA a un rôle à jouer. Élaborée par le Bureau de l’Inspecteur général du Département de la Santé et des Services sociaux des États-Unis (HHS), la liste de vérification de conformité HIPAA décrit les sept actions que toutes les entreprises doivent effectuer pour être conformes à la loi HIPAA : 

1. Mettre en place des stratégies, procédures et normes de conduites écrites
2. Désigner un responsable et un comité de conformité
3. Mener des formations efficaces
4. Établir des lignes de communication efficaces
5. Mener une surveillance et un audit internes
6. Appliquer les normes à l’aide de mesures disciplinaires correctement diffusées
7. Réagir rapidement aux infractions détectées et entreprendre des mesures correctives

Tant la règle de confidentialité HIPAA que la règle de sécurité HIPAA s’adressent directement aux administrateurs informatiques et doivent être comprises et adoptées par tous les professionnels de l’informatique. La règle de confidentialité concerne particulièrement le traitement des données de santé relatives à la santé physique ou mentale d’une personne à tout moment de sa vie, ainsi qu’au type de soins qu’elle a reçus et à tout détail de paiement relatif à ces soins. En revanche, la règle de sécurité concerne les protections administratives, physiques et techniques que les entreprises doivent mettre en place pour les informations de santé personnelles électroniques. 

Le HHS est chargé de la mise en œuvre de la règle de confidentialité et de la règle de sécurité HIPAA via des audits HIPAA, qui garantissent la conformité via des rapports HIPAA envoyés par toute entité couverte ou tout partenaire commercial. Pour remplir les fonctions d’entité couverte ou de partenaire commercial, vous devez connaître votre relation avec les informations de santé protégées, les réglementations auxquelles vous êtes soumis et les processus à effectuer dans le cadre d’un audit HIPAA.

Pour éviter tout risque de violation HIPAA et démontrer leur conformité lors d’audits HIPAA, de nombreuses entreprises utilisent un logiciel de conformité HIPAA qui automatise les mesures de sécurité, effectue des évaluations de risques et crée des rapports d’audit HIPAA. Les logiciels de conformité à la loi HIPAA peuvent également vous aider à mettre en place des contrôles d’audit, sous forme de matériels, de logiciels ou de procédures qui enregistrent et analysent toute activité système contenant des informations de santé protégées électroniques. Les pistes d’audit, résultant des contrôles d’audit, permettent de créer de la documentation de conformité et des enregistrements pour examiner l’accès aux fichiers et les modifications apportées.

Le logiciel de conformité à la loi HIPAA contribue à garantir que les équipes informatiques des entreprises font tout ce qu’elles peuvent pour protéger les données des patients et du personnel médical. Même si des données sensibles sont utilisées et partagées dans certaines circonstances, elles ne doivent être disponibles que dans les contextes et aux destinataires appropriés. Le logiciel de conformité à la loi HIPAA recueille, répertorie et regroupe les données des journaux et des événements en temps réel, quelle que soit l’origine des données générées dans le réseau. L’analyse des journaux en temps réel et la corrélation des données entre appareils permettent aux administrateurs de détecter d’éventuelles infractions à la loi HIPAA, et d’identifier les violations de données et les menaces. En stockant toutes ces données dans un emplacement unique facile d’accès, vous pouvez rapidement extraire les données de journaux dans des rapports visuels complets démontrant la conformité à toutes les réglementations et procédures HIPAA. Certains logiciels de conformité à la loi HIPAA peuvent même être utilisés pour évaluer la sécurité des fichiers en temps réel, ce qui permet d’assurer une protection plus complète face à diverses cyberattaques pouvant mettre les informations sensibles HIPAA en danger. 

Autres outils SolarWinds permettant de démontrer la conformité HIPAA :

• SolarWinds Access Rights Manager
• SolarWinds Patch Manager

Fonctions associées :

• Rapports de conformité
• Gestion des risques liés à la conformité
• Logiciel de conformité à la loi SOX
• Logiciel de conformité PCI-DSS
• Conformité DISA STIG
• Conformité à la loi FISMA du NIST