publié le 7 juin 2018 par Karen Walsh • 4 min de lecture
Les violations HIPAA sur le lieu de travail s’appliquent à toutes les entreprises, pas seulement aux fournisseurs de soins de santé, mais également aux entités couvertes et à leurs associés. Les employeurs fournissant des soins de santé à leurs employés ou exigeant des informations sur la santé dans le cadre des prestations d’invalidité peuvent violer HIPAA. Avec la possibilité qu’une violation HIPAA sur le lieu de travail se produise dans le cadre des activités quotidiennes des ressources humaines, toutes les entreprises doivent savoir comment se protéger et protéger leurs employés.,
QU’est-ce que le HIPAA?
promulguée en 1996, La Health Insurance Portability and Accountability Act (HIPAA) vise à protéger les renseignements sur la santé des personnes lorsqu’elles passent d’un emploi à un autre. Le Département AMÉRICAIN de la santé et des Services sociaux (HHS) a également adopté la règle de confidentialité en 2003, définissant les informations de santé protégées (PHI) comme « toute information détenue par une entité couverte qui concerne l’état de santé, la prestation de soins de santé ou le paiement de soins de santé pouvant être liés à un individu., »En 2005, la mise à jour des règles de sécurité HIPAA s’est concentrée sur les PHI stockés électroniquement (ePHI). Bien que distincte de la règle de confidentialité, l’utilisation accrue des plateformes numériques pour le partage d’informations sur les soins de santé implique plus de systèmes d’information qu’auparavant.
Quels renseignements sur les employés sont considérés comme des RPS ou des RPS?
La règle de confidentialité HIPAA intègre tous les dossiers médicaux ou les dossiers de régime de santé que vous collectez pour administrer les régimes de soins de santé de vos employés. Elle ne s’applique pas aux dossiers d’emploi, même s’ils contiennent des renseignements sur la santé.,
par exemple, si vous demandez à un employé de fournir des renseignements sur la santé pour documenter les congés de maladie ou les accidents du travail, ces renseignements ne relèvent pas de la règle de confidentialité. Cependant, si vous contactez le fournisseur de soins de santé de votre employé, les informations que le fournisseur vous fournit relèvent de la règle de confidentialité.
que doit savoir un service des Ressources Humaines?
de nombreux départements des ressources humaines intègrent des avantages médicaux pour les employés., Si votre entreprise propose aux employés un plan de santé couvert, vous devez déterminer si vous atteignez le seuil de conformité à la règle de sécurité.
Tout d’abord, vous devez examiner le type de régime que vous administrez et le nombre de personnes impliquées.
votre régime couvre-t-il 50 participants ou plus?
Si la réponse est oui, alors la Règle de Sécurité s’applique.
Si la réponse est non:
un tiers l’administration de votre régime d’assurance-santé?
Si la réponse à cette question est oui, vous devez vous soucier des violations des règles de sécurité HIPAA.,
agissez – vous en tant que promoteur d’un régime de soins de santé collectif (cela comprend l’utilisation d’un fournisseur pour vos comptes de dépenses flexibles et vos programmes d’aide aux employés)?
très probablement, cependant, la réponse à cette dernière question Est « Oui.” La partie déroutante ici est que même si seulement parrainer le régime, vous pouvez toujours fonctionner en tant qu’administrateur du régime ou quelqu’un qui a besoin d’examiner un fournisseur tiers. Par exemple, si vous offrez à vos employés un compte de dépenses flexible ou un programme d’aide aux employés, la règle de sécurité s’applique.
qu’est Ce qu’un processus de gestion de la sécurité?,
votre première étape pour protéger votre entreprise contre une violation HIPAA sur le lieu de travail consiste à créer une analyse des risques. Vous devez déterminer toutes les informations hébergées par votre organisation, où se trouvent les données, ainsi que les risques et vulnérabilités potentiels pouvant avoir un impact sur la confidentialité, l’intégrité et la disponibilité d’ePHI.
Une fois l’analyse des risques terminée, vous devez créer des mesures de sécurité pour réduire la probabilité de ces risques et vulnérabilités. Pour réduire ces risques, vous devez établir des politiques, des procédures et des processus qui sécurisent les informations., Par exemple, vous pouvez créer des protections physiques telles qu’un verrou qui atténue le risque de vol de documents ou intégrer l’authentification multifacteur pour protéger les appareils contre une utilisation non autorisée.
Après avoir établi des mesures de sécurité, vous devez vous assurer qu’elles fonctionnent. Lorsque vous passez en revue vos mesures de sécurité, vous souhaitez les examiner d’un point de vue technique et non technique., Au cours de cette évaluation, vous constaterez peut-être qu’une mesure de sécurité ne protège plus votre organisation et que, par conséquent, vous devez ajuster vos contrôles pour répondre aux changements des employés, de l’environnement et de la technologie.
Quelles informations sur les employés doivent être protégées pour prévenir une violation HIPAA en milieu de travail?
même si vous embauchez un administrateur tiers pour gérer votre programme d’assurance maladie, votre service des ressources humaines a toujours accès à PHI et ePHI., Si votre service des ressources humaines et le personnel des avantages sociaux coordonnent le plan de soins de santé avec votre fournisseur, les informations contenues dans ces conversations peuvent être soumises à HIPAA.
comment une organisation peut-elle protéger PHI et ePHI dans les accès de son service RH?
tout d’abord, votre personnel des ressources humaines et des avantages sociaux doit cataloguer les informations transmises, comment ils les stockent et comment ils les utilisent pour exécuter leurs fonctions administratives.,
de plus, votre service des ressources humaines et le personnel des avantages sociaux doivent comprendre que les communications avec le fournisseur de services tiers relèvent de la règle de sécurité, tout comme toute information que les employés peuvent soumettre via votre intranet. Ainsi, vous devez créer des politiques et des processus qui protègent les informations au repos et en transit. Ces protections doivent intégrer votre intranet, internet et les e-mails avec les fournisseurs.
enfin, votre service informatique doit établir des contrôles d’accès., Ceux-ci devraient inclure les types de fonctions administratives exécutées, les systèmes utilisés, les applications avec des systèmes, les fonctions dans les applications, les fichiers de données et les champs dans les fichiers. Ensuite, les RH et L’informatique devraient travailler ensemble pour déterminer quels groupes d’employés ont besoin d’accéder à chacun d’eux et définir qui peut lire, créer, modifier, supprimer, rechercher et modifier les paramètres de sécurité des fichiers.
Comment puis-je me protéger contre les violations HIPAA perçues?,
la partie la plus difficile pour déterminer si une violation HIPAA a eu lieu dans votre entreprise est de comprendre qui a partagé les informations et comment ils ont obtenu les informations.
HIPAA ne tient pas compte des dossiers du personnel et des dossiers de PHI. Ainsi, même si les dossiers contiennent des informations sur la santé de votre employé, HIPAA ne s’applique pas. Cependant, les employés peuvent ne pas comprendre cela. Les employés confus peuvent déposer des violations auprès de l’Office des droits civils (OCR). Cette enquête coûte alors du temps et de l’argent à défendre.,
votre service des ressources humaines devrait élaborer des politiques et des procédures qui sécurisent les documents que les employés perçoivent comme protégés. Par exemple, vous voudrez peut-être former la direction sur les questions inappropriées qui semblent invoquer PHI. Bien que HIPAA ne réglemente pas ces, les employés peuvent ne pas s’en rendre compte et essayer d’établir une réclamation.
comment ZenGRC permet la conformité HIPAA
ZenGRC allège le fardeau de la conformité en fournissant aux organisations un contenu de démarrage pour cartographier leurs contrôles à travers une variété de normes et de cadres. Cela accélère le processus d’intégration et permet également l’analyse des écarts.,
les fournisseurs de soins de santé peuvent choisir parmi les frameworks HITRUST, COBIT, COSO, ISO, PCI DSS et NIST pour assurer une conformité informatique HIPAA appropriée. De plus, les partenaires commerciaux qui cherchent à devenir conformes à la HIPAA à mesure qu’ils évoluent peuvent rapidement visualiser leur conformité actuelle à l’aide de notre outil d’analyse des écarts et déterminer le travail supplémentaire qu’ils doivent effectuer.
pour plus d’informations sur L’utilisation de ZenGRC pour alléger la charge de conformité HIPAA et accélérer le processus d’évolutivité, planifiez une démonstration.