Alors que HIPAA retient toute l’attention dans le secteur de la santé, il est important de comprendre ce qui est spécifiquement mandaté par HITECH – d’autant plus que HITECH vous oblige non seulement à protéger les informations de santé protégées (PHI), mais à les numériser et à les partager électroniquement avec les patients et les médecins également. Les entreprises doivent également comprendre la manière dont HITECH modifie et amplifie les exigences HIPAA, et proposer des solutions de chiffrement de fichiers et de conformité des e-mails qui peuvent répondre aux deux ensembles d’exigences.

Principes de base de la conformité HITECH

HITECH , ou la loi sur les technologies de l’information sanitaire pour la santé économique et clinique, est une loi de 2009 créée pour encourager les organisations à « promouvoir l’adoption et l’utilisation significative » des dossiers de santé électroniques (DSE). HITECH incite à numériser les dossiers médicaux et à les utiliser pour améliorer la qualité des soins de santé, ainsi que des sanctions en cas de non-utilisation suffisante du DSE.

La loi HITECH a également durci les sanctions et modifié l’application des violations de la HIPAA, créant quatre niveaux de violations avec des sanctions croissantes, jusqu’à un amende maximale de 1,5 million de dollars. En raison de HITECH, les entités sont passibles de sanctions même si elles ne savaient pas qu’une infraction a été commise, bien que ces violations soient dans la catégorie la plus basse. HITECH permet également d’organiser pour échapper aux sanctions si les violations ne sont pas dues à la négligence, et sont corrigées dans les 30 jours.

Objectifs de conformité HITECH

Le but ultime de HITECH est de promouvoir l’utilisation de systèmes sécurisés et interopérables Le DSE à travers les États-Unis Pour ce faire, il comporte trois phases d’utilisation significative, nécessitant un déploiement croissant du DSE, ainsi que des garanties de qualité et de sécurité.

Les règles de l’étape 1 varient quelque peu selon le professionnel ou l’organisation; les professionnels de la santé couverts doivent atteindre 15 objectifs de base, 5 objectifs de «menu» sur 10 et 6 mesures de la qualité clinique (CQM). Les hôpitaux ont 15 objectifs de base, 5 menus et 15 CQM. Les prestataires seront dispensés de respecter des normes inapplicables – par exemple, les chiropraticiens n’ont pas à utiliser la prescription électronique, car ils n’écrivent pas d’ordonnances.

Les principaux objectifs comprennent des mesures visant à améliorer la qualité médicale, telles que la vérification des interactions médicamenteuses et l’enregistrement et la cartographie des signes vitaux, ainsi que des objectifs d’utilisation significatifs, tels que le déploiement et la sécurisation du DSE.

L’étape 2 de HITECH exige que les fournisseurs commencent à utiliser les DSE de manière sophistiquée. Pour se conformer à HITECH, les fournisseurs doivent utiliser le DSE ou des ressources informatiques pour:

• Soutenir au moins cinq décisions cliniques
• Enregistrer plus de 60% des ordonnances et 30% des ordonnances de laboratoire et de radiologie
• Transmettre plus de 50% des ordonnances
• Transmettre les dossiers de soins lors du transfert des patients
• Fournir une éducation spécifique au patient n à plus de 10% des patients
• Compiler et vérifier une liste précise des médicaments lors du transfert des patients
• Donner aux patients un accès en ligne à leurs dossiers de santé
• Fournir aux patients un moyen de communiquer en ligne en toute sécurité et
• Suivre la vaccination et d’autres données de santé publique.

La sécurité électronique est le premier objectif de la phase 2 de la conformité HITECH. Le chiffrement, l’analyse des risques de sécurité et les mises à jour de sécurité sont tous spécifiquement mandatés pour «Protéger les informations sur la santé des patients».

La phase 3 de HITECH est toujours en cours de finalisation, et le programme dans son ensemble continue d’évoluer. le changement, cependant, est la nécessité d’utiliser le DSE pour améliorer les soins de santé et une bonne sécurité pour protéger les dossiers des patients.

Conformité HITECH et HIPAA

HITECH exige que les fournisseurs passent par la certification HIPAA sous le Comme mentionné ci-dessus, les règles de conformité HITECH ont renforcé les sanctions pour violation de la loi HIPAA, et l’étape 3 est susceptible de renforcer davantage les exigences de sécurité et d’évaluation des risques déjà imposées par la HIPAA.

HITECH a également renforcé la HIPAA Règle de notification de violation. Les exigences de conformité HIPAA précédentes exigeaient une notification uniquement lorsque l’entité couverte voyait un risque de préjudice pour la partie dont les informations de santé protégées (PHI) avaient été violées. Désormais, toute PHI non garantie doit être notifiée. Les parties concernées, HHS et, dans certains cas, les médias.

HITECH a également étendu les exigences de conformité HIPAA pour couvrir tous les partenaires commerciaux qui utilisent, stockent ou traitent les PHI. Cela signifie que les entreprises de facturation, les consultants et les techniciens informatiques travaillant sur des ordinateurs qui stockent le DSE doivent respecter les mêmes normes de sécurité et de confidentialité.

Ajoutez les règles de conformité PCI auxquelles les organisations de soins de santé sont confrontées, et cela devient impossible pour gérer la sécurité au coup par coup – il y a trop de choses à prendre en compte et trop de domaines qui se chevauchent. Les organisations doivent adopter une stratégie de sécurité globale qui répond à toutes leurs exigences de conformité.

Sécurisation d’une utilisation significative

Chaque étape des exigences d’utilisation significative présente nouveaux défis et risques technologiques. Cependant, les prestataires de soins doivent s’assurer que leur sécurité répond à leurs besoins technologiques, et pas seulement à leurs exigences de conformité HITECH. Pour la plupart des organisations, cela signifie aller au-delà de ce qu’exige HITECH.

Bien que la conformité HITECH à l’étape 1 n’impose pas spécifiquement le chiffrement, en tant qu’organisation conforme HIPAA, vous devriez déjà l’utiliser pour tous les PHI électroniques (ePHI ), y compris le DSE et les communications avec les patients. Le chiffrement brouille les fichiers avec une longue clé numérique, les rendant illisibles pour quiconque n’y a pas accès.

L’utilisation du chiffrement des fichiers et des e-mails vous protège également des exigences de notification de violation, car les fichiers correctement chiffrés sont considérés comme sécurisés ; si une entreprise enfreint l’ePHI mais pas les clés nécessaires pour le lire, cela ne sera généralement pas considéré comme une violation, car les fichiers ne peuvent pas être lus. L’installation de programmes comme la messagerie sécurisée Virtru Pro et le cryptage Virtru Pro Google Apps (maintenant connu sous le nom de G Suite) et le fait de passer quelques minutes au personnel enseignant pour les utiliser pourrait vous éviter la mauvaise presse et les lourdes amendes en cas de violation.

L’étape 1 exige également que les organisations examinent leur sécurité et corrigent toute lacune, comme défini par 41 CFR.308. Il ne suffit pas d’écrire de nouvelles règles; Les organisations doivent également corriger les travailleurs qui compromettent la sécurité et suivre l’accès au DSE et à d’autres données de santé. Votre système doit enregistrer chaque fois que quelqu’un accède à PHI ou à d’autres données protégées, suivre les modifications et stocker des copies de sauvegarde, et vous devez disposer d’un personnel de sécurité dédié pour surveiller les violations de sécurité.

À mesure que votre organisation devient de plus en plus dépendante du DSE pour améliorer les résultats de santé à l’étape 2, vous aurez besoin d’outils pour partager des données en toute sécurité et de manière pratique et communiquer avec les patients et les autres prestataires de soins de santé. De nombreux prestataires choisissent d’utiliser des portails de soins de santé pour communiquer avec les patients et partager le DSE. Ils sont assez sûrs, mais loin d’être pratiques. Ils nécessitent de nouveaux noms d’utilisateur et mots de passe, ont tendance à avoir des interfaces maladroites et ne peuvent pas communiquer entre eux.

Si un patient a besoin d’aller dans un autre hôpital ou un autre fournisseur qui utilise un portail différent, vous pouvez ne pas avoir une manière établie d’échanger des dossiers, et le patient devra apprendre plusieurs systèmes. Ce type d’inconvénient est ce qui fait que les gens abandonnent et envoient simplement une pièce jointe non cryptée, rompant la conformité HITECH et allant à l’encontre de l’objectif d’avoir un portail en premier lieu.

Le cryptage des e-mails Virtru Pro offre une meilleure solution en ajoutant un cryptage fort centré sur les données à votre compte de messagerie standard. Les patients et les prestataires de soins de santé peuvent envoyer des fichiers et des pièces jointes chiffrés en un seul clic, même aux destinataires qui n’ont pas installé Virtru. En ajoutant Virtru Pro pour G Suite, vous serez également en mesure de crypter des fichiers dans le cloud, offrant un moyen simple de stocker et de partager le DSE en toute sécurité.

Quant à l’étape 3, il est difficile de dire ce qui s’en vient suivant. Les règles de conformité HIPAA et HITECH se dirigent probablement vers un grand changement, qui pourrait simplifier les réglementations et remplacer une utilisation significative par une norme différente. Ce qui ne va pas changer, cependant, c’est le besoin d’outils sécurisés pour crypter le DSE et le courrier électronique, et les meilleures pratiques de sécurité pour prévenir et atténuer les fuites.

Conformité et sécurité HITECH en cours

Il y a beaucoup de problèmes que la technologie seule ne peut pas résoudre. Par exemple, le chiffrement ne peut pas empêcher vos employés de choisir des mots de passe faibles, et les déconnexions automatiques ne peuvent pas empêcher les patients de jeter un coup d’œil sur un poste de travail pendant qu’il est connecté. Les organisations médicales doivent combiner des audits sonores, des politiques technologiques intelligentes et une surveillance fréquente. des commentaires pour maintenir une culture de sécurité.

Les meilleures pratiques de conformité HIPAA – en particulier les mesures de protection physiques et administratives – décrivent tout ce qu’il y a à faire en dehors de la sécurité informatique. Physiquement, les organisations doivent contrôler l’accès à toute zone où les DSE ou autres RPS sont stockés; dans un petit cabinet médical, cela pourrait être aussi simple que de garder les patients hors de quelques zones où des ordinateurs sont utilisés ou d’anciens dossiers sont stockés, mais dans un grand hôpital, le contrôle de l’accès peut nécessiter des gardes, des cartes de sécurité et la surveillance des installations.

Les garanties administratives en vertu des règles de conformité HIPAA rendent les organisations responsables d’une bonne sécurité parmi leurs employés et partenaires. Vos règles de sécurité doivent être précisées, à la fois en interne et dans les accords de partenariat commercial (BAA) que vous signez avec vos partenaires, et étayées par des formations fréquentes.

La conformité HITECH, cependant, ne s’arrête pas à votre organisation et partenaires. Vous devez également sécuriser l’ePHI envoyé à un autre hôpital ou partagé avec le patient.Vous ne pouvez y parvenir qu’avec des outils et des politiques de sécurité suffisamment simples pour être utilisés par n’importe quel patient.

La conformité HITECH nécessite des outils que tout le monde peut utiliser

La loi HITECH régissant l’utilisation du DSE , de plus en plus de patients et de professionnels de la santé accèdent à des informations de santé sensibles dans le cloud. Malheureusement, toutes ces personnes ne se soucient pas de la sécurité, ni même la comprennent. Plus que jamais, les entreprises ont besoin d’outils de sécurité que tout le monde peut utiliser.

Virtru Pro fournit des solutions de messagerie et de chiffrement de fichiers sécurisées et conviviales. Contrairement aux portails, il ne nécessite pas de processus d’installation et d’apprentissage complexe, ni de nouveaux identifiants de connexion à mémoriser. Virtru Pro fournit aux prestataires de soins un courrier électronique conforme aux normes HIPAA et HITECH, qui protège les messages et les fichiers en appuyant simplement sur un bouton. Parce que n’importe qui peut utiliser le courrier électronique peut l’utiliser, vous bénéficierez d’une adoption plus élevée, d’un risque moindre de violation et d’un meilleur respect des normes de conformité HITECH.