Qu’est-ce que les informations de santé protégées ?
Selon le programme de protection de la recherche humaine de l’UC Berkeley, les PHI incluent toutes les informations trouvées dans les dossiers médicaux ou les ensembles de données cliniques qui peuvent être utilisées pour identifier un individu. De plus, ces informations doivent avoir été collectées, utilisées ou divulguées lors de la prestation d’un service de santé. Les PHI peuvent être utilisés lors du diagnostic ou du traitement d’un patient ou dans des processus de recherche clinique.
La règle de confidentialité et la règle de sécurité HIPAA exigent la protection des informations de santé identifiables, telles que :
- Informations recueillies par les médecins, les infirmières et les autres prestataires de soins de santé dans le dossier médical
- Conversations entre médecins et autres prestataires de soins de santé au sujet des soins d’un patient
- Informations sur le patient enregistrées dans le système informatique d’une caisse maladie
- Détails de facturation
De plus, les organismes de prestation de soins de santé sont soumis à des pressions de conformité réglementaire pour assurer le traitement en toute sécurité des données des patients telles que les dossiers de santé électroniques et les e-PHI. De nombreuses régions et pays du monde ont également des exigences en matière de résidence des données.
Si les PHI sont anonymisés, c’est-à-dire qu’ils sont dépouillés de données identifiables, ils ne sont plus classés comme PHI en vertu de la loi HIPAA. Les informations sur la santé ne sont pas non plus considérées comme des PHI lorsqu’elles répondent à certains critères, comme le fait d’être collectées par des entités non couvertes par la HIPAA.
EXPLORER: Pourquoi les organisations de santé devraient-elles embaucher un responsable de la qualité des données ?
Comment l’évolution de l’informatique de la santé peut compliquer la cybersécurité autour des RPS
Les lois sur la protection des données ont continué d’évoluer à l’échelle mondiale, en particulier à mesure que les données et les informations deviennent plus précieuses, déclare Marlon Harvey, architecte commercial principal de la pratique de soins de santé de l’expérience client de Cisco.
« Cela inclut tout, des informations personnellement identifiables, ou PII, aux PHI. Bien que ces données puissent être similaires, aux États-Unis, l’accent est mis plus étroitement sur les protections fédérales des informations sur la santé », dit-il. « Cela s’est accéléré pendant la pandémie de COVID-19, car les organisations de soins de santé ainsi que les services de santé ont dû repenser le partage d’informations sur la santé pour le plus grand bien public. »
Le 5 janvier 2021, le président Donald Trump a promulgué HR 7898, le projet de loi HIPAA Safe Harbor. Harvey explique que les principaux mandats de ce projet de loi comprennent :
- Modification de la loi sur les technologies de l’information sur la santé pour la santé économique et clinique (loi HITECH) pour exiger que les « pratiques de cybersécurité reconnues » soient prises en compte par le secrétaire à la Santé et aux Services sociaux pour déterminer les amendes HIPAA, les résultats d’audit ou les mesures d’atténuation
- Fournir une forte incitation aux entités couvertes et aux associés commerciaux à adopter des « pratiques de cybersécurité reconnues » et des cadres de réduction des risques lorsqu’ils se conforment aux normes de confidentialité et de sécurité HIPAA afin de réduire les risques associés aux menaces de sécurité et aux décisions d’application du HHS ; plus précisément, l’adoption précoce d’un cadre de cybersécurité établi, formalisé et reconnu peut considérablement protéger les entités de l’application de la réglementation à la suite d’incidents de sécurité ou de violations de données ultérieurs
« Des protections plus strictes pour les PHI signifient que les fournisseurs doivent s’assurer que leurs programmes de cybersécurité sont à jour pour répondre aux derniers besoins de l’industrie. Celles-ci sont décrites dans les directives mises à jour du National Institute of Standards and Technology », déclare Harvey.
Le nouveau projet de directives sur les règles de sécurité HIPAA établit des liens explicites avec ces ressources et d’autres ressources de cybersécurité du NIST.
« Les organisations de santé qui ont adopté les meilleures pratiques reconnues en matière de cybersécurité ; terminé une analyse des risques de sécurité HIPAA ; réduit les risques identifiés à un niveau faible et acceptable ; et ont mis en place des garanties techniques pour garantir la confidentialité, l’intégrité et la disponibilité des e-PHI seront traitées avec plus d’indulgence par le HHS Office for Civil Rights, mais les sanctions financières pour les organisations qui ne se sont pas conformées aux meilleures pratiques en matière de cybersécurité ne peuvent pas être augmentées », déclare Harvey .
DÉCOUVRIR: Comment la confiance zéro protège les données des patients contre les menaces de sécurité les plus graves.
En plus de faire face à des pénalités et des sanctions moins élevées, les organisations de soins de santé qui se conforment à la règle de sécurité HIPAA seront mieux protégées contre les cybermenaces et les violations de données.
Alors que les exigences de confidentialité visent à garder les PHI hors de portée des acteurs malveillants, le nombre croissant d’appareils de l’Internet des objets médicaux, ainsi que les anciens appareils fonctionnant sur des systèmes d’exploitation obsolètes, créent davantage de vulnérabilités pour les organisations de soins de santé.
Selon les recherches de l’Unité 42, 75 % des pompes à perfusion analysées dans les hôpitaux présentaient des failles de sécurité connues qui les exposaient à un risque accru d’être compromises par des attaquants.
« Ces appareils ont tendance à être le plus grand nombre d’appareils IoT utilisés dans toute organisation de prestation de soins de santé, créant un vecteur d’attaque important qui a une posture de sécurité faible en raison de failles de sécurité », explique Zou. « La protection des dispositifs médicaux comme ceux-ci devient aussi importante que la protection des systèmes informatiques traditionnels. »
Toute attaque impliquant un système patient ou un appareil IoMT pourrait entraîner une violation de la conformité, ajoute-t-il. L’augmentation du nombre de violations de données et d’activités de rançongiciels a non seulement un impact sur les soins aux patients et la perte de revenus, mais affecte également la réputation des organisations de soins de santé. Cependant, la cybersécurité ne consiste pas seulement à réagir ou à prévenir les attaques.
« Par exemple, la mise au rebut en toute sécurité des appareils qui hébergent des PHI est essentielle lorsqu’un appareil a atteint sa fin de vie », explique Zou. « Les équipes informatiques de la santé doivent garantir la protection et la suppression des données des patients, et veiller à ce que l’élimination sûre de ces appareils soit centrée sur leur méthodologie de gestion des appareils cliniques. »
Comment les organisations de soins de santé peuvent-elles assurer la sécurité des PHI ?
Selon Zou, les organisations de soins de santé ont besoin d’un cadre complet de confiance zéro qui peut soutenir leur parcours de transformation numérique, conduisant à de meilleurs résultats de soins aux patients tout en garantissant la confidentialité des données des patients et la conformité réglementaire.
« La confiance zéro est une stratégie de cybersécurité qui élimine la confiance implicite en validant en permanence chaque étape de l’interaction numérique. Enracinée dans le principe « ne jamais faire confiance, toujours vérifier », la confiance zéro est conçue pour protéger les environnements de soins de santé numériques modernes », a-t-il déclaré. « Le principe applique des contrôles d’accès et des politiques de moindre privilège avec une vérification continue de la confiance et une surveillance du comportement des appareils pour bloquer les attaques de type « zero-day ». Avec une confiance zéro, les communications des appareils IoMT sont sécurisées et constamment validées pour contrecarrer les cybermenaces et protéger les données de santé sensibles des patients.
Il existe un risque inhérent pour les organismes de santé lorsqu’ils ont connecté des appareils médicaux, des systèmes informatiques et des appareils IoT à usage général sur un réseau non segmenté. Dans ce cas, attaquer un appareil tel qu’une imprimante pourrait conduire à un accès PHI sur les appareils IoMT. Selon Zou, la microsegmentation est essentielle pour garantir que chaque appareil est placé dans son segment de réseau désigné et qu’un appareil ne communique qu’avec son système autorisé.
« MDS2 [Manufacturer Disclosure Statement for Medical Device Security] Les documents sont l’une des meilleures ressources pour maximiser la sécurité de l’IoMT car ils contiennent des informations inestimables pour améliorer la sécurité des dispositifs médicaux », déclare Zou, ajoutant que malgré cela, ils sont l’une des ressources les moins utilisées.
Les documents MDS2 fournissent aux équipes biomédicales des informations importantes sur la gestion des risques et les contrôles de sécurité des dispositifs médicaux pour identifier les anomalies ; par exemple, identifier les appareils qui ne sont pas capables d’effectuer des mises à jour logicielles à distance mais qui sont vus en train de les télécharger. Selon Zou, les organisations de soins de santé ont besoin d’une solution de sécurité capable d’opérationnaliser les documents MDS2 pour protéger les dispositifs médicaux contre l’accès non autorisé aux PHI, ce qui améliorera la posture de sécurité d’une organisation.
EN SAVOIR PLUS: Pourquoi les systèmes de santé devraient-ils commencer leur parcours de confiance zéro avec l’identité ?
Une autre considération importante pour les prestataires de soins de santé est de savoir s’ils doivent stocker les PHI dans le cloud, un système hors site dans lequel les besoins en données sont externalisés vers un fournisseur tiers. Il est important de noter que HIPAA n’interdit pas le stockage des PHI dans le cloud.
Cependant, Harvey souligne qu’il y a des défis à y stocker des données, comme les organisations qui ne savent pas où toutes les applications et données sont stockées. L’hébergement tiers limite également la visibilité sur l’accès et le partage des données. Un autre écueil potentiel est que les responsabilités partagées en matière de sécurité peuvent être mal comprises ou mal appliquées. Si les entreprises utilisent plusieurs fournisseurs de cloud ou des infrastructures hybrides, la sécurité peut être incohérente.
« En réalité, choisir de stocker des données dans le cloud public signifie renoncer à un certain contrôle sur la manière dont l’environnement informatique est géré, sécurisé et entretenu », déclare Harvey. « Il n’y a pas non plus de directive claire qui unifie les différents fournisseurs de cloud. »
Malgré ces risques, les établissements de santé peuvent toujours protéger leurs données dans le cloud. Une considération majeure pour les décideurs informatiques lorsqu’ils envisagent une migration vers le cloud est de sélectionner un fournisseur d’hébergement conforme à la loi HIPAA qui est certifié conforme aux normes requises de la règle de sécurité HIPAA par un tiers indépendant.
