Aucune entreprise n’est à l’abri des violations de données… y compris le secteur de la santé, qui a connu une augmentation de 18 % des violations depuis 2015, date à laquelle le Bureau des droits civils du ministère américain de la santé et des services sociaux a commencé à publier les principales violations sur lesquelles il enquêtait.
L’augmentation du nombre de violations, ainsi que l’annonce mi-2017 d’une la mise à jour de l’outil de signalement des violations de la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA).-ont incité de nombreux organismes de soins de santé à se demander si leurs efforts en matière de cybersécurité et de respect de la vie privée devaient être améliorés et modernisés. Et pour la plupart, la réponse est oui.
Cela s’explique principalement par le fait que les organismes fournisseurs ont du mal à respecter l’obligation de notifier les parties concernées par une violation dans un délai de 60 jours. Les retards – et donc le non-respect de cette obligation – sont généralement dus à des processus manuels et inefficaces pour la déclaration initiale des événements, l’évaluation des risques et la détermination de la violation, ainsi que pour le processus de notification lui-même.
Cela dit, les fournisseurs d’accès peuvent généralement poser les deux questions suivantes à leurs entreprises pour déterminer si elles sont en bonne position pour se conformer aux réglementations en matière de cybersécurité et de protection de la vie privée ou s’il existe des possibilités d’amélioration :
- Notre processus de signalement des violations est-il intégré aux autres activités de signalement des incidents ?
- Quelles sont les étapes du processus actuellement manuelles qui peuvent être automatisées ?
Si vous avez répondu « non » à la première question ou si vous ne savez pas que certains processus peuvent être automatisés, comme indiqué à la deuxième question, des améliorations sont possibles. Mais la bonne nouvelle, c’est qu’il existe une technologie de gestion des risques qui permet d’automatiser le processus de gestion des risques à l’échelle de l’entreprise, y compris les risques qui peuvent avoir une incidence sur vos efforts en matière de cybersécurité et de protection de la vie privée des patients.
La bonne technologie de gestion des risques vous permettra de.. :
- Signalez facilement les atteintes à la vie privée touchant de un à plus de 500 patients.
- Effectuer des évaluations des risques fondées sur des normes
- Gérer les notifications de violation pour les parties affectées individuelles et multiples
- Suivi du respect des délais de notification
- Mener des enquêtes et l’analyse des causes profondes
- Suivre les données et les tendances à l’aide d’analyses avancées afin d’améliorer la situation.
Les avantages de ces fonctionnalités seront probablement les suivants : amélioration de la conformité à la loi HIPAA en ce qui concerne l’analyse des performances en matière de notification des violations ; réduction du temps nécessaire pour se conformer aux exigences de l’OCR en matière de rapports ; et simplification de la notification aux parties concernées.
Lorsqu’il s’agit de notifier les parties concernées, la bonne technologie de gestion des risques permet d’automatiser l’ensemble du processus grâce à des fonctions de fusion de courrier qui peuvent intégrer les coordonnées des parties concernées et d’autres données. Des modèles de lettres de notification préétablis et personnalisés simplifient également le processus. Tout cela rend moins onéreuse la production des notifications requises, en particulier lorsque des centaines ou des milliers de personnes concernées peuvent être impliquées.
En outre, l’automatisation peut également documenter ces activités pour vous – en ajoutant des horodatages à la génération des lettres et même en annexant automatiquement des copies des lettres générées aux dossiers de contact des patients dans votre système, ce qui facilite la démonstration de la conformité en cas d’enquête de l’OCR.
Si les récentes modifications apportées à l’outil de signalement des violations de la loi HIPAA de l’OCR sont des améliorations organisationnelles et cosmétiques relativement mineures, d’autres agences fédérales, comme l’Occupational Health and Safety Administration, ont apporté des améliorations plus significatives au signalement de la conformité en lançant des portails de soumission électronique. Selon toute vraisemblance, ce n’est qu’une question de temps avant que le HHS OCR ne leur emboîte le pas. Ainsi, alors que le HHS OCR s’efforce d’adapter les rapports HIPAA au 21e siècle, les prestataires de soins de santé doivent s’assurer qu’ils suivent le mouvement.
