La certification HIPAA n'existe pas : 4 mythes entourant les fournisseurs d'hébergement

Ron Shoop, vice-président principal, directeur national des ventes et des alliances stratégiques, Medical Web Experts

Alors que de plus en plus de médecins intègrent leurs DME à des portails patients tiers, ils cherchent à clarifier de nombreux points afin de respecter les différentes réglementations et d'obtenir une attestation d'utilisation significative. Il peut être difficile de distinguer les faits des idées reçues. Clarifions et dissipons donc quatre mythes spécifiques à ce sujet. HIPAA « certification » parmi les fournisseurs d’hébergement.

Mythe n°1 : Mon hébergeur actuel ou potentiel est certifié HIPAA.
Fait: Il n'existe pas de certification HIPAA pour une organisation, une société d'hébergement ou un fournisseur. Il existe des directives et des certifications qui peuvent inclure tout ou partie des directives de la loi HIPAA. Il est donc impossible pour une société d'hébergement, un fournisseur de portail patient ou tout autre développeur de technologies de la santé d'obtenir une certification HIPAA. (Une société d'hébergement peut toutefois reconnaître la nature de la loi HIPAA et déclarer qu'elle adhérer à ces réglementations dans leurs propres pratiques commerciales ou dans une offre de produits particulière – ce qui est actuellement le cas avec certaines sociétés d’hébergement.)

Mythe n°2 : Mon hébergeur actuel ou potentiel est certifié SSAE16.
Fait: Dans le secteur de l'hébergement, il existe une norme d'audit appelée SSAE16 (anciennement SAS70). Il est important de comprendre qu'il s'agit d'une norme d'audit, qui sert de guide pour l'attestation de conformité à la norme. Par conséquent, il n'existe pas de « certification SSAE16 ».

Vous pouvez toutefois effectuer une mission d'attestation SSAE16 et recevoir différents niveaux de rapports. Ces rapports sont destinés aux organisations proposant des services externalisés susceptibles d'avoir une incidence sur les états financiers des entreprises qui utilisent leurs services. Les organisations qui traitent les données financières de leurs clients reçoivent un rapport SSAE16/SOC 1. Les fournisseurs de solutions d'infrastructure informatique en tant que service (IaaS), comme la plupart des hébergeurs, sont audités conformément à la section 101 AT des normes professionnelles de l'AICPA et publient des rapports SOC 2 et SOC 3. Les directives énoncées dans la norme SSAE16 englobent généralement les directives de normes telles que HIPAA et PCI.

Mythe n° 3 : La loi HIPAA se concentre généralement sur la manière dont les entreprises (et en particulier les prestataires de soins de santé) traitent les informations des patients.
Fait: Dans la plupart des cas, les hébergeurs ne « traitent » pas les données. Il s'agit donc généralement d'une situation à faible risque comparée à la façon dont les logiciels « transmettent » les données ou dont les « entités concernées » (organismes de santé, organismes payeurs, fournisseurs de DME et de portails patients, etc.) contrôlent l'accès aux données. Il existe des « règles » spécifiques qu'un hébergeur classique devrait suivre pour se conformer aux exigences. Directives HIPAAIl incombe toutefois à l’organisme de soins de santé de mettre en œuvre les meilleures pratiques pour garantir que les données sont conservées en toute sécurité du début à la fin.

Mythe n° 4 : la loi HIPAA impose des exigences minimales en matière de matériel de serveur.
Fait: Les directives HIPAA ne précisent ni ne mentionnent d'exigences matérielles spécifiques, telles que l'utilisation de pare-feu ou de serveurs « certifiés », contrairement à ce que suggèrent certains experts du secteur. Vous pouvez certes demander conseil à des fournisseurs tiers, mais attention à l'acheteur !

Voici quelques ressources HIPAA supplémentaires :

• Résumé des Règle de confidentialité HIPAA
• Directives de configuration conformes à la loi HIPAA pour la sécurité de l'information dans un environnement de centre médical
• Programmes et politiques de certification ONC-OTCB
• Comprendre la conformité SSAE16

À propos de Ron Shoop :

La passion de Ron pour les portails patients est née à l'automne 2010, après près de 20 ans passés comme directeur financier et comptable. Lorsqu'un client potentiel lui a parlé pour la première fois de l'univers des portails patients et de la télémédecine, il a immédiatement compris. Ron a effectué des recherches approfondies sur le sujet : qui étaient les acteurs du marché, où en étaient leurs solutions et quelles étaient les difficultés. Il a rapidement décroché un poste de vice-président senior au sein d'une entreprise leader de télémédecine, où il présentait des solutions de télétriage et de télésurveillance des patients (RPM) à des entreprises autofinancées, aux services Medicaid des États et aux hôpitaux. Aujourd'hui, il vit sa passion au quotidien chez MWE en fournissant des portails patients et des solutions de télémédecine à des clients potentiels. Ron est SVP, Responsable national des ventes et alliances stratégiques, Experts Web médicaux.