Alors que la règle de sécurité HIPAA s’apprête à faire l’objet d’une refonte majeure pour renforcer la protection des cybersécurités, les Organisations de services professionnels (PEO) doivent prêter attention à ces changements. En tant que gardiennes des données des employés et des clients, ainsi que sponsors des régimes de santé collectifs, les PEO seront profondément affectées par les nouvelles exigences en matière de classification des données, de sécurité, d’exigences contractuelles et de flux de travail opérationnels. Les PEO font face à des défis uniques et doivent donc suivre de près ces changements réglementaires potentiels issus du Département de la Santé et des Services sociaux (HHS).

Résumé de la règle proposée

Plus tôt cette semaine, le HHS a publié une règle proposée visant à sécuriser la confidentialité et l’intégrité des informations de santé protégées de manière électronique (ePHI), en réponse à la montée des violations et cyberattaques ciblant les organisations de santé et d’autres gestionnaires de données sensibles. Face à l’augmentation significative des cyberattaques sur les données de santé, l’agence propose de renforcer la protection de l’ePHI en mettant en place des exigences robustes en matière de cybersécurité et en s’attaquant à la sophistication croissante des cybermenaces.

Vous pouvez consulter un examen complet des changements proposés dans notre analyse approfondie ici. Certains des changements clés incluent :

  • Rendre toutes les obligations de cybersécurité obligatoires, supprimant ainsi l’exception qui permettait d’ignorer certaines règles si elles n’étaient pas appropriées dans certaines situations.
  • Exiger que les entités concernées créent et maintiennent un inventaire écrit des actifs technologiques et une cartographie du réseau traçant le mouvement de l’ePHI à travers leurs systèmes électroniques.
  • Imposer aux entités couvertes de développer une évaluation des risques écrite détaillée identifiant les menaces raisonnablement anticipées et les vulnérabilités potentielles.

Ceci n’est que le début. Notre analyse fournit un résumé détaillé que nous vous encouragerons à examiner.

Pourquoi les PEO doivent-elles s’en soucier ?

Étant donné l’ampleur de ces changements proposés, les PEO considérées comme entités couvertes devraient se familiariser avec les nouvelles règles et exigences. Si la règle est finalisée comme proposé, vous devrez vous préparer à :

  • Assurer une classification appropriée des données en votre possession et cartographier tous les flux de travail de l’ePHI;
  • Mettre en œuvre des mesures de sécurité avancées pour protéger l’ePHI dans les documents des régimes de santé et garantir la conformité des agents;
  • Surveiller et traiter les menaces émergentes en cybersécurité ; et
  • Évaluer les tiers agissant comme sous-traitants et réexaminer les accords avec ces partenaires.

Bien que les PEO doivent toujours s’efforcer de maintenir une excellente conformité et un bon niveau de sécurité, elles doivent particulièrement prendre en compte les questions d’efficacité et d’évolutivité lors de la préparation à la mise en œuvre de changements nécessaires. Évidemment, il sera également important de réévaluer les pratiques de conformité HIPAA actuelles de votre PEO pour garantir qu’elles sont en accord avec les changements proposés.

Quelles sont les prochaines étapes ?

Comme expliqué dans notre analyse, la règle proposée est désormais ouverte aux commentaires du public jusqu’au 7 mars. Si votre PEO souhaite participer à la discussion et soumettre des commentaires, nous vous conseillons de contacter votre avocat PEO chez Fisher Phillips ou FP Advocacy pour vous aider dans vos retours sur la réglementation.

Conclusion

Fisher Phillips continuera à suivre les évolutions et à fournir des mises à jour au besoin, donc assurez-vous de rester informé en vous abonnant au système d’information de Fisher Phillips pour recevoir les dernières informations directement dans votre boîte mail. Pour plus d’informations, n’hésitez pas à contacter votre avocat chez Fisher Phillips, les auteurs de cette analyse ou tout membre de l’équipe de Protection et d’Advocacy pour les PEO de notre cabinet. Vous pouvez également solliciter l’assistance de notre équipe spécialisée en protection des données et cybersécurité.

Bon à savoir

  • Les PEO doivent anticiper des processus de mise en conformité plus rigoureux dans un cadre législatif évolutif.
  • Des formations spécifiques pourraient être nécessaires pour sensibiliser les équipes aux nouvelles obligations en matière de sécurité des données.
  • La collaboration avec des consultants en cybersécurité pourrait s’avérer bénéfique pour adopter les meilleures pratiques.

La mise en œuvre de nouvelles mesures de sécurité pourrait également susciter des réflexions autour des approches actuelles de gestion des données. Une réévaluation stratégique pourrait non seulement améliorer la conformité, mais également apporter une valeur ajoutée à la confiance et à la fidélité des clients sur le long terme. Il sera donc intéressant d’observer comment les PEO s’adapteront à ces nouvelles exigences tout en maintenant l’efficacité opérationnelle.



  • Source image(s) : www.fisherphillips.com
  • Source : https://www.fisherphillips.com/en/news-insights/peos-need-to-prepare-for-increased-cybersecurity-requirements-thanks-to-proposed-hipaa-security-rule-revisions.html


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *