Les soins de santé ont du mal à équilibrer les demandes HIPPA et les attentes des clients

  • Français


  • Une vue extérieure du siège de l’assurance maladie Anthem. Environ 80 millions de dossiers d’entreprise ont été consultés dans l’une des plus grandes violations de données sur les soins de santé. L’entreprise a été frappée d’amendes de 16 millions de dollars liées à des violations de la loi HIPPA en matière de sécurité et de notification. Anthem a payé beaucoup plus pour régler un recours collectif et les actions des procureurs généraux des États américains. (Photo par Aaron P. Bernstein/Getty Images)

    Naviguer dans une réponse aux violations, gérer la crise de relations publiques qui en résulte souvent et éradiquer les pirates du réseau nécessite un équilibre minutieux des exigences et une équipe de réponse aux incidents compétente. Mais dans des secteurs hautement réglementés comme les soins de santé, cet équilibre est compliqué par la nécessité de garantir la conformité et d’éviter les amendes potentielles.

    Et pourtant, les mêmes réglementations qui exigent des rapports rapides n’exigent que des détails modestes à fournir aux clients. Cela laisse les organisations de soins de santé décider elles-mêmes jusqu’à quel point elles choisissent d’être transparentes – et de gérer les conséquences de ces décisions.

    “L’intention de la notification est de communiquer aux individus que leurs données ont été compromises, mais il n’y a aucune obligation de fournir des informations ou des informations sur la façon dont la violation s’est produite”, a déclaré Corinne Smith, avocate en vertu de la loi Health Insurance Portability and Accountability Act et actionnaire de Winstead PC. “En conséquence, vous pouvez vous attendre à continuer de voir les fournisseurs donner des notifications de violation assez vagues.”

    Une histoire d’échec

    Les entités couvertes par les soins de santé sont souvent confrontées à un examen minutieux des notifications tardives, des notifications de violation vagues et de la réponse globale, malgré les normes spécifiques énoncées dans la HIPPA pour ce qui est attendu des fournisseurs à la suite d’une violation. Chaque année, un nombre constant de fournisseurs omettent intentionnellement ou par inadvertance certaines informations requises ou fournissent un avis bien en dehors du respect de la règle.

    Un rapport CynergisTek de septembre 2020 a révélé que seulement 76% des prestataires de soins de santé se conforment à la règle de sécurité HIPAA, une statistique qui est restée statique pendant plusieurs années.

    Selon le ministère de la Santé et des Services sociaux, les avis doivent être envoyés sans retard injustifié et au plus tard 60 jours après la découverte d’une violation. Les notifications doivent inclure « la nature et l’étendue des informations de santé protégées impliquées, y compris les types d’identifiants et la probabilité de ré-identification ; la personne non autorisée qui a utilisé les informations médicales protégées ou à qui la divulgation a été faite ; si les informations de santé protégées ont été réellement acquises ou consultées ; et la mesure dans laquelle le risque pour les informations de santé protégées a été atténué.

    L’exigence de calendrier est assez claire, a déclaré Smith, bien qu’il puisse y avoir des raisons pour lesquelles certains fournisseurs ne respectent pas cette partie de la HIPAA.

    “Parfois, les fournisseurs mettent plus de temps à signaler parce qu’ils essaient toujours de déterminer l’étendue de la violation et quels enregistrements ont réellement été touchés”, a-t-elle déclaré. De plus, “ils ne savaient peut-être pas qu’ils avaient été piratés pendant un certain temps si leurs outils de surveillance internes étaient déficients”.

    Dans ce dernier cas, la notification intervient lorsqu’ils sont informés de l’incident, qui peut s’être produit des mois auparavant.

    La récente notification de la Wolfe Eye Clinic est un excellent exemple de ce type de retard. Une attaque de ransomware a été détectée en février, mais la complexité de l’attaque a caché la violation aux enquêteurs pendant plusieurs mois.

    Des retards peuvent également survenir en raison d’audits médico-légaux qui ne trouvent pas initialement des informations de santé protégées compromises, a-t-elle ajouté.

    L’équipe de sécurité d’Impact Advisors, qui comprend le vice-président Mike Garzone et les conseillers principaux Marc Johnson et Stephen Collins, a confirmé que l’exigence de temps dans HIPAA est un défi pour de nombreux fournisseurs, mais les retards ne sont pas nécessairement intentionnels. Les enquêtes visant à déterminer si une violation d’informations sur la santé s’est réellement produite prennent du temps, en particulier avec une minuterie en cours. Impact Advisors a ajouté que la plupart des fournisseurs tentent de fournir autant d’informations précises que possible, ce qui nécessite une diligence raisonnable “pour acquérir une confiance et une certitude de niveau supérieur avant la soumission”.

    Les retards peuvent également être attribués à des examens juridiques de la messagerie publique, qui peuvent également inclure des heures cruciales dans le calendrier de réponse aux incidents.

    Combien d’informations doivent être rendues publiques ?

    Ces derniers mois, plusieurs notifications de violation ont mis en évidence les différentes voies empruntées par les fournisseurs avec les notifications de violation. Un fournisseur a récemment informé les patients que leurs données avaient été consultées et volées plus de neuf mois auparavant, mais n’a pas expliqué la raison du retard.

    Dans le cas d’Alina Lodge, le centre de traitement a informé les patients d’un incident de 2020 causé par une attaque de ransomware ciblant son fournisseur. L’avis détaillait la notification tardive et fournissait aux patients un accès à des services de surveillance du crédit et de protection de l’identité.

    Ces approches contrastées de la notification soulèvent la question suivante : dans quelle mesure les fournisseurs doivent-ils être transparents pour se conformer à la HIPAA ?

    “Il est important de souligner qu’il n’est pas nécessaire d’expliquer la cause première de la violation ou de fournir des détails à ce sujet”, a déclaré Smith.

    Au lieu de cela, les organisations sont censées fournir, dans la mesure du possible, une brève description de la violation, une description des types d’informations impliquées, les mesures que les personnes concernées doivent prendre pour se protéger des dommages potentiels et une brève description de l’entité couverte. faire pour enquêter, atténuer les dommages et prévenir de nouvelles violations.

    HIPAA exige que les entités couvertes et les partenaires commerciaux concernés informent les personnes qui seront probablement lésées par la perte ou le vol de leurs informations de santé, ce qui est «à peu près l’étendue de cela», a noté la direction d’Impact Advisors. Cette notification doit se faire directement, généralement par lettre ou par e-mail. Une organisation peut également publier un avis en ligne, ce qui se produit généralement lorsqu’une entité couverte dispose de coordonnées insuffisantes ou obsolètes.

    Smith a ajouté qu’il n’y a pas non plus d’obligation pour une entité impactée de fournir des notifications fréquentes lors d’un incident de sécurité et/ou d’une enquête non plus. Un seul avis est requis une fois l’enquête terminée.

    Bien entendu, les incidents peuvent être trop complexes pour être expliqués aux personnes concernées. Et bien que la transparence soit cruciale, la direction d’Impact Advisors note que les organisations violées ne devraient pas estimer publiquement l’impact d’un événement sans les faits.

    « Nous ne conseillerions jamais à un client de spéculer sur la nature ou l’étendue d’une violation. Ce qui préoccupe le plus les personnes touchées, c’est l’impact, il est donc important d’être transparent sur cet impact et les efforts de remédiation ou de restauration », ont expliqué les dirigeants.

    En effet, la transparence met en lumière les défauts, humains et autres, ont-ils déclaré, qui, dans des circonstances idéales, peuvent conduire à l’atténuation et à l’amélioration. « La transparence permet une visibilité sur la nature réelle du problème et les tendances ultérieures. Cela montrera la nature réelle de l’activité au lieu d’une représentation biaisée en raison de la dissimulation des faits. »

    Comprendre les exigences par rapport aux avantages pour la réputation

    Bien que HIPAA n’oblige pas les fournisseurs à offrir un avis détaillé, les entités qui accélèrent peuvent découvrir des avantages en termes de réputation, de marque et de perception du public, a expliqué Smith.

    « À mon avis, les meilleurs avis de violation sont ceux qui sont opportuns et offrent l’avantage d’une surveillance gratuite du crédit afin que le consommateur n’ait pas à s’inquiéter des retombées personnelles de la violation », a-t-elle ajouté. “Je ne pense pas que les consommateurs soient particulièrement influencés ou impressionnés par une explication très détaillée de la violation.”

    En ce qui concerne la conformité HIPAA et les enquêtes de l’Office for Civil Rights, les plus grands règlements OCR proviennent de prestataires de soins de santé qui n’ont pas réussi à démontrer des évaluations de risques adéquates, ainsi que de ceux qui ne disposent pas de contrôles matériels et logiciels suffisants.

    D’autres règlements importants ont découlé d’entités couvertes qui n’ont pas fourni de notification de violation adéquate.

    Par exemple, le règlement OCR le plus important a été imposé à Anthem pour 16 millions de dollars après une violation de données en 2014. L’audit OCR a révélé que l’assureur n’avait pas répondu à une violation détectée, en plus des contrôles techniques insuffisants sur leurs systèmes. Ces coûts n’incluent pas les 115 millions de dollars payés par Anthem pour régler un recours collectif consolidé, ou 48 millions de dollars pour régler les actions des procureurs généraux des États dans différents États américains.

    Pour les conseillers d’impact, de nombreux fournisseurs s’engagent avec leur fournisseur de cyber-assurance pour les aider dans les efforts de réponse aux violations. Bien qu’elles soient recommandées pour les services juridiques et médico-légaux fournis, les entités ne devraient pas se fier uniquement à ces services.

    En outre, les entités devraient s’engager de manière proactive avec les cyber-assureurs, dont beaucoup fourniront des exercices gratuits sur table.

    « Nous avons observé que les assureurs sont de plus en plus diligents dans leurs efforts pour évaluer la maturité d’une organisation dans la prévention et la réponse aux incidents avant de fournir une couverture », a expliqué Impact Advisors. « C’est une bonne tendance ; cependant, de nombreux assureurs prescrivent des technologies très spécifiques en désespoir de cause. Cette tendance n’est pas si bonne.

    « Les organisations doivent examiner leur programme de sécurité de manière holistique, non seulement les contrôles techniques, mais également les objectifs de gouvernance et de conformité. Considérer le service de conformité comme un partenaire est essentiel à la réussite d’un programme », ont-ils ajouté. Les équipes commerciales de l’entreprise doivent également être impliquées dans les discussions sur la sécurité, ainsi que d’autres départements concernés, qui peuvent aider aux processus de récupération en cas d’incident.

    Pour assurer la conformité avec HIPAA, les fournisseurs doivent avoir des politiques écrites qui décrivent les exigences légales pour les notifications de violation. Smith a ajouté que la création d’une «équipe de réponse aux notifications de violation», comprenant un conseiller juridique, les responsables de la confidentialité et de la sécurité et l’équipe des médias, peut mieux soutenir les efforts de réponse aux violations.

    Et lorsqu’une violation se produit, les fournisseurs doivent conserver une documentation affirmant que toutes les notifications requises ont été envoyées ou des documents pertinents qui montrent qu’un avis n’était pas requis par la HIPAA, a-t-elle ajouté.

    Les raisons conformes à la HIPAA pour ne pas envoyer d’avis comprennent « une faible probabilité que les informations de santé protégées aient été compromises par une utilisation ou une divulgation non autorisée ; ou l’application de toute autre exception à la définition de « violation ».

    “L’opportunité d’une notification de violation n’est généralement pas le premier ou le seul sujet de préoccupation de l’OCR”, a déclaré Smith. «Ils sont plus susceptibles d’imposer des amendes aux organisations qui ont des défaillances plus systémiques. Cependant, il est important de noter qu’il y a eu des occasions où l’OCR a imposé une amende pour un retard de notification.

    « L’OCR est convaincu que les individus ont besoin d’être informés rapidement d’une violation de leurs RPS non sécurisés afin qu’ils puissent prendre des mesures pour aider à atténuer tout préjudice potentiel causé par la violation », a-t-elle conclu.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *