HIPAA

Présentation

Un nombre croissant de prestataires de soins, d'organismes payeurs et de professionnels de l'informatique utilise les services utilitaires de cloud d'AWS pour traiter, stocker et transmettre les données de santé protégées (DSP).

AWS permet aux entités visées et à leurs collaborateurs soumis à la loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996 d'utiliser l'environnement sécurisé AWS pour traiter, gérer et stocker les données de santé protégées.

Pour obtenir des informations détaillées sur la manière dont vous pouvez utiliser AWS pour traiter et stocker les données de santé, consultez le livre blanc Architecture relative à la sécurité et à la conformité avec la loi HIPAA sur Amazon Web Services.

Clients AWS dans les domaines de la santé et des sciences de la vie

• Que sont l'HIPAA et l'HITECH ?

  La loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996 est conçue pour qu'il soit plus facile pour les travailleurs américains de conserver leur couverture d'assurance maladie lorsqu'ils changent de travail ou qu'ils perdent leur emploi. La loi cherche également à favoriser l'adoption des dossiers médicaux informatisés pour accroître l'efficacité et la qualité du système de santé américain grâce à un meilleur partage des informations.

  En plus d'accroître l'utilisation des dossiers médicaux informatisés, la loi HIPAA comprend des dispositions visant à préserver la sécurité et la confidentialité des données de santé protégées (DSP). Les DSP comprennent un très large ensemble de données médicales personnelles et d'informations en rapport avec la santé, notamment les informations d'assurance et de facturation, les données de diagnostic, les données de soins cliniques et les résultats de laboratoire tels que les résultats d'imagerie et d'analyse. La loi HIPAA s'applique aux entités visées, ce qui inclut les hôpitaux, les prestataires de services médicaux, les régimes de santé d'employeur, les centres de recherche et les compagnies d'assurance qui s'occupent directement des patients et de leurs données. L'exigence de la loi HIPAA selon laquelle les DSP doivent être protégées s'étend également aux collaborateurs.

  En 2009, la loi Health Information Technology for Economic and Clinical Health Act (HITECH) a permis de développer les règles définies par la loi HIPAA. Ensemble, les lois HIPAA et HITECH établissent un ensemble de normes fédérales destinées à préserver la sécurité et la confidentialité des données de santé protégées. Ces dispositions figurent dans ce que l'on appelle les règles de « simplification administrative ». Les lois HIPAA et HITECH imposent des exigences concernant l'utilisation et la divulgation des données de santé protégées, les mesures de protection appropriées des données de santé, les droits individuels et les responsabilités administratives.

  Pour plus d'informations sur la manière dont les lois HIPAA et HITECH protègent les données de santé, veuillez consulter la page web Health Information Privacy (confidentialité des données de santé) du Département de la Santé et des Services sociaux des États-Unis.
  

• Qu'est-ce que l'alliance HITRUST ?

  Le cadre de sécurité commune (Common Security Framework ou CSF) de l'alliance Health Information Trust (HITRUST) est, selon sa propre définition, « un cadre certifiable qui offre aux organisations une approche complète, flexible et efficace en matière de conformité réglementaire et de gestion des risques. Élaboré en collaboration avec des professionnels de la santé et de la sécurité de l'information, le cadre HITRUST CSF rationalise les règlements et normes en matière de santé en un cadre de sécurité global unique ».

  Le cadre HITRUST CSF sert à unifier les contrôles de sécurité de la loi fédérale (tels que les lois HIPAA et HITECH), nationale (les Standards for the Protection of Personal Information of Residents of the Commonwealth du Massachussetts) et les cadres non gouvernementaux (tels que le Conseil des normes de sécurité PCI) en un cadre unique et sur-mesure, destiné à répondre aux besoins en matière de soins de santé.

  AWS fournit une plateforme informatique fiable, évolutive et économique, capable de prendre en charge les applications des clients du secteur de la santé conformément aux lois HIPAA et HITECH, ainsi qu'au cadre HITRUST CSF.
  

• Qu'est-ce qu'une annexe au contrat partenaire ?

  En vertu de la loi HIPAA, les fournisseurs de services de cloud (cloud service providers ou CSP) tels qu'AWS sont considérés comme des collaborateurs. Une annexe au contrat partenaire (Business Associate Addendum ou BAA) est un contrat AWS requis en vertu des règles définies par la loi HIPAA, destiné à garantir qu'AWS préserve bien les données de santé protégées (DSP). Le BAA permet également de clarifier et de limiter, le cas échéant, les utilisations et communications des DSP autorisées pour AWS, et ce, sur la base de la relation existant entre AWS et nos clients, et des activités ou services assurés par AWS.
  

• Les annexes au contrat partenaire conclues par AWS respecteront-elles les règles et réglementations imposées par la loi HIPAA ?

  Oui. AWS présente une annexe au contrat partenaire (BAA) standard à ses clients. Il tient compte des services uniques qu'AWS fournit et s'adapte au modèle AWS de responsabilité partagée.

  Pour analyser, accepter et gérer le statut du BAA pour votre compte, connectez-vous sur AWS Artifact depuis l'AWS Management Console. Si vous n'avez pas accès à votre compte, demandez un compte IAM gratuit à votre administrateur et demandez l'accès aux politiques IAM d'Artifact.
  

  Procédure pas à pas : découvrez comment utiliser AWS Artifact pour accepter des accords pour plusieurs comptes de votre organisation. (2:07)
  

  Découvrez comment utiliser AWS Artifact pour accepter un accord pour votre compte. (1:39)
  

• AWS a-t-elle reçu la certification HIPAA ?

  Il n'existe aucune certification HIPAA pour un fournisseur de services cloud (CSP) tel qu'AWS. Pour respecter les exigences HIPAA applicables à notre modèle opérationnel, AWS met notre programme de gestion des risques HIPAA en conformité avec le programme FedRAMP et la spécification NIST 800-53, une norme de sécurité plus élevée qui est liée à la règle de sécurité HIPAA. Le NIST soutient cette mise en conformité et a publié la spécification 800-66, « An Introductory Resource Guide for Implementing the HIPAA Security Rule », qui explique de quelle manière la spécification NIST 800-53 s'aligne sur la règle de sécurité HIPAA.

• Quels services puis-je utiliser sur mon compte AWS si j'ai conclu une annexe au contrat partenaire avec AWS ?

  Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre des données de santé protégées (DSP) uniquement dans les services conformes à la législation HIPAA définis dans l'annexe au contrat partenaire (BAA). Pour accéder à la dernière liste des services AWS conformes à la législation HIPAA, veuillez consulter la page web Liste des services conformes à la législation HIPAA.

  AWS suit un programme de gestion des risques reposant sur des normes pour s'assurer que les services conformes à la législation HIPAA prennent en charge les processus de sécurité, de contrôle et d'administration requis par la loi HIPAA. L'utilisation de ces services pour stocker et traiter des données de santé protégées permet à nos clients et à AWS de répondre aux exigences HIPAA applicables à notre modèle opérationnel utilitaire. AWS classe les services éligibles par ordre de priorité et en ajoute de nouveaux en fonction de la demande des clients.

  Pour en savoir plus sur notre programme de partenariat ou pour demander de nouveaux services éligibles, veuillez nous contacter.
  

• Je suis un partenaire AWS SaaS avec un BAA et je vends mes solutions SaaS à des prestataires de soin ou à d'autres entités visées. Ces entités visées doivent-elles également signer un BAA avec AWS ?

  Il s'agit d'un scénario très courant, et nombre de partenaires de solutions HIPAA exécutent leurs offres de logiciels en tant que services (SaaS) sur AWS. En tant que partenaire AWS SaaS, vous signez une annexe au contrat partenaire (BAA) avec AWS. Ensuite, chaque prestataire de soin ou entité visée signe un BAA avec vous seul, le partenaire AWS SaaS. Si l'entité visée qui fait appel à vos solutions SaaS est également un client direct d'AWS dans le domaine des systèmes conformes à la législation HIPAA, l'entité visée devra peut-être conclure un BAA avec vous et un autre avec AWS.
  

• Le programme de conformité à la législation HIPAA d'AWS nécessite-t-il que j'utilise les instances ou les hôtes dédiés d'Amazon EC2 pour traiter des données de santé protégées ?

  Les clients AWS et les partenaires du réseau APN (Amazon Partner Network) qui ont signé une annexe au contrat partenaire (BAA) avec AWS ne sont pas obligés d'utiliser les instances ou les hôtes dédiés d'Amazon Elastic Compute Cloud (EC2) pour traiter des données de santé protégées (DSP). Avant le 15 mai 2017, le programme de conformité à la législation HIPAA d'AWS exigeait des clients traitant des DSP à l'aide d'Amazon EC2 qu'ils utilisent les instances ou les hôtes dédiés, mais cette exigence n'existe plus.