Je souhaite avoir des informations sur HIPAA dans le cloud

 

 

HIPAA AWS

Un nombre élevé et croissant de prestataires de soins, d'organismes payeurs et de professionnels de l'informatique utilise les services utilitaires de cloud d'AWS pour traiter, stocker et transmettre des données de santé protégées.

AWS permet aux entités et à leurs partenaires soumis à la législation américaine Health Insurance Portability and Accountability Act (HIPAA) de tirer parti de l'environnement sécurisé AWS pour traiter, gérer et stocker les données de santé protégées.

AWS met un livre blanc consacré à la loi HIPAA à la disposition des clients souhaitant savoir comment exploiter AWS pour le traitement et le stockage des données de santé. Le livre blanc « Creating HIPAA-Compliant Medical Data Applications with AWS » explique comment les entreprises peuvent utiliser AWS pour mettre en place des systèmes qui facilitent la mise en conformité par rapport aux lois HIPAA et HITECH.

Vous cherchez à démarrer avec AWS Artifact ? Consultez les instructions écrites détaillées » 

Vous n'avez pas accès à votre compte ? Demandez un compte IAM gratuit à votre administrateur et ainsi que l'accès aux politiques Artifact IAM.

Vidéo détaillée (2:15)

Security-Identity-Compliance_AWS Artifact

BAA hors ligne (1:45)

Security-Identity-Compliance_AWS Artifact

Vous voyez un message d'erreur ? (0:55)

Security-Identity-Compliance_AWS Artifact

Complétez la BAA en ligne (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

La loi HIPAA (Health Insurance Portability and Accountability Act) a été adoptée en 1996. La législation visait à permettre aux workers de facilement conserver leur assurance maladie lorsqu'ils changeaient de travail ou perdaient leur emploi. La législation cherchait également à favoriser l'adoption des dossiers médicaux informatisés pour accroître l'efficacité et la qualité du système de santé américain grâce à un meilleur partage des informations.

En plus d'accroître l'utilisation des dossiers médicaux informatisés, la législation comprenait des dispositions visant à préserver la sécurité et la confidentialité des données de santé protégées. Les données de santé protégées comprennent un très large ensemble de données médicales personnelles et d'informations en rapport avec la santé, des informations d'assurance et de facturation aux données de diagnostic, en passant par les données de soins cliniques et les résultats de laboratoire tels que les résultats d'imagerie et d'analyse. Les règles s'appliquent aux « entités visées », ce qui inclut les hôpitaux, les prestataires de services médicaux, les régimes de santé d'employeur, les centres de recherche et les compagnies d'assurance qui s'occupent directement des patients et de leurs données. La législation et les règlements étendent également l'exigence de protection des données de santé aux « partenaires ».

La loi HIPAA a été renforcée par la loi HITECH (Health Information Technology for Economic and Clinical Health Act) en 2009. Les lois HIPAA et HITECH établissent un ensemble de normes fédérales destinées à préserver la sécurité et la confidentialité des données de santé protégées. Ces dispositions figurent dans ce que l'on appelle les règles de « simplification administrative ». Les lois HIPAA et HITECH imposent des exigences concernant l'utilisation et la divulgation des données de santé protégées, les mesures de protection appropriées des données de santé, les droits individuels et les responsabilités administratives. Pour en savoir plus sur la manière dont les lois HIPAA et HITECH protègent les données de santé, rendez-vous sur : http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

L'alliance HITRUST (Health Information Trust) ou le cadre de sécurité commune HITRUST CSF (Common Security Framework) est, selon sa propre définition, « un cadre certifiable qui offre aux organisations une approche complète, flexible et efficace en matière de conformité réglementaire et de gestion des risques. Elaboré en collaboration avec des professionnels de la santé et de la sécurité de l'information, le cadre HITRUST CSF rationalise les règlements et normes en matière de santé en un cadre de sécurité global unique ».

Le cadre HITRUST CSF permet d'unifier les contrôles de sécurité prévus par la législation fédérale, tels que les lois HIPAA/HITECH, par la loi de l'État, tels que les lois du Massachusetts, et par des cadres non gouvernementaux, tels que les objectifs COBIT et la norme PCI-DSS, dans un cadre unique adapté aux besoins du secteur de la santé et pouvant être utilisé dans ce domaine.

AWS fournit une plate-forme informatique fiable, évolutive et économique, capable de prendre en charge les applications des clients du secteur de la santé conformément aux lois HIPAA et HITECH, ainsi qu'au cadre HITRUST CSF. Par exemple, l'un de nos clients a créé un environnement au sein d'AWS qui a été jugé conforme aux lois HIPAA/HITECH dans le cadre d'un audit, et qui a été certifié conforme au cadre HITRUST.

En vertu de la loi HIPAA (Health Insurance Portability and Accountability Act), un « partenaire » est une personne ou une entité qui exerce des fonctions ou des activités au nom d'une entité visée ou qui lui fournit certains services, sans être employée par cette dernière. Le terme « partenaire » désigne également un sous-traitant qui crée, reçoit, gère ou transmet des données de santé protégées au nom d'un autre partenaire – au titre de la réglementation HIPAA, des fournisseurs de services de cloud tels qu'AWS sont considérés comme des partenaires. Les règles HIPAA exigent généralement que les entités visées et les partenaires concluent des contrats pour s'assurer que les partenaires protègeront de manière appropriée les données de santé confidentielles. Le contrat de partenariat permet également de préciser et de limiter, selon le cas, les utilisations et les divulgations autorisées des données de santé protégées par le partenaire, en fonction des relations entre les parties et des activités ou services exécutés par le partenaire. AWS appelle ces contrats « annexes au contrat partenaire ».

Oui. AWS présente une annexe au contrat partenaire standard à ses clients. Elle tient compte des services uniques qu'AWS fournit et s'adapte au modèle AWS de responsabilité partagée.

Vous pouvez utiliser AWS Artifact pour consulter, accepter et gérer le statut de l'annexe au contrat partenaire (BAA, Business Associate Addendum) de votre compte.

Il n'existe aucune certification HIPAA pour un fournisseur de cloud tel qu'AWS. Pour respecter les exigences HIPAA applicables à notre modèle opérationnel, AWS met notre programme de gestion des risques HIPAA en conformité avec le programme FedRAMP et la spécification NIST 800-53, une norme de sécurité plus élevée qui est liée à la règle de sécurité HIPAA. Le NIST soutient cette mise en conformité et a publié la spécification SP 800-66, « An Introductory Resource Guide for Implementing the HIPAA Security Rule », qui explique de quelle manière la spécification NIST 800-53 s'aligne sur la règle de sécurité HIPAA.

Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre des données de santé protégées uniquement dans les services conformes à la législation HIPAA définis dans l'accord de partenariat. Le document de référence Services éligibles selon la loi HIPAA présente la liste mise à jour des services éligibles selon la loi HIPAA. 

AWS suit un programme de gestion des risques reposant sur des normes pour s'assurer que les services conformes à la législation HIPAA prennent en charge les processus de sécurité, de contrôle et d'administration requis par la loi HIPAA. L'utilisation de ces services pour stocker et traiter des données de santé protégées permet à nos clients et à AWS de répondre aux exigences HIPAA applicables à notre modèle opérationnel utilitaire. AWS classe les services éligibles par ordre de priorité et en ajoute de nouveaux en fonction de la demande des clients.

Pour en savoir plus sur notre programme de partenariat ou pour demander de nouveaux services éligibles, veuillez nous contacter.

Non. Il s'agit d'un scénario très courant et un certain nombre de partenaires proposant des solutions innovantes conformes à la législation HIPAA exécutent leurs offres SaaS sur AWS. Dans ce cas, chaque prestataire de santé ou entité visée conclut un accord de partenariat uniquement avec le partenaire SaaS, lequel conclut à son tour ce même type d'accord avec AWS. Si l'entité visée qui fait appel au partenaire SaaS est également un client direct d'AWS dans le domaine des systèmes conformes à la législation HIPAA, l'entité visée devra peut-être conclure un accord de partenariat avec le partenaire SaaS et un accord similaire avec AWS.

À compter du 15 mai 2017, les clients d'AWS et les partenaires APN qui ont signé une annexe au contrat partenaire (Business Associate Addendum [BAA]) avec AWS n'auront plus à utiliser des instances dédiées ou des hôtes dédiés Amazon EC2 pour traiter les données de santé protégées (PHI). Jusqu'à présent, le programme de conformité à HIPAA d'AWS exigeait que les clients qui traitaient des données de santé protégées (PHI) avec Amazon EC2 devaient utiliser des instances dédiées ou des hôtes dédiés. Cette exigence a été supprimée.

AWS met un livre blanc consacré à la loi HIPAA à la disposition des clients souhaitant savoir comment exploiter AWS pour le traitement et le stockage des données de santé. Le livre blanc Creating HIPAA-Compliant Medical Data Applications with AWS explique comment les entreprises peuvent utiliser AWS pour mettre en place des systèmes qui facilitent la mise en conformité par rapport aux lois HIPAA et HITECH.

Ressources HIPAA

 

Contactez-nous