Avec l’adoption croissante d’applications de soins de santé et d’appareils portables qui collectent des données médicales, l’importance de la confidentialité des données pour les entreprises HealthTech est plus grande que jamais. Les entreprises qui travaillent avec PHI doivent s’assurer qu’elles sont conformes à la loi HIPAA, sous peine d’amendes, de poursuites ou de fermetures.
Si vous êtes un développeur ou un architecte dans le domaine HealthTech, vous savez que HIPAA n’est qu’un point de départ si vous souhaitez fournir des protections de confidentialité vraiment robustes à vos utilisateurs.
Dans cet article, nous verrons comment vous pouvez implémenter de meilleures protections de confidentialité en utilisant un coffre-fort de confidentialité des données dans vos architectures d’application. Nous expliquerons également pourquoi il est important de dépasser le strict minimum de ce qui est requis par la loi pour les PHI, car en faire plus pour la confidentialité des données peut en fait vous faire gagner des utilisateurs et améliorer vos produits HealthTech.
Mais d’abord, jetons les bases avec un bref traitement de HIPAA et PHI.
Comprendre la conformité HIPAA et les PHI
HIPAA est la base de conformité pour la protection des données de santé des patients. Communément considérée comme la législation qui a codifié la confidentialité des données médicales aux États-Unis, HIPAA représente la barre minimale pour la sauvegarde des PHI que toute application dans le monde HealthTech doit respecter.
Pourquoi PHI est unique
Les données financières, telles qu’une carte de crédit réémise ou un pointage de crédit mis à jour, peuvent changer, et nous avons des normes, telles que PCI, pour réglementer l’utilisation de ces données. Les informations personnellement identifiables (PII), telles que l’adresse du domicile ou le numéro de permis de conduire, peuvent également changer. Pour la gestion des PII, nous avons des réglementations telles que GDPR ou CCPA.
Cependant, les PHI sont un type de données unique car la majorité des PHI ne change généralement pas. Par exemple, les résultats de laboratoire ou les entrées dans les antécédents médicaux d’un patient sont fixes. Pour cette raison, HIPAA prend très au sérieux la protection des données de santé des clients.
Comment les PHI sont définis
L’un des principaux moyens par lesquels HIPAA protège les patients aux États-Unis consiste à définir le type de données considérées comme PHI. Essentiellement, les PHI sont toutes les informations qui peuvent être utilisées pour identifier un individu et qui sont liées aux éléments suivants :
- La santé ou l’état de santé physique ou mental passé, présent ou futur de cette personne
- La prestation de soins de santé à cette personne
- Paiement pour la prestation de soins de santé à cette personne
Cela signifie que si le nom, les coordonnées, la photo ou le numéro d’identification d’une personne sont joints au point de données relatif à la santé, il est également considéré comme PHI et doit être conservé en toute sécurité.
Les règles HIPAA s’appliquent à ce que le ministère américain de la Santé et des Services sociaux (HHS) appelle les « entités couvertes et associés commerciaux », ainsi qu’à toutes les applications liées à la santé qui traitent des PHI. Ainsi, si votre application prend des données de santé et les associe à tout type d’identifiant pour une personne spécifique, vous êtes très susceptible d’être soumis à la loi HIPAA. Si vous opérez sans vous conformer à la loi HIPAA, vous êtes passible de sanctions sévères, notamment de lourdes amendes, des frais de réparation pour les clients et même d’être ajouté à une liste publique de violations communément appelée le mur de la honte HIPAA.
Du point de vue de la simple conformité, il est difficile d’exagérer l’importance de la loi HIPAA dans vos applications.
Comment un coffre-fort de confidentialité des données protège les PHI dans vos applications
Heureusement, il est possible de protéger les données PHI de vos utilisateurs dans vos applications. Le HHS fournit des conseils sur la façon d’anonymiser les PHI. Vous pouvez détacher les données de santé des identifiants afin qu’elles ne puissent plus être utilisées pour identifier un individu.
Méthodes d’anonymisation des PHIdu Département américain de la santé et des services sociaux
Cependant, le défi pour les applications HealthTech est de s’assurer qu’elles le font correctement. Il n’y a pas de place pour les erreurs. Si vous essayez de « déployer votre propre » solution, vous puisez de précieuses ressources d’ingénierie dans les besoins de votre cœur de métier et vous n’aurez pas la certitude d’avoir couvert toutes vos bases.
Au lieu de cela, de nombreux départements informatiques HealthTech d’aujourd’hui se tournent vers le modèle architectural de coffre-fort de confidentialité des données.
Le modèle architectural du coffre-fort de confidentialité des données
Un coffre-fort de confidentialité des données, et plus particulièrement un coffre-fort conçu pour traiter les données de santé, vous permet de stocker en toute sécurité les identifiants des utilisateurs dans un coffre-fort de données isolé et crypté, séparé des données transactionnelles normales. Ce type de coffre-fort de confidentialité des données de santé vous permet d’anonymiser les données de santé, protégeant à la fois vos utilisateurs et votre entreprise. En fournissant des capacités de tokenisation, de masquage et de rédaction, un coffre-fort de confidentialité des données rend le travail avec des données protégées beaucoup moins risqué.
Maintenant que nous avons discuté des risques de non-conformité et de la solution pour protéger les PHI des utilisateurs, la grande question est la suivante : cela en vaut-il la peine ? Au lieu d’adopter des outils éprouvés pour sécuriser pleinement vos données utilisateur, serait-il acceptable de simplement assumer certains risques et d’espérer le meilleur ? Considérons cela.
Réduire le risque (et la portée) d’une violation de données
Peut-être que votre application est déjà opérationnelle sans coffre-fort de confidentialité des données et que vous avez mis en place d’autres mécanismes pour protéger les PHI de vos utilisateurs.
Vous avez peut-être l’impression d’avoir déjà beaucoup investi et vous ne voulez pas consacrer plus d’efforts à quelque chose qui ressemble à un investissement net neutre. Mais il est important de réaliser que vous pouvez toujours vous retrouver sur le mur de la honte HIPAA avec une violation qui a un impact aussi peu que 500 utilisateursmême si vous disposez de protections de base.
Non seulement cela, mais le meilleur remboursement à vos utilisateurs pour leur confiance en vous est de construire un système plus fiable.
Bien qu’il puisse sembler que vous ayez respecté les normes HIPAA dans votre application pour l’anonymisation des PHI, réduire même un petit risque de violation en introduisant un coffre-fort de confidentialité des données peut gagner encore plus de confiance de la part de vos utilisateurs.
Jetez un œil à l’exemple d’architecture ci-dessus. Notez que seules les informations symbolisées, masquées ou expurgées seraient transmises entre les différentes parties de vos systèmes, vous permettant de dépasser les exigences HIPAA et de vous tenir à l’écart du mur de la honte.
Renforcer la confiance des utilisateurs
Construire un système centré sur la confidentialité fera plus que simplement vous éviter des ennuis. Il peut également être un excellent outil pour attirer les utilisateurs vers votre entreprise. En protégeant les données de vos applications, vous pouvez en faire un meilleur usage. Isoler les PHI de l’utilisateur dans un coffre-fort de confidentialité des données vous permet d’utiliser ces données dans divers flux de travail et d’extraire des informations précieuses sans compromis données identifiables.
Le choix d’un bon outil de gestion des PHI vous demandera également d’établir diverses politiques de gouvernance des données et des contrôles d’accès. En spécifiant ces éléments opérationnels de votre entreprise, vous pouvez vous assurer que la confiance de vos utilisateurs est bien placée.
Compte tenu de la forte demande de confidentialité dans toutes les technologies grand public aujourd’hui, et en particulier dans HealthTech, donner la priorité à ces politiques et normes distingue votre entreprise en tant que leader en matière de confidentialité, différenciant votre entreprise de ses concurrents.
Conclusion
Si vous souhaitez toujours en savoir plus sur la conformité HIPAA ou sur la façon dont un coffre-fort de confidentialité des données peut vous aider avec d’autres aspects de HIPAA, il existe de nombreuses informations à ce sujet.
Heureusement, avec les excellents outils disponibles sur le marché, la création d’une solution sécurisée pour votre application HealthTech est tout à fait possible et facile à démarrer immédiatement. Protéger vos utilisateurs contre les PHI compromis est une affaire sérieuse, alors assurez-vous d’utiliser les bons outils pour protéger les données de santé de vos utilisateurs.