Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règle finale omnibus HIPAA

AWS Audit Manager fournit un cadre standard prédéfini qui soutient la règle finale omnibus de la Health Insurance Portability and Accountability Act (HIPAA).

Qu’est-ce que la loi HIPAA et HIPAA Final Omnibus Security Rule ?

L'HIPPA est une législation qui aide les travailleurs américains à conserver leur couverture d'assurance maladie lorsqu'ils changent d'emploi ou perdent leur emploi. La législation vise également à encourager les dossiers médicaux électroniques afin d’améliorer l’efficacité et la qualité du système de santé américain grâce à un meilleur partage d’informations.

Outre l’augmentation de l’utilisation des dossiers médicaux électroniques, la loi HIPAA inclut des dispositions visant à protéger la sécurité et la confidentialité des informations de santé protégées (PHI). Les PHI couvrent un très large ensemble de données personnelles identifiables en lien avec la santé. Cela inclut les informations d’assurance et de facturation, les données de diagnostic, les données de soins cliniques et les résultats de laboratoire tels que les images et les résultats de tests.

La règle HIPAA Final Omnibus Security Rule, entrée en vigueur en 2013, met en œuvre un certain nombre de mises à jour de toutes les règles précédemment adoptées. Les modifications apportées aux règles de sécurité, de confidentialité, de notification des violations et d’application visaient à améliorer la confidentialité et la sécurité du partage des données.

Les règles HIPAA s’appliquent aux entités couvertes. Il s’agit notamment des hôpitaux, des prestataires de services médicaux, des régimes de santé parrainés par les employeurs, des centres de recherche et des compagnies d’assurance qui traitent directement les patients et leurs données. Dans le cadre des mises à jour générales, de nombreuses règles HIPAA qui s’appliquent aux entités couvertes s’appliquent désormais également aux partenaires commerciaux.

Pour plus d’informations sur la manière dont les lois HIPAA et HITECH protègent les informations de santé, consultez la page Web Health Information Privacy du ministère américain de la Santé et des Services sociaux.

De plus en plus de prestataires de soins de santé, de payeurs et de professionnels de l'informatique utilisent des services cloud AWS basés sur les utilitaires pour traiter, stocker et transmettre des informations de santé protégées (PHI). AWS permet aux entités couvertes et à leurs partenaires commerciaux soumis à la loi HIPAA d'utiliser l' AWS environnement sécurisé pour traiter, gérer et stocker des informations de santé protégées. Pour obtenir des instructions sur la manière dont vous pouvez AWS les utiliser pour le traitement et le stockage des informations de santé, consultez le livre blanc Architecting for HIPAA Security and Compliance on Amazon Web Services.

Utilisation de ce framework

Vous pouvez utiliser le framework HIPAA Omnibus Final Rule pour vous aider à vous préparer aux audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces contrôles sont regroupés en ensembles de contrôles conformément aux exigences HIPAA. Vous pouvez également personnaliser ce framework et ses contrôles pour prendre en charge les audits internes répondant à des exigences spécifiques.

En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des éléments probants pertinents pour votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer vos AWS ressources. Pour ce faire, il se base sur les contrôles définis dans le framework HIPAA. Au moment d’effectuer un audit, vous (ou le délégué de votre choix) pouvez examiner les preuves collectées par Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l’outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter au format CSV, ou créer un rapport d’évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.

Les détails du framework sont les suivants :

Les contrôles de ce AWS Audit Manager cadre ne sont pas destinés à vérifier si vos systèmes sont conformes à la norme HIPAA. De plus, ils ne peuvent pas garantir que vous passerez un audit HIPAA. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle de preuves.

Vous pouvez trouver ce framework sous l'onglet Frameworks standard de la bibliothèque de frameworks dans Audit Manager.

Étapes suivantes

Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d'une évaluation dans AWS Audit Manager.

Pour obtenir des instructions sur la façon de personnaliser ce cadre afin de répondre à vos besoins spécifiques, consultezCréation d'une copie modifiable d'un framework existant dans AWS Audit Manager.

Ressources supplémentaires