Le cloud offre de grands avantages pour stocker et accéder aux informations de santé protégées électroniquement (ePHI). Mais il vient aussi avec des responsabilités importantes selon HIPAA. Les organisations de santé peuvent utiliser des services cloud en toute sécurité, à condition de configurer et de gérer ces environnements avec soin.

Le cloud n’est pas automatiquement conforme
Aucune plateforme cloud n’est automatiquement conforme à  la loi HIPAA. Même AWS et Azure ne fournissent que l’infrastructure de base. C’est l’organisation de santé qui doit configurer correctement les contrôles de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des données patients.

8 étapes pratiques pour sécuriser vos données dans le cloud
Pour vous aider, voici 8 étapes concrètes à suivre avant de stocker ou de transmettre des ePHI dans le cloud :

1. Signer un contrat de sous-traitance (BAA) avec votre fournisseur cloud.
2. Définir des contrôles d’accès clairs et rigoureux .
3. Activer la journalisation au niveau des pare-feu.
4. S’assurer que les données sont chiffrées.
5. Mettre en place des mécanismes de surveillance de l’intégrité des fichiers.
6. Classer les données selon leur niveau de sensibilité.
7. Garantir la disponibilité continue de l’information gérée par le fournisseur.
8. Assurer une surveillance continue des pratiques du fournisseur de services infonuagiques.

Même dans le cloud, une règle ne change pas : la protection des renseignements médicaux demeure la responsabilité de l’organisation. Le cloud peut être un puissant levier pour les organisations de santé - à condition que les protections adéquates soient en place. [act.com].

Pour consulter l’article complet, cliquez sur le lien ci-dessous (en anglais) :

https://cloudsecurityalliance.org/blog/2023/05/11/8-things-healthcare-organizations-can-do-to-ensure-hipaa-compliance-in-the-cloud 

Publié le 11 mai 2023.