Avis de confidentialité et conformité HIPAA

La sécurité et la confidentialité des patients sont des priorités absolues pour CloudVisit Télémédecine. Jetez un coup d’oeil ci-dessous pour voir quelques-unes des façons dont nous travaillons pour protéger votre vie privée.

Sauvegardes techniques

Chiffrement des données (en cours de transmission)

Le cryptage AES 256 bits conforme aux normes de l’industrie est utilisé à tous les points où les informations du patient sont transmises entre un utilisateur et des serveurs de CloudVisit. Cela inclut le cryptage complet des informations partagées par les fournisseurs et les patients, ainsi que la transmission cryptée des documents et images téléchargés / chargés.

Chiffrement des données (au repos)

Toutes les données des patients et les informations de facturation sont stockées dans des tables de base de données cryptées utilisant la norme AES 256 bits. Tous les documents et images téléchargés par un patient ou un fournisseur sont également stockés sous forme cryptée. Le chiffrement complet du disque est en place pour tous les disques durs stockant les informations du patient et les données de fonctionnement du site Web à l’aide des normes de chiffrement SHA-512.

Cryptage audio / vidéo

L’audio et la vidéo de toutes les sessions de télémédecine sont transmises sur un canal de internet public crypté à l’aide de primitives cryptographiques standard. Les flux audio et vidéo sont décodés tels qu’ils ont été reçus par un fournisseur ou un patient participant.

Serveurs Distribués

Plusieurs serveurs sont utilisés pour gérer des tâches spécifiques, telles que l’hébergement Web, le stockage de données et la gestion de sessions vidéo. Chaque serveur est configuré de manière unique avec des informations d’accès distinctes, des clés de décryptage logiciel, des autorisations et des sauvegardes. Accès aux systèmes contenant des informations sensibles est limité à une structure de réseau interne avec des procédures d’authentification.

Hébergement Web conforme à HIPAA

CloudVisit utilise une solution d’hébergement d’entreprise qui fournit tous les outils nécessaires au maintien de mesures de sécurité conformes à la norme HIPAA et à la confidentialité des patients. En raison des normes de cryptage utilisées par CloudVisit, notre solution d’hébergement n’a aucun accès aux informations confidentielles des patients.

Normes commerciales conformes à HIPAA

Conformément aux directives et réglementations HIPAA, les fournisseurs de solutions logicielles de télémédecine sont tenus de maintenir des pratiques commerciales et de sécurité conformes à la norme HIPAA. De plus, les fournisseurs de soins de santé sont tenus de signer un contrat de partenariat avec leur fournisseur de logiciels de télémédecine. CloudVisit maintient les normes HIPAA et conclut un BAA mutuel avec chaque abonné CloudVisit Télémédecine.
Cet audit interne est conforme aux exigences de conformité HIPAA imposées par le département américain de la santé et des services sociaux (www.hhs.gov) à compter du 16 septembre 2016.

Sauvegardes physiques

Contrôles d’accès

Des procédures sont en place permettant une visibilité approfondie sur les appels d’API, y compris les appels de qui, quoi et à partir desquels sont passés les utilisateurs qui accèdent aux serveurs. Les procédures incluent également des garanties pour empêcher tout accès physique non autorisé, toute altération et tout vol à l’aide de journaux d’activité et de notifications d’alertes. Les informations sur le patient ne sont pas stockées, imprimées, copiées, divulguées ou traitées de manière excessive par des moyens autres que ceux prévus à cet usage.

Utilisation du poste de travail

Tous les appareils informatiques sont installés et configurés pour limiter l’accès ePHI aux seuls utilisateurs autorisés. ePHI est uniquement stocké, révisé, créé, mis à jour ou supprimé à l’aide de périphériques informatiques répondant aux exigences de sécurité pour ce type de périphérique. Avant de laisser un périphérique informatique sans surveillance, les utilisateurs doivent se déconnecter ou verrouiller ou sécuriser le périphérique ou les applications. Cette pratique empêche tout utilisateur non autorisé d’accéder à ePHI ou à tout composant du système. Les périphériques informatiques sont situés et orientés de sorte que les informations non affichées ne puissent pas être visualisées par des personnes non autorisées.

Procédures pour les appareils mobiles

Lorsqu’il est stocké sur des périphériques informatiques portables ou mobiles (ordinateurs portables, téléphone intelligent, tablettes, etc.) ou sur des supports de stockage électroniques amovibles (clés USB, etc.), ePHI est crypté. L’original (source) ou l’unique copie de PHI n’est pas stocké sur des appareils informatiques portables.

Sauvegardes administratives

Gestion des risques

a. CloudVisit enregistre et maintient un inventaire des composants informatiques du service de télémédecine.

b. Les systèmes sont dotés d’une capacité suffisante pour garantir une disponibilité continue en cas d’incident de sécurité.
c. Les systèmes s’assurent que la protection des logiciels malveillants est déployée et mise à jour.
d. Toutes les actions d’utilisateur privilégié sont enregistrées. Toute modification de ces journaux par un utilisateur système, privilégié ou final doit être détectable. Les enregistrements de journaux sont examinés périodiquement par le personnel administratif autorisé de CloudVisit.
e. Les informations relatives aux événements importants liés à la sécurité sont consignées dans des journaux, notamment les types d’événements tels que l’échec de la connexion, les pannes système, les modifications des droits d’accès et les attributs d’événements tels que la date, l’heure, l’ID utilisateur, le nom de fichier et l’adresse IP, lorsque cela est techniquement possible.
f. Les enregistrements de journal sont conservés pendant au moins 6 mois et mis à la disposition de l’entité couverte sur demande.
g. Des sauvegardes sont effectuées et maintenues pour assurer la continuité et les attentes de livraison.
h. Un processus de gestion des vulnérabilités est en place pour hiérarchiser et corriger les vulnérabilités en fonction de la nature / de la gravité de la vulnérabilité.
i. Un processus de gestion des correctifs est en place pour garantir que les correctifs sont appliqués en temps voulu.

Entrainement d’employé

Une formation est introduite pour sensibiliser aux politiques et procédures régissant l’accès à ePHI et à la manière d’identifier les attaques de logiciels malveillants et les logiciels malveillants. Le personnel ayant accès à ePHI doit suivre régulièrement une formation appropriée sur la confidentialité des données liée à HIPAA.

Plan d’urgence

CloudVisit a mis en œuvre un plan de continuité des opérations (BCP) pour répondre aux pannes système ou autres urgences susceptibles de l’endommager ou de rendre indisponible le système ou l’ePHI (par exemple, une catastrophe naturelle, un incendie, du vandalisme, une défaillance logicielle, un virus, une erreur de l’opérateur). ). Afin de réduire les risques de perte ou de corruption de données, CloudVisit conserve des copies exactes et récupérables d’ePHI et d’autres données nécessaires au fonctionnement du système. Les sauvegardes contiennent suffisamment d’informations pour pouvoir restaurer le système d’information dans un état récent, opérationnel et précis. Les incidents de continuité des activités qui ont un impact sur l’exécution du service pour l’entité couverte sont consignés, analysés et examinés par CloudVisit et sont signalés à l’entité couverte en temps utile ou autrement.

Plan de test de contingence

CloudVisit réalise régulièrement une analyse d’impact sur les activités et une évaluation des risques (BIA / RA) afin d’identifier et d’atténuer les menaces et les dangers potentiels liés aux informations ePHI. Le plan d’urgence est testé régulièrement et lorsque des modifications importantes sont apportées au plan pour prouver qu’il sera efficace et que les membres du personnel comprendront leurs rôles et responsabilités respectifs en matière de rétablissement. Si les tests révèlent que le plan d’urgence est inefficace en cas d’urgence ou autre, CloudVisit révisera le plan en conséquence.

Restriction del’accès des tiers

CloudVisit garantit que les organisations mères et les sous-traitants non autorisés n’accèdent pas à ePHI, et que les accords d’associé commercial sont signés avec les partenaires commerciaux qui auront accès à ePHI. La divulgation d’informations ePHI à une tierce partie, telle qu’un sous-traitant tiers, n’est autorisée qu’avec le consentement écrit préalable des prestataires de soins de santé et aux seules fins identifiées dans les accords contractuels avec les prestataires de soins de santé. Les sous-traitants tiers sont limités aux seuls accès, utilisations, conservation et divulgation nécessaires des ePHI nécessaires au respect des obligations contractuelles. Les sous-traitants tiers doivent recevoir des instructions claires sur les mesures de sécurité pour protéger ePHI.

Rapport des incidents de sécurité

CloudVisit isole et contient les incidents et les données consignées associées avant qu’ils ne se transforment en violation. CloudVisit dispose d’un processus documenté de gestion des incidents de sécurité pour détecter et résoudre les incidents. CloudVisit rapporte des incidents ou des faiblesses de sécurité confirmés impliquant ePHI ou des services pour les patients et les prestataires dès que possible ou autrement convenu. CloudVisit doit coopérer pleinement avec les entités couvertes pour faire face à ces incidents. La coopération peut inclure la fourniture d’un accès à des données factuelles informatisées pour une évaluation médico-légale.

Règle de confidentialité HIPAA

Règle de confidentialité

Des mesures de protection appropriées sont mises en œuvre pour protéger la confidentialité des informations personnelles sur la santé. Les informations ajoutées au système par les patients ne peuvent être consultées que par les fournisseurs assignés et le personnel administratif autorisé. Les patients ont les droits sur leurs informations de santé; y compris le droit d’obtenir une copie de leurs dossiers médicaux – ou de les examiner – et la possibilité de demander des corrections si nécessaire.

Règle de notification d’infraction HIPAA

Les notifications d’infraction sont faites sans retard déraisonnable et au plus tard 60 jours après la découverte de l’infraction. Si une violation des informations de santé protégées non sécurisées se produit chez ou par CloudVisit, CloudVisit informera l’entité couverte après la découverte de la violation. Les notifications d’infraction doivent inclure les informations suivantes:
  • La nature de l’ePHI impliquée, y compris les types d’identificateurs personnels exposés.
  • La personne non autorisée qui a utilisé l’ePHI ou à qui la divulgation a été faite (si connue).
  • Si l’ePHI a été réellement acquis ou visualisé (s’il est connu).
  • La mesure dans laquelle le risque de dommage a été atténué.