Configuration de Microsoft Entra ID pour la conformité HIPAA
Les services Microsoft tels que Microsoft Entra ID peuvent vous aider à répondre aux exigences liées à l’identité pour la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996.
La règle de sécurité HIPAA (HSR) établit des normes pour protéger les informations de santé personnelles électroniques des individus qui sont créées, reçues, utilisées ou conservées par une entité couverte. Le HSR est géré par le ministère américain de la Santé et des Services sociaux (HHS) et exige des mesures de protection administratives, physiques et techniques appropriées pour garantir la confidentialité, l’intégrité et la sécurité des informations médicales protégées par voie électronique.
Les exigences et objectifs en matière de garanties techniques sont définis dans le titre 45 du Code of Federal Regulations (CFR). La partie 160 du titre 45 fournit les exigences administratives générales, et les sous-parties A et C de la partie 164 décrivent les exigences en matière de sécurité et de confidentialité.
La sous-partie § 164.304 définit les garanties techniques comme la technologie et les politiques et procédures d’utilisation qui protègent les informations de santé protégées par voie électronique et contrôlent l’accès à ces informations. Le HHS décrit également les domaines clés que les organisations de soins de santé doivent prendre en compte lors de la mise en œuvre des garanties techniques HIPAA. Selon § 164.312 Protections techniques :
Contrôles d’accès - Mettre en œuvre des politiques et des procédures techniques pour les systèmes d’information électroniques qui conservent les informations médicales protégées par voie électronique afin d’autoriser l’accès uniquement aux personnes ou aux logiciels auxquels des droits d’accès ont été accordés, comme spécifié dans l’article 164.308(a)(4).
Contrôles d’audit - Implémenter des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l’activité dans les systèmes d’information qui contiennent ou utilisent des informations de santé protégées par voie électronique.
Contrôles d’intégrité - Implémenter des stratégies et des procédures pour protéger les informations de santé protégées par voie électronique contre toute modification ou destruction incorrecte.
Authentification de personne ou d’entité - Implémenter des procédures pour vérifier qu’une personne ou une entité qui cherche à accéder à des informations de santé protégées par voie électronique est celle revendiquée.
Sécurité de la transmission - Mettre en œuvre des mesures de sécurité techniques pour se prémunir contre l’accès non autorisé aux informations de santé protégées par voie électronique qui sont transmises par le biais d’un réseau de communications électroniques.
Le HSR définit les sous-parties comme standards, ainsi que les spécifications d’implémentation requises et adressables. Toutes doivent être implémentées. La désignation « adressable » indique qu’une spécification est raisonnable et appropriée. Adressable ne signifie pas qu’une spécification d’implémentation est facultative. Par conséquent, les sous-parties définies comme adressables sont également requises.
Les autres articles de cette série fournissent des conseils et des liens vers des ressources, organisés par domaines clés et protections techniques. Pour chaque zone clé, il existe un tableau avec les protections appropriées répertoriées et des liens vers les conseils Microsoft Entra pour réaliser le dispositif de protection.
En savoir plus
Texte de règlement combiné de tous les règlements HIPAA de simplification administrative trouvés aux 45 CFR 160, 162 et 164
Code of Federal Regulations (CFR) Titre 45 décrivant la partie bien-être public du règlement
Partie 160 décrivant les exigences administratives générales du titre 45
Partie 164 Sous-parties A et C décrivant les exigences de sécurité et de confidentialité du titre 45