Qu'est-ce que HIPAA ?
HIPAA (Health Insurance Portability and Accountability Act) est la loi fédérale américaine qui définit les exigences de protection des informations de santé protégées (PHI). Elle s'applique aux entités couvertes (prestataires de soins, assureurs, chambres de compensation) et à leurs partenaires commerciaux (business associates). HIPAA comprend la Security Rule (safeguards administratifs, physiques et techniques pour les ePHI), la Privacy Rule (droits des patients et utilisations autorisées des PHI), et la Breach Notification Rule (obligations de notification en cas de violation). Les sanctions peuvent atteindre 2,1 millions de dollars par catégorie de violation.
Points clés
- Security Rule : safeguards administratifs (politiques, formation, gestion des accès), physiques (contrôle des locaux, postes de travail) et techniques (chiffrement, audit trails, contrôle d'accès)
- Privacy Rule : droits des patients (accès, rectification, restriction), minimum nécessaire, autorisations
- Breach Notification Rule : notification sous 60 jours aux individus, au HHS et aux médias (si plus de 500 personnes affectées)
- Business Associate Agreements (BAA) obligatoires pour tout sous-traitant accédant aux PHI
- Analyse de risques obligatoire et documentation du plan de gestion des risques
Pourquoi Zaxyr
Zaxyr automatise la conformité HIPAA en collectant les preuves des safeguards administratifs, physiques et techniques depuis vos systèmes de santé. La plateforme suit les exigences de la Security Rule, de la Privacy Rule et de la Breach Notification Rule, et fournit un mapping natif vers SOC 2 et ISO 27001 pour les organisations multi-certifiées.