Qu'est-ce que HIPAA ?
HIPAA (Health Insurance Portability and Accountability Act) est la loi federale americaine qui definit les exigences de protection des informations de sante protegees (PHI). Elle s'applique aux entites couvertes (prestataires de soins, assureurs, chambres de compensation) et a leurs partenaires commerciaux (business associates). HIPAA comprend la Security Rule (safeguards administratifs, physiques et techniques pour les ePHI), la Privacy Rule (droits des patients et utilisations autorisees des PHI), et la Breach Notification Rule (obligations de notification en cas de violation). Les sanctions peuvent atteindre 2,1 millions de dollars par categorie de violation.
Points cles
- Security Rule : safeguards administratifs (politiques, formation, gestion des acces), physiques (controle des locaux, postes de travail) et techniques (chiffrement, audit trails, controle d'acces)
- Privacy Rule : droits des patients (acces, rectification, restriction), minimum necessaire, autorisations
- Breach Notification Rule : notification sous 60 jours aux individus, au HHS et aux medias (si plus de 500 personnes affectees)
- Business Associate Agreements (BAA) obligatoires pour tout sous-traitant accedant aux PHI
- Analyse de risques obligatoire et documentation du plan de gestion des risques
Pourquoi Zaxyr
Zaxyr automatise la conformite HIPAA en collectant les preuves des safeguards administratifs, physiques et techniques depuis vos systèmes de sante. La plateforme suit les exigences de la Security Rule, de la Privacy Rule et de la Breach Notification Rule, et fournit un mapping natif vers SOC 2 et ISO 27001 pour les organisations multi-certifiees.