Que devriez-vous rechercher chez un bon hébergeur pour votre site Web de soins de santé? Les hébergeurs dans le domaine des soins de santé doivent se conformer à la HIPAA, une loi établie en 1996 sur la portabilité et la responsabilité de l’assurance maladie, ce qui signifie qu’ils doivent protéger et sécuriser les dossiers des patients. Voici donc nos 6 conseils d’experts afin de vous aider à prendre une décision éclairée pour votre projet en soins de santé.
1. Recherchez un hébergeur en règle!
Lorsque vous recherchez un hébergeur potentiel, vous voulez savoir dans quelle mesure l’hôte est préparé à passer avec succès une évaluation d’audit HIPAA. La première étape consiste à examiner les composants de la conformité avec cette de l’HIPAA pratique contenant 16 critères. Notez que cette liste de critères couvre les bases mais elle n’est évidemment pas assez substantielle pour une évaluation complète.
- Sécurité et gestion complète des données et stratégies de formation, sur fichier;
- Il s’agit là de développer un système de développement d’identifiants d’utilisateur et de mots de passe uniques et de procédures pour la connexion, la déconnexion, le décryptage et les urgences;
- Politiques élaborées pour contrôler l’accès aux bâtiments physiques et aux systèmes électroniques contenant des ISP (informations de santé protégées);
- Directives sur la manière dont les données de santé sont stockées, transférées, détruites et implémentées de nouveau;
- Audits et journaux d’utilisation du système (SSAE 18 et infrastructure auditée SOC);
- Règles de transmission de données hébergées dans tous les scénarios possibles (courriel, Cloud, etc.);
- Contrôle de qualité de toutes les données hébergées (détruites, modifiées, sauvegardées, etc.);
- Disponibilité des données dynamiques;
- Une distinction entre les serveurs d’hébergement Web, de base de données et de production;
- Authentification antivirus et multifactorielle;
- Gestion des correctifs OS (système d’exploitation);
- Adresses IP privées (protocole Internet) et environnement hébergé privé;
- Cryptage du certificat SSL de tous les ISP;
- Plans de reprise et de sauvegarde (sauvegarde hors site);
- VPN cryptés et pare-feu privés;
- Accord d’associé commercial.
2. Assurez-vous que votre hébergeur soit à jour dans sa conformité HIPAA
La première étape consiste à vous assurer que vous travaillez avec un hôte qui est à jour sur sa conformité HIPAA. En effet, les hôtes conformes à la HIPAA sont audités chaque année pour s’assurer qu’ils se conforment aux réglementations établies par la loi.
En surface, ces hébergeurs ne sont pas très différents des hébergeurs Web ordinaires. Mais si nous approfondissons nos recherches un peu plus, nous pouvons voir qu’ils offrent des fonctionnalités telles qu’un pare-feu, le cryptage des données, des systèmes de détection d’intrusion et divers autres outils de sécurité. Ceci est vital car les plaintes à ces sujets sont prises au sérieux, avec près de 200 000 cas distincts depuis 2003.
3. Assurez-vous que votre hôte offre une sécurité adéquate à la maison
Il ne s’agit pas seulement d’une question de sécurité en ligne afin de rendre un hébergeur conforme à la HIPAA. Vous devez vous assurer que votre hôte gère également l’accès physique. Par exemple, un hôte conforme à la HIPAA restreindra également l’accès aux serveurs de données. Seul le personnel autorisé au sein de l’entreprise pourra accéder aux serveurs de données. Recherchez les revues d’audit de votre hébergeur pour vous assurer qu’elles soient conformes à ces réglementations.
4. Confirmez que vous pouvez obtenir les services Web dont vous avez besoin auprès de votre hôte
La difficulté de choisir un hôte HIPAA est que vous devez également trouver un hôte qui vous offrira d’excellents services Web, comme la possibilité d’acheter un bon nom de domaine. Il existe tellement d’entreprises différentes qu’il est souvent difficile de déterminer laquelle est la meilleure. C’est pourquoi nous vous recommandons de commencer par compiler une liste des sociétés d’hébergement conformes, puis de les comparer en fonction des avis et recommandations que vous trouverez à leur sujet. Par exemple, si nous regardons certaines critiques et évaluations postées par les utilisateurs, vous pouvez facilement déterminer les options vous offrant les notes les plus positives. Ainsi, vous saurez si l’hébergeur que vous recherchez représente une option viable, en fonction des besoins de votre entreprise. Il peut s’avérer long et ardu de lire toutes ces évaluations, mais cela en vaut la peine, car vous pourrez alors prendre votre décision finale en toute confiance.
5. Déterminez quels sont les besoins de votre entreprise
En fin de compte, le meilleur hôte HIPAA pour vous dépend tout d’abord des besoins de votre entreprise. Vous devez décider de ce que vous voulez que votre hôte vous fournisse. que vous attendez de votre site Web, puis comparez cette liste avec ce que propose l’hébergeur potentiel. N’oubliez pas que votre site Web médical doit être conforme à la HIPAA, même si vousne comptez pas exploiter un établissement de santé. Quiconque entre en contact avec des dossiers médicaux doit disposer des protections nécessaires.
6. Explorez la différence de services entre un hébergeur HIPAA de première classe dans le secteur de la santé et un hébergeur de classe économique
Un fait indéniable d’Internet est que vous avez besoin de machines pour en faire partie, soit par vous-même, soit en tant que service. Si vous êtes dans le domaine de la santé et que vous ne souhaitez pas configurer de serveurs pour votre site Web ou d’autres services dans votre propre centre de données, vous aurez alors besoin d’un hébergeur HIPAA.
Tous les hébergeurs ne sont évidemment pas créés égaux. Puisqu’il existe une disparité entre la sécurité et les autres avantages et inconvénients d’un système à l’autre, des normes ont été créées pour guider la surveillance de l’infrastructure et maintenir une protection adéquate des données des patients. Ces normes ont été élaborées par le Département Américain de la Santé et des Services Sociaux (DASS), conformément à la portabilité et la responsabilité de l’assurance maladie (HIPAA). Par conséquent, au-delà du simple hébergement Web, toute personne qui vise à sécuriser des dossiers de santé auprès d’un hébergeur en ligne a besoin d’un hôte conforme à la HIPAA, parfois appelé simplement hébergeur HIPAA.
Jacco Blankespoor de HIPAA explique: «La HIPAA reconnaît tous les prestataires de soins de santé et leurs partenaires commerciaux comme des entités couvertes (EC) et les rend responsables de la protection de la confidentialité et de la sécurité des informations d’identification. Certains EC, en particulier les EC de plus petite taille, ne disposent pas des ressources nécessaires pour mettre en œuvre un système de traitement et de sauvegarde des données de santé par eux-mêmes, ils comptent donc sur les services d’hébergeurs HIPAA.
Tout fournisseur d’hébergement peut offrir un service conforme à la loi HIPAA, tel que déterminé par sa propre compréhension de la loi sur la santé; en d’autres termes, il n’y a pas de processus de certification fédéral officiel pour ces associés. Cependant, cela signifie également qu’il est de votre responsabilité de connaître la qualité de l’organisme de certification et ce qui est exactement inclus dans son processus d’audit ».
Conclusion? Choisissez le bon hôte pour vous!
L’hôte que vous choisissez n’est pas une décision à prendre à la légère. Vous nevoulez pas vous tromper dans votre décision, ou vous pourriez vous retrouver avec de sérieux problèmes plus tard. Ilest beaucoup plus facile d’effectuer vos recherches et de prendre la bonne décision maintenant que d’avoir à migrer votre site Web vers un autre hébergeur plus tard. Informez-vous sur les hôtes conformes HIPAA que vous avez sélectionnés et prenez une décision éclairée!