Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance & Governance

    Google Drive est-il conforme à la loi HIPAA ? 5 conseils pour protéger les données personnelles dans Google Drive

    Garantissez la conformité HIPAA dans Google Drive pour protéger efficacement les données sensibles des patients.

    by Emily Schwenke

    Key Points

    • Ce blog a été publié à l'origine sur le site web d'Aware, mais avec l'acquisition d'Aware par Mimecast, nous veillons à ce qu'il soit également disponible pour les visiteurs du site web de Mimecast.
    • Google Drive peut être conforme à la loi HIPAA lorsqu'il est utilisé avec Google Workspace for Healthcare et qu'un BAA a été signé.
    • La mise en œuvre du cryptage, des contrôles d'accès et de la formation des employés est essentielle pour protéger les PHI.

    Dans un monde toujours en ligne, la sécurité des données et la conformité sont des considérations essentielles pour les entreprises et les organisations, en particulier celles du secteur de la santé. L'HIPAA établit la norme en matière de protection des informations sensibles sur les patients. Ce billet explore les implications du stockage des données personnelles dans le stockage en nuage de Google Drive et la façon de le faire dans le respect de la loi HIPAA.

    Définition de l'HIPAA

    Aux États-Unis, les informations médicales sont régies par la loi HIPAA (Health Insurance Portability and Accountability Act). Cette loi garantit la confidentialité, l'intégrité et la disponibilité des informations de santé protégées (PHI) en imposant des règles aux prestataires de soins de santé, aux plans de santé et à leurs associés commerciaux.

    La conformité à l'HIPAA consiste en diverses exigences techniques et administratives, notamment le cryptage des données, les contrôles d'accès, les contrôles d'audit, les évaluations des risques et la signature d'accords d'association commerciale (BAA) avec les fournisseurs de services. Bien que Google Drive offre des fonctions de sécurité robustes, il est important de comprendre son statut de conformité avant de l'utiliser pour stocker ou transmettre des PHI.

    Google Drive est-il conforme à la loi HIPAA ?

    Bien que le service Google Drive offre un large éventail de fonctionnalités pour protéger les données des utilisateurs contre les accès malveillants ou l'exfiltration, ses capacités de partage de données signifient qu'il n'est pas automatiquement ou intrinsèquement conforme à la loi HIPAA. Toutefois, Google propose un service distinct appelé Google Workspace for Healthcare, conçu pour répondre aux besoins spécifiques des organismes de santé. Ce service fournit des mesures de sécurité et de confidentialité supplémentaires pour Google Drive afin de garantir la conformité à la loi HIPAA, telles que la signature de BAA et la mise en œuvre d'un cryptage avancé.

    Qu'est-ce que Google Workspace for Healthcare ?

    Google Workspace for Healthcare est une offre spécialisée de Google conçue pour répondre aux besoins spécifiques et aux exigences de conformité des organismes de santé. Il offre aux professionnels de la santé une plateforme sécurisée et collaborative qui leur permet de communiquer, de collaborer et de gérer leurs flux de travail tout en préservant la confidentialité et la sécurité des informations sensibles relatives aux patients.

    Google Workspace for Healthcare comprend une suite d'outils de productivité tels que Gmail, Google Drive, Google Docs, Google Sheets, Google Meet et Google Chat, ainsi que des fonctions supplémentaires de sécurité et de confidentialité adaptées au secteur de la santé. Ces fonctionnalités sont conçues pour aider les organismes de santé à respecter les normes de conformité HIPAA et à protéger les informations relatives à la santé des patients.

    Voici quelques-unes des principales caractéristiques et avantages de Google Workspace for Healthcare :

    • Accord d'association commerciale (BAA) : Google signe un BAA avec les organismes de santé qui utilisent Google Workspace for Healthcare, démontrant ainsi son engagement à protéger les données personnelles et à se conformer à la réglementation HIPAA.
    • Contrôles de sécurité avancés : La plateforme offre la vérification Zero Trust, le cryptage des données au repos et en transit, le cryptage côté client, la détection du phishing et des malware, et des contrôles d'accès granulaires pour s'assurer que seules les personnes autorisées peuvent accéder aux données sensibles.
    • Courrier électronique sécurisé : Gmail au sein de Google Workspace for Healthcare offre des fonctions de sécurité supplémentaires telles que des règles de prévention de la perte de données (DLP) et le cryptage des courriels afin de protéger les informations sensibles contre l'exfiltration.
    • Journaux d'audit et rapports : Les journaux d'audit et les capacités de reporting permettent aux organisations de suivre et de contrôler l'accès aux PHI, ce qui les aide à identifier et à traiter toute violation potentielle de la sécurité.

    En utilisant Google Workspace for Healthcare, les organismes de santé peuvent tirer parti de la puissance des outils de productivité de Google tout en se conformant aux réglementations HIPAA et en préservant la confidentialité et la sécurité des informations de santé des patients. La plateforme offre une solution complète pour répondre aux besoins spécifiques et aux défis auxquels sont confrontés les professionnels de la santé dans leurs activités quotidiennes.

    Qu'est-ce qu'un BAA et pourquoi est-il nécessaire pour la conformité HIPAA ?

    Un accord d'association commerciale (BAA) est un contrat entre une entité couverte, telle qu'un prestataire de soins de santé, et un associé commercial ou un prestataire de services qui traite les PHI. Un BAA établit les responsabilités de chaque partie et garantit que l'associé commercial accepte de se conformer aux réglementations HIPAA et de protéger les PHI qu'il traite. La signature d'un BAA avec Google est essentielle si les organismes de santé souhaitent utiliser Google Drive ou d'autres services Google tout en restant conformes à la loi HIPAA.

    Comment rendre Google Drive conforme à la loi HIPAA ?

    Sans souscrire à un compte Google Workspace, une organisation ne peut pas être totalement conforme à la loi HIPAA lorsqu'elle utilise Google Drive. Cependant, l'HIPAA exige que les entités concernées suivent les meilleures pratiques en matière de sécurité de l'information pour protéger les PHI. En tant que telles, elles ont la responsabilité de former leurs employés sur la manière de traiter correctement ces données lorsqu'ils utilisent Google Drive, même si des mesures de protection et de cryptage correctes sont en place.

    Voici quelques exemples de la manière dont les utilisateurs peuvent soutenir l'HIPAA :

    • L'accès aux informations sur les patients n'est possible qu'en cas de nécessité
    • Choisissez des mots de passe forts, conservez-les en lieu sûr et changez-les régulièrement.
    • Toujours se déconnecter et/ou verrouiller les écrans des appareils lorsqu'on quitte son poste de travail
    • Signaler immédiatement tout incident de sécurité ou toute activité suspecte
    • suivre une formation régulière sur les meilleures pratiques en matière de sécurité des PHI

    Les lecteurs partagés de Google sont-ils conformes à la loi HIPAA ?

    Les lecteurs partagés Google sont similaires aux lecteurs Google standard, à la différence qu'ils appartiennent à une organisation et non à un individu. Les rôles et les autorisations d'accès de tous les utilisateurs peuvent être établis par les administrateurs du lecteur à partir d'une console d'administration centrale.

    Comme Google Drive, Google Shared Drive n'est pas intrinsèquement conforme à la loi HIPAA. Cependant, avec les mesures de sécurité et les configurations appropriées, il est possible d'utiliser Google Shared Drive dans le respect de la loi HIPAA. Cela inclut la signature d'un BAA avec Google, la mise en place de contrôles d'accès, le cryptage et d'autres mesures de protection nécessaires pour protéger les PHI.

    Google Docs et Sheets sont-ils conformes à la loi HIPAA ?

    Les applications Google Docs et Sheets ne sont pas spécifiquement conçues pour être conformes à la loi HIPAA. Cependant, l'utilisation de Google Workspace for Healthcare et le respect des pratiques de sécurité recommandées peuvent aider les organismes de santé à utiliser ces outils d'une manière conforme aux exigences de la HIPAA. Il est essentiel d'évaluer et d'atténuer tous les risques liés au stockage ou à la transmission de données à caractère personnel à l'aide de ces outils. Il s'agit notamment de limiter l'accès, de restreindre les possibilités de partage et de former les employés aux meilleures pratiques en matière de protection des informations personnelles.

    Google Chat est-il conforme à la loi HIPAA ?

    Comme les autres produits Google, Google Chat n'est pas intrinsèquement conforme à la loi HIPAA, mais il peut être utilisé d'une manière conforme aux exigences de cette loi. La meilleure pratique consiste à utiliser un abonnement à Google Workspace, à signer un BAA avec Google et à s'assurer que les employés comprennent les risques liés au partage de PHI dans Google Chat.

    Google Workspace Business Starter est-il conforme à la loi HIPAA ?

    Anciennement connu sous le nom de G Suite Basic, Google Workspace Business Starter permet aux utilisateurs professionnels d'accéder à des fonctionnalités telles que les BAA et les contrôles de sécurité et de gestion avancés. Toutefois, pour bénéficier de l'éventail le plus complet de fonctionnalités Google, optez pour un plan Entreprise ou pour Google Workspace for Healthcare. Ces plans comprennent des outils supplémentaires de sécurité et de conformité qui répondent aux exigences de l'HIPAA.

    5 conseils pour protéger proactivement les informations personnelles dans la plateforme Google Drive Cloud

    1. Activez l'authentification à deux facteurs pour les comptes Google associés à des informations personnelles.
    2. Formez les employés aux règles de l'HIPAA et aux meilleures pratiques de traitement des données personnelles dans Google Drive.
    3. Examinez et mettez à jour régulièrement les contrôles d'accès afin de vous assurer que seul le personnel autorisé peut accéder aux PHI.
    4. Cryptez les fichiers et dossiers sensibles stockés dans Google Drive pour renforcer la sécurité.
    5. Auditer et contrôler régulièrement les journaux d'accès et remédier rapidement à tout accès non autorisé ou à toute violation.

    Comment Mimecast Aware soutient la conformité HIPAA dans Google Drive

    Aware aide les principaux organismes de santé à maintenir la conformité HIPAA dans Google Drive à partir d'une intégration d'application tierce qui utilise des analyses avancées infusées par l'IA pour identifier les violations potentielles. Grâce à Aware, les entreprises peuvent protéger automatiquement les données qu'elles détiennent dans Google Drive à l'aide de flux de travail automatisés reposant sur la détection de mots clés et d'expressions régulières (regex).

    L'analyse continue et en temps réel d'Aware détecte les violations potentielles de la loi HIPAA au moment où elles se produisent pour une remédiation plus rapide et une protection accrue des données, tandis que le traitement du langage naturel (NLP) à la pointe de l'industrie permet d'obtenir des résultats plus précis avec moins de faux positifs.

    Le bilan

    Bien que Google Drive ne soit pas intrinsèquement conforme à la loi HIPAA, Google propose des solutions spécialisées, telles que Google Workspace for Healthcare, pour répondre aux besoins spécifiques des organismes de santé. En ajoutant à ces contrôles les fonctionnalités de prévention des pertes de données et de conformité en temps réel d'Aware, les organismes de santé peuvent protéger les données personnelles dans Google Drive et s'assurer que leur espace de travail numérique reste conforme à la loi HIPAA.

     

    17BLOG_1.jpg
    Up Next
    Data Compliance & Governance |
    Le guide de l'intelligence contextuelle à l'usage des DSI

    Related Articles

    Data Compliance & Governance
    Avez-vous un problème de risque de données dans Slack ?
    Data Compliance & Governance
    Le guide complet de l'eDiscovery dans Slack
    Data Compliance & Governance
    Qu'est-ce que l'informatique fantôme ? Exemples, risques et solutions

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page