Conformité HIPAA pour Google Workspace

La sécurité et la conformité des données sont particulièrement importantes lorsqu'il s'agit d'informations sensibles sur les soins de santé. Pour conserver la confiance de vos patients et éviter des sanctions coûteuses, il est essentiel de veiller à ce que vos outils et plateformes d'entreprise respectent les normes réglementaires. La loi HIPAA (Health Insurance Portability and Accountability Act) fixe des exigences strictes en matière de protection des données des patients, d'où la nécessité de se poser la question : Google Workspace est-il conforme à la loi HIPAA ?

L'espace de travail Google est-il conforme à la loi HIPAA ?

Google Workspace prend en charge l'HIPAA grâce à un certain nombre de mesures de conformité qui protègent les données confidentielles des utilisateurs, notamment des configurations pour une messagerie électronique conforme à l'HIPAA et la possibilité de mettre en œuvre une authentification à deux facteurs sur les comptes Workspace. Toutefois, pour être en conformité avec la loi HIPAA lors de l'utilisation de Google Workspace, les utilisateurs finaux doivent également prendre les mesures nécessaires pour garantir la sécurité des informations personnelles et autres données sensibles lorsqu'ils utilisent Workspace dans un établissement de soins de santé.

Parmi les exemples, citons la signature d'un accord d'association commerciale HIPAA (BAA) avec Google, la restriction des PHI aux seuls services sécurisés de Google et la formation régulière des employés sur leurs responsabilités en vertu de l'HIPAA en matière de protection des informations sur les patients.

Qu'est-ce que la loi HIPAA ?

L'HIPAA réglemente la manière dont les entités de soins de santé couvertes doivent protéger les informations relatives aux patients lors des transactions courantes. Il se compose de plusieurs règles et règlements, chacun servant un objectif unique.

• Règles de confidentialité - Elles établissent des normes pour la protection des dossiers médicaux et des informations de santé protégées (PHI) des individus.
• Règle de sécurité : elle définit les garanties qui doivent être mises en place pour protéger les PHI électroniques (ePHI), en assurant leur confidentialité, leur intégrité et leur disponibilité.
• Règle sur les identifiants uniques - Attribue des identifiants uniques aux prestataires de soins de santé, aux plans de santé et aux employeurs afin de normaliser les transactions électroniques.
• Transactions et règles de codage - Établit des normes pour les transactions électroniques en matière de soins de santé, y compris des codes pour les diagnostics et les procédures.
• Enforcement Rule (règle d'application) : elle définit les sanctions et les procédures à suivre pour assurer le respect des autres règles de l'HIPAA.

Qu'est-ce qu'une information de santé protégée (ISP) ?

Les PHI sont toutes les informations de santé identifiables individuellement, y compris les noms des patients, les adresses, les numéros de sécurité sociale et les dossiers médicaux. L'HIPAA réglemente strictement l'utilisation, la divulgation et le stockage des PHI.

La conformité à l'HIPAA n'est pas une simple case à cocher - elle a un impact sur la manière dont les données sont collectées, sur la durée de leur stockage et sur la manière dont elles doivent être protégées. Le non-respect délibéré de la loi HIPAA peut entraîner des pénalités de 50 000 dollars ou plus par incident.

L'espace de travail Google est-il conforme à la loi HIPAA ?

Google Workspace, anciennement G-suite, est la réponse de Google à Microsoft Office et englobe la gamme de services de Google basés sur le cloud. Grâce à Google Workspace, les entreprises peuvent gérer un espace de travail numérique cohérent et interconnecté, accessible à tous leurs employés, quel que soit l'endroit où ils se trouvent.

Les entités couvertes par la loi HIPAA, telles que les prestataires de soins de santé, les compagnies d'assurance et les chambres de compensation, qui choisissent les services Google pour leurs besoins professionnels doivent comprendre comment la plate-forme Workspace prend en charge les réglementations HIPAA et s'acquitte de ses obligations en matière de protection des données à caractère personnel.

Google Workplace n'est pas entièrement conforme à la loi HIPAA. Les entreprises doivent prendre plusieurs mesures pour garantir une configuration adéquate en vue d'une utilisation conforme à la loi HIPAA. Vous pouvez suivre ces mesures en consultant le guide de mise en œuvre de la loi HIPAA de Google.

Voici quelques étapes essentielles de la mise en conformité avec la loi HIPAA dans l'espace de travail Google :

• Vous utilisez une version payante de Google Workspace, telle que Google Workspace Enterprise.
• Signature d'un BAA avec Google. Un BAA est un document juridiquement contraignant qui établit Google en tant qu'associé commercial "" et définit ses responsabilités en matière de protection des ePHI.
• Configurer l'espace de travail pour les PHI, notamment en limitant les PHI aux services de base, en restreignant l'accès au personnel autorisé et en mettant en œuvre le cryptage pour protéger les données.

Les produits Google Workspace et la conformité HIPAA

Avec Google Workspace, les organismes de santé couverts par l'HIPAA disposent d'une large gamme de produits leur permettant de travailler de manière flexible et collaborative dans un environnement sécurisé. Ces produits comprennent Gmail, Google Drive, Google Meet, Calendar, Google Sites, Google Cloud Identity Management, Google Apps Script, etc.

Google continue également d'intégrer des avancées en matière d'IA telles que Google Gemini, mais les organisations doivent vérifier que ces outils sont conformes aux normes de conformité avant de manipuler des informations personnelles.

Les entités couvertes doivent s'assurer de la conformité à la loi HIPAA de chacun de ces produits Google. Pour ce faire, vérifiez votre niveau d'abonnement à l'espace de travail et les paramètres de chaque application utilisée par votre organisation.

Les limites des comptes Gmail gratuits pour la conformité HIPAA

Bien que Google Workspace soit conforme à la loi HIPAA, les comptes Gmail gratuits ne sont pas adaptés au traitement des informations personnelles. Les comptes Gmail gratuits ne disposent pas des fonctions de sécurité et des contrôles administratifs nécessaires pour se conformer à la réglementation HIPAA.

Les organismes de santé qui utilisent des comptes Gmail gratuits s'exposent à un risque de non-conformité, car ils ne peuvent pas signer d'accord d'association commerciale (BAA) avec Google, une étape obligatoire pour garantir la conformité à l'HIPAA.

En outre, les comptes Gmail gratuits n'offrent pas les configurations de sécurité avancées disponibles dans Google Workspace, telles que le cryptage des courriels conforme à la loi HIPAA, la prévention de la perte de données (DLP) et la journalisation des audits. Par conséquent, l'utilisation de comptes Gmail gratuits pour le stockage ou la transmission de PHI peut entraîner des violations de données et des répercussions juridiques.

Qu'est-ce qu'un accord d'association commerciale (BAA) et pourquoi est-il important ?

Un BAA est un contrat juridiquement contraignant entre un prestataire de soins de santé couvert par l'HIPAA et un contractant tiers, tel qu'un fournisseur SaaS comme Google Workspace. Les principales raisons pour lesquelles un BAA est important pour la conformité à l'HIPAA sont les suivantes :

• Définir l'utilisation et la divulgation autorisées des PHI par l'associé commercial, en limitant leur utilisation à ce qui est nécessaire.
• l'obligation pour le tiers de mettre en place des garanties pour protéger la confidentialité et la sécurité des PHI, y compris sur le plan administratif, technique et physique.
• Exiger la notification de toute violation des PHI afin que le prestataire de soins de santé puisse entamer des procédures d'atténuation.
• étendre le respect de la loi HIPAA aux partenaires commerciaux, de sorte qu'ils soient tenus de payer des amendes et des pénalités en cas d'infraction plutôt que le prestataire de soins de santé.
• Veiller à ce que les tiers imposent à leurs sous-traitants les mêmes protections des données personnelles afin d'éviter les écarts de conformité en aval de la chaîne des fournisseurs.

Ne pas tenir compte d'un BAA peut créer des écarts de conformité entre les organismes de soins de santé et les fournisseurs tiers, ce qui laisse place à des risques de responsabilité inutiles.

Pour signer un BAA avec Google Workspace :

Assurez-vous que votre niveau d'abonnement est le niveau Entreprise. Ensuite, connectez-vous à la console d'administration en tant qu'administrateur. Naviguez jusqu'à Paramètres du compte, puis jusqu'à la zone Juridique et conformité. Faites défiler la page jusqu'aux "Conditions supplémentaires de sécurité et de confidentialité" et repérez l'amendement "Google Workspace/Cloud Identity HIPAA Business Associate Amendment".

Cliquez sur "Non accepté", puis sur "Revoir et accepter" pour examiner attentivement les conditions. Après avoir lu attentivement le BAA, répondez aux trois questions de confirmation. Enfin, cliquez sur "J'accepte" pour signer le BAA de Google.

D'autres étapes sont nécessaires pour rendre Google Workspace conforme à la loi HIPAA, mais la signature du BAA HIPAA est un début nécessaire.

Comment rendre Google Workspace conforme à la loi HIPAA ?

La conformité HIPAA dans l'Espace de travail Google implique plusieurs étapes qui garantissent le stockage, la manipulation et la surveillance appropriés des informations personnelles.

• Signer un BAA avec Google, décrivant les responsabilités de chaque partie afin de garantir un traitement conforme des données sensibles. Il convient de noter que le BAA n'est disponible que pour les utilisateurs de Google Workspace ayant souscrit à l'abonnement Enterprise.
• Configurez l'espace de travail pour qu'il réponde aux normes HIPAA à l'aide des fonctionnalités disponibles sur Google et d'intégrations tierces. Les facteurs variables, y compris l'authentification à deux facteurs, le cryptage, les contrôles d'accès des tiers, la révocation des autorisations pour les applications Workspace non utilisées et les pratiques de stockage des données, doivent tous être pris en compte pour répondre aux exigences actuelles de l'HIPAA.
• La création de notifications pour détecter les activités suspectes dans Workspace, la configuration de groupes d'utilisateurs appropriés et la sécurisation du courrier électronique sont également des méthodes conseillées pour maintenir la conformité HIPAA dans l'ensemble de la plateforme Workspace.
• Les employés doivent également être formés à leurs obligations en matière de protection des données dans le cadre de la loi HIPAA. Il s'agit notamment d'examiner les meilleures pratiques en matière de traitement des informations électroniques et de définir les normes et les protocoles de l'entreprise en matière d'accès aux informations personnelles ou de transmission de celles-ci.

Des mesures supplémentaires peuvent être prises pour assurer une conformité continue et pour limiter les violations de la loi HIPAA le plus rapidement possible. Il s'agit notamment de

• Auditer et contrôler régulièrement la conformité de l'espace de travail Google à la loi HIPAA. Si des violations sont mises au jour, traitez-les rapidement dans le cadre des procédures de votre organisation.
• Établir des règles d'utilisation acceptable pour les services de base de Google Workspace. Ces normes de conduite fourniront aux employés le cadre dont ils ont besoin pour faire face aux risques de conformité les plus courants auxquels ils sont confrontés.
• Développer des indicateurs de performance clés, tels que le suivi des infractions, les taux d'achèvement des formations et l'efficacité des actions correctives, afin de mesurer et de contrôler la conformité.
• Favoriser une culture de la conformité et de l'éthique. Un code de conduite, une formation à la conformité, des politiques et un manuel de conformité facilement accessible contribueront grandement à créer un état d'esprit efficace en matière de conformité.

Il est également important de protéger et de préserver les PHI et autres données sensibles à l'aide de mécanismes de sauvegarde et de récupération robustes qui garantissent le respect des exigences en matière de conservation tout en préservant l'intégrité et la disponibilité des données.

La conformité HIPAA est-elle la seule couverture dont vous avez besoin ?

Si la conformité à l'HIPAA est cruciale pour les organismes de santé, ce n'est pas la seule réglementation qui peut s'appliquer à votre entreprise. En fonction de votre secteur d'activité et de la nature de vos opérations, d'autres normes de conformité, telles que HITRUST, peuvent également s'avérer pertinentes. Il est essentiel d'évaluer vos besoins spécifiques en matière de conformité et d'étudier comment configurer Google Workspace pour répondre à toutes les obligations de conformité régissant votre lieu de travail numérique.

Comment Mimecast Aware peut soutenir la conformité HIPAA dans Google Workspace

Aware permet aux organismes de soins de santé et aux autres entités concernées de respecter leurs obligations en matière de conformité HIPAA dans le cadre d'outils numériques où les employés collaborent.

Intégration native de Google dans Mimecast Aware :

• Il soutient l'atténuation des risques et le respect de la conformité au sein de cet ensemble de données en utilisant des flux de travail d'IA de traitement du langage naturel (NLP) de pointe qui protègent les données à l'aide d'automatisations basées sur des mots clés et des expressions régulières (regex).
• Fournit un aperçu continu des ensembles de données complexes à l'aide de flux de travail facilement configurables, identifiant rapidement les violations potentielles de données, facilitant une remédiation rapide et améliorant la cybersécurité.
• Il utilise des recherches fédérées pour réduire le temps d'investigation et un contrôle d'accès basé sur les rôles pour limiter l'exposition aux données électroniques et les risques de sécurité.

Demandez une démonstration pour découvrir comment Mimecast Aware détecte de manière proactive les accès non autorisés et les comportements à risque et prend en charge la conformité HIPAA pour les produits Google.

Première publication en octobre 2023. Mise à jour avr. 2024.