Zoom est-il conforme à la loi HIPAA ?

Zoom est une plateforme de vidéoconférence et un logiciel de messagerie instantanée basés sur le cloud, utilisés par des entreprises de toutes tailles et de tous secteurs pour réunir des équipes et collaborer plus rapidement et plus efficacement sur le lieu de travail. Cependant, les utilisateurs de Zoom dans des secteurs très réglementés tels que les soins de santé doivent se conformer à la législation gouvernementale telle que l'HIPAA. Les prestataires de soins de santé doivent prendre des mesures supplémentaires lorsqu'ils utilisent Zoom afin de s'assurer qu'ils le font dans le respect de la loi HIPAA. 

Qu'est-ce que Zoom ? 

Outil de vidéoconférence populaire, Zoom permet aux utilisateurs (avec ou sans compte Zoom) d'organiser des réunions virtuelles avec des participants du monde entier. Zoom est une plateforme populaire pour les entreprises et a connu une grande popularité lorsque les employés ont été contraints de travailler à distance pendant la pandémie. Zoom offre des services de vidéo et de chat en temps réel et comprend des fonctionnalités telles que le partage d'écran, l'hébergement de webinaires, la transcription automatique et bien d'autres encore. Zoom est disponible pour presque tous les appareils et systèmes d'exploitation. 

Qu'est-ce que Zoom Team Chat ? 

Zoom Team Chat est une fonction de messagerie de la plate-forme de vidéoconférence Zoom qui permet aux utilisateurs d'envoyer des messages textuels pendant une réunion Zoom ou en dehors d'une réunion. Cela permet une communication en temps réel entre les membres de l'équipe, qu'ils se trouvent au même endroit ou à distance. Avec Zoom Team Chat, les utilisateurs peuvent partager des idées, des fichiers et des liens, et collaborer sur des projets d'une manière rationalisée à travers des messages privés et de groupe et des canaux publics organisés par sujet. 

Qu'est-ce que l'HIPAA ? 

En vertu du droit américain, les informations sensibles concernant votre santé et votre traitement médical sont protégées par la loi HIPAA (Health Insurance Portability and Accountability Act). Cette loi crée des normes nationales pour le contrôle des informations de santé protégées (PHI) et des PHI électroniques (ePHI). Les entités couvertes par la HIPAA, telles que les prestataires de soins de santé, doivent respecter un ensemble de normes strictes afin de garantir que les PHI qu'elles traitent ne sont pas consultées ou exfiltrées de manière illégale.  

Zoom est-il conforme à HIPAA en 2023 ? 

Le service standard de Zoom ne répond pas aux exigences de l'HIPAA. Les organismes de santé doivent donc utiliser le service dédié Zoom for Healthcare, en particulier lorsqu'ils fournissent des services de télésanté. Zoom for Healthcare est conçu pour répondre aux normes de sécurité et de confidentialité requises par l'HIPAA en protégeant les informations de santé protégées (PHI) partagées lors des réunions Zoom. Cependant, comme la technologie Zoom n'est pas certifiée par l'Office of the National Coordinator for Health Information Technology ou par le National Institute of Standards and Technology, Zoom n'est pas officiellement certifié HIPAA. 

Qu'est-ce que Zoom pour les soins de santé ? 

Zoom dispose d'un service spécifique, appelé Zoom for Healthcare, qui est conçu pour répondre aux exigences de l'HIPAA. Ce service comprend des fonctionnalités telles que le cryptage de bout en bout, les contrôles d'accès et le secure messaging, qui peuvent contribuer à protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux patients. 

Pourquoi Zoom n'est-il pas toujours conforme à HIPAA ? 

L'HIPAA est une série de normes de protection des données qui s'appliquent aux informations de santé protégées (PHI). Ces données étant confidentielles, elles nécessitent un traitement plus sûr et plus réfléchi que d'autres types de données moins sensibles. 

Zoom a été conçu pour rendre la communication et le partage d'informations plus rapides et plus faciles. L'adhésion à des réglementations strictes en matière de sécurité des données dans tous les cas rendrait Zoom plus difficile à utiliser, ce qui irait à l'encontre de son objectif premier sur le marché. Par conséquent, des outils tels que Zoom ne sont pas conformes à la HIPAA en tant que norme, mais ils peuvent être utilisés dans le respect de la HIPAA. 

Zoom est-il conforme à HIPAA avec un BAA ? 

Dans le cadre de leurs activités, les organisations couvertes par la règle de confidentialité HIPAA, telles que les prestataires de soins de santé, doivent s'assurer que leurs partenaires, associés et sous-traitants protègent également toutes les données PHI qu'ils manipulent. Un accord d'association commerciale HIPAA (BAA) est un accord juridique qui décrit les précautions que chaque partie prendra pour protéger les PHI et assurer la sécurité de ces informations. Zoom conclura des BAA avec les utilisateurs de Zoom pour les soins de santé ou avec ceux qui bénéficient de plans Zoom payants. Il s'agit d'une étape importante pour toute entité couverte afin de se conformer à HIPAA lors de l'utilisation de Zoom. 
Quel plan Zoom est conforme à la loi HIPAA ? 

Pour protéger les informations personnelles, les prestataires de soins de santé devraient utiliser le plan Zoom for Healthcare pour la télésanté, les consultations de patients et d'autres besoins de conférence web où les informations personnelles pourraient être partagées. D'autres versions de Zoom, comme Zoom Pro, et des offres groupées comme Zoom One, peuvent être utilisées de manière à respecter les réglementations HIPAA, mais ne contiennent pas toutes les fonctionnalités nécessaires pour garantir la confidentialité des données. Zoom Basic, le plan gratuit de Zoom, n'est pas conforme à la loi HIPAA car il ne permet pas aux utilisateurs de conclure un BAA avec Zoom. 

Comment rendre les appels et les réunions Zoom conformes à la loi HIPAA ? 

La conformité HIPAA implique la sécurisation des données PHI. Par conséquent, le respect des meilleures pratiques générales en matière de sécurité des données peut aider une entreprise à utiliser Zoom d'une manière conforme à la réglementation HIPAA. Voici quelques exemples de la manière de protéger les informations personnelles et les données sensibles lors des réunions Zoom : 

• Utilisez toujours un code d'accès à la réunion, même lorsque vous utilisez votre Personal Meeting ID. 
• Approuver et admettre les participants individuellement à l'aide de la fonction Salle d'attente 
• Limitez les participants aux réunions aux comptes connectés ou aux utilisateurs de domaines spécifiques. 
• Verrouillez les réunions pour empêcher les utilisateurs de s'y joindre après l'heure de début. 
• Désactiver les fonctions de partage et d'enregistrement d'écran pour les participants à la réunion 

Dans de nombreux cas, les propriétaires de comptes peuvent automatiquement activer ces paramètres pour tous les utilisateurs, ce qui vous permet de vous assurer que les employés suivent toujours les meilleures pratiques en matière de sécurité de l'information lorsqu'ils utilisent Zoom. 

Quelles sont les autres mesures à prendre pour que Zoom soit conforme à HIPAA ? 

Zoom peut être conforme à la loi HIPAA pour la télémédecine si certaines mesures de sécurité et de protection de la vie privée sont mises en œuvre. Voici quelques-unes des fonctions de sécurité incluses dans Zoom for Healthcare qui le rendent conforme à la loi HIPAA : 

1. Cryptage de bout en bout : Zoom for Healthcare fournit un cryptage de bout en bout pour tous les appels vidéo, l'audio et le contenu des chats afin de protéger la confidentialité des informations des patients.
2. Contrôles d'accès : Zoom for Healthcare permet aux utilisateurs de restreindre l'accès aux réunions et de contrôler qui peut s'y joindre, partager du contenu et participer à la réunion.
3. Secure messaging : Zoom for Healthcare fournit une secure messaging qui permet aux professionnels de la santé de communiquer avec les patients et d'autres professionnels de la santé tout en protégeant la confidentialité des informations relatives aux patients.
4. Accord d'association commerciale signé (BAA) : Zoom for Healthcare fournit un Business Associate Agreement (BAA) signé qui décrit les responsabilités et les obligations de Zoom en tant qu'associé commercial HIPAA.

Pour s'assurer que Zoom est entièrement conforme à l'HIPAA, les organisations doivent également mettre en œuvre des mesures de sécurité supplémentaires, telles que la mise en place de mots de passe forts, la configuration d'une authentification à deux facteurs et la formation des employés sur la conformité à l'HIPAA. 

Les transcriptions Zoom sont-elles conformes à la loi HIPAA ? 

Zoom offre aux clients des licences Business, Education et Enterprise la possibilité de générer des transcriptions audio en direct des réunions. Il s'agit de transcriptions générées par une machine à l'aide d'un logiciel de conversion de la parole en texte. Leur degré de précision varie en fonction de la qualité du son, des accents du locuteur, du bruit de fond et de la complexité de la langue utilisée. Pour les utilisateurs de Zoom for Healthcare, les transcriptions en direct peuvent être utiles lorsqu'ils parlent avec des patients sourds ou malentendants. Les utilisateurs de Zoom for Healthcare ont également la possibilité de télécharger une transcription audio et de l'enregistrer dans le dossier médical électronique de leur patient. 

Tout utilisateur de l'appel Zoom peut enregistrer la transcription écrite, à moins que cette fonction ne soit désactivée par l'organisateur de la réunion. Cela peut compromettre les données PHI si le fichier n'est pas sauvegardé dans un référentiel sécurisé et doit être pris en compte avant que les utilisateurs ne génèrent une transcription à l'aide de Zoom. 

Comment Mimecast prend-il en charge la conformité HIPAA dans Zoom Team Chat ? 

Notre plateforme d'intelligence collaborative se connecte à Zoom Team Chat pour signaler automatiquement et en temps réel les risques liés à la sécurité des données. 

• Fonctions complètes de protection de la vie privée et de conformité  
• Contrôles d'accès stricts basés sur les rôles (RBAC) 
• Politiques de conservation granulaires pour la réglementation des données 
• Respect de la conformité et détection des risques en temps réel 

Grâce à Mimecast Aware, les organismes de santé peuvent protéger les informations personnelles grâce à des flux de travail robustes et conformes, soutenus par un traitement du langage naturel (NLP) à la pointe de l'industrie. Les administrateurs peuvent personnaliser les autorisations pour leur organisation afin de cibler les informations restreintes pour des résultats plus précis et moins de faux positifs, ce qui rend la conformité HIPAA plus rapide et plus facile à mettre en œuvre et à maintenir dans Zoom Team Chat.  

Mimecast Aware prend également en charge des capacités de recherche fédérée avancées pour identifier les informations sensibles dans Zoom Team Chat en fonction d'un large éventail de paramètres, y compris les expressions régulières (regex), les mots clés, les dépositaires, la date et l'heure, le sentiment et bien plus encore. Cela permet d'accélérer et de rendre plus efficaces les enquêtes internes, les réponses aux incidents de sécurité et les demandes d'accès à l'information. 

Avec Mimecast Aware, les organismes de santé peuvent mettre en place des politiques de gestion des données conformes à la loi HIPAA dans Zoom Team Chat, en conjonction avec les fonctionnalités HIPAA de Zoom et les politiques et procédures internes.