Health Insurance Portability and Accountability (HIPAA) & HITECH ActsHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

Vue d’ensemble de HIPAA et de la loi HITECHHIPAA and the HITECH Act overview

La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi américaine sur la santé qui établit des exigences en matière d’utilisation, de divulgation et de protection des informations médicales identifiables individuellement.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Elle s’applique aux entités couvertes, aux cabinets médicaux, aux hôpitals, aux autorités médicales et aux autres sociétés de santé, qui ont accès aux informations médicales protégées des patients, ainsi qu’aux associés commerciaux, tels que les services cloud et les fournisseurs informatiques, qui assurent le traitement de l’PHI en leur nom.It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (La plupart des entités couvertes n’effectuent pas de fonctions telles que les revendications ou le traitement des données eux-mêmes ; elles s’appuient sur des associés commerciaux pour le faire.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

La loi régule l’utilisation et la diffusion de l’PHI dans quatre domaines généraux :The law regulates the use and dissemination of PHI in four general areas:

  • Confidentialité, qui couvre la confidentialité des patients.Privacy, which covers patient confidentiality.
  • La sécurité, qui porte sur la protection des informations, y compris les protections physiques, technologiques et administratives.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Identificateurs, qui sont les types d’informations qui ne peuvent pas être publiés s’ils sont collectés à des fins de recherche.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Codes de transmission électronique des données dans les transactions liées aux soins de santé, y compris les déclarations d’éligibilité et d’assurance ainsi que les paiements.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

L’étendue de la loi HIPAA a été étendue avec l’adoption de la loi HITECH (Health Information Technology for Economic and Hip Health). Ensemble, les règles HIPAA et HITECH Act sont les suivantes :The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • La règle de confidentialité HIPAA, qui se concentre sur le droit des individus à contrôler l’utilisation de leurs informations personnelles, et couvre la confidentialité de l’PHI, en limitant son utilisation et sa divulgation.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • La règle de sécurité HIPAA, qui définit les normes de protection administrative, technique et physique pour protéger l’PHI électronique contre l’accès, l’utilisation et la divulgation non autorisés.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Il inclut également des exigences organisationnelles telles que les contrats de partenariat commercial (AAS).It also includes such organizational requirements as Business Associate Agreements (BAAs).

La règle finale de notification de violation HITECH, qui nécessite de donner une notification aux individus et au gouvernement en cas de violation de l’PHI non garantie se produit.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft et HIPAA et la loi HITECHMicrosoft and HIPAA and the HITECH Act

Les réglementations HIPAA exigent que les entités couvertes et leurs associés commerciaux, dans ce cas, Microsoft lorsqu’il fournit des services, y compris des services cloud, aux entités couvertes, entrent des contrats pour s’assurer que ces associés commerciaux protègent correctement l’PHI.HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. Ces contrats, ou contrats baas, clarifient et limitent la façon dont l’associé commercial peut gérer l’PHI et définissent le respect par chaque partie des dispositions de sécurité et de confidentialité définies dans la loi HIPAA et la loi HITECH. Une fois qu’un baa est en place, les clients Microsoft (entités couvertes) peuvent utiliser ses services pour traiter et stocker l’PHI.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

Il n’existe actuellement aucune certification officielle pour la conformité HIPAA ou HITECH Act.Currently there is no official certification for HIPAA or HITECH Act compliance. Toutefois, les services Microsoft couverts par le BAA ont fait l’objet d’audits effectués par des auditeurs indépendants agréés pour la certification Microsoft ISO/IEC 27001.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Les services cloud d’entreprise Microsoft sont également couverts par les évaluations FedRAMP.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure et Microsoft Azure Government ont reçu une autorité provisoire pour fonctionner à partir du comité d’autorisation commun FedRAMP . Microsoft Dynamics 365 U.S. Government a reçu une autorité de l’agence pour fonctionner du département américain du hébergement et du développement à l’état américain, tout comme Microsoft Office 365 U.S. Government du département de la Santé et des services humains des États-Unis.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Pour découvrir comment Microsoft Cloud aide les clients à prendre en charge hipAA et les exigences HITECH, consultez La base de données Customer Stories de Microsoft.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Services Cloud Microsoft concernésMicrosoft in-scope cloud services

Accélérer votre déploiement de solutions HIPAA/HITRUST sur AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Profitez des avantages du cloud pour les solutions de données d’état avec le Plan de sécurité et conformité Azure : HIPAA/HITRUST Health Data and AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. Ce plan fournit des outils et des conseils pour vous aider à commencer à créer des solutions HIPAA/HITRUST dès aujourd’hui.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Foire aux questionsFrequently asked questions

Mon organisation peut-elle entrer un BAA avec Microsoft ?Can my organization enter into a BAA with Microsoft?

Microsoft propose aux sociétés qualifiées ou à leurs fournisseurs un baa qui couvre les services Microsoft dans l’étendue.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Pour les services cloud De Microsoft : le contrat de partenariat commercial HIPAA est disponible par défaut via les conditions d’accès aux services en ligne pour tous les clients qui sont des entités couvertes ou des associés commerciaux dans le cadre de la loi HIPAA.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Voir « Services cloud microsoft dans l’étendue » sur cette page web pour obtenir la liste des services cloud couverts par ce BAA.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Pour les services professionnels de Microsoft : l’ad modification de l’association professionnelle HIPAA est disponible pour les services professionnels Microsoft au niveau de l’étendue sur demande à votre représentant des services Microsoft.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Le fait d’avoir un BAA avec Microsoft garantit-il la conformité de mon organisation avec la loi HIPAA et la loi HITECH ?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

Non.No. En proposant un BAA, Microsoft vous aide à assurer votre conformité HIPAA, mais l’utilisation des services Microsoft ne permet pas d’y parvenir en elle-même.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. Votre organisation est chargée de s’assurer que vous avez un programme de conformité et des processus internes appropriés en place, et que votre utilisation particulière des services Microsoft s’aligne sur la loi HIPAA et HITECH.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Microsoft peut-il modifier le baa de mon organisation ?Can Microsoft modify my organization's BAA?

Microsoft ne peut pas modifier le BAA HIPAA, car les services Microsoft sont cohérents pour tous les clients et doivent donc suivre les mêmes procédures pour tout le monde.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Toutefois, pour créer le BAA pour les clients réglementés par l’HIPAA de Microsoft et ses services, Microsoft a travaillé avec certains des principaux établissements médicaux américains et leur conseiller en matière de confidentialité HIPAA, ainsi que d’autres entités publiques et privées couvertes par la loi HIPAA.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Comment puis-je obtenir des copies des rapports de l’auditeur ?How can I get copies of the auditor's reports?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment.The Service Trust Portal provides independently audited compliance reports. Vous pouvez utiliser le portail pour demander des rapports d’audit afin que vos auditeurs peuvent comparer les résultats des services cloud de Microsoft à vos propres exigences légales et réglementaires.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Comment puis-je en savoir plus sur la conformité avec la loi HIPAA et la loi HITECH ?How can I learn more about complying with HIPAA and the HITECH Act?

Pour aider les clients à accomplir cette tâche, Microsoft a publié les guides ci-après :To assist customers with this task, Microsoft has published these guides:

  • Conseils d’implémentation HIPAA/HITECH Act pour Azure et Dynamics 365 et Office 365.HIPAA/HITECH Act implementation guidance for Azure and for Dynamics 365 and Office 365. Écrits pour les responsables de la confidentialité, de la sécurité et de la conformité, ainsi que pour d’autres responsables de l’implémentation de la loi HIPAA et HITECH, ils décrivent les étapes concrètes que votre organisation peut prendre pour maintenir la conformité.Written for privacy, security, and compliance officers and others responsible for HIPAA and HITECH Act implementation, they describe concrete steps your organization can take to maintain compliance.
  • Un guide pratique pour concevoir des solutions d’état de santé sécurisées à l’aide de Microsoft Azure vous aide à mieux comprendre ce qu’il faut pour adopter un service cloud de manière sécurisée.Practical guide to designing secure health solutions using Microsoft Azure helps you better understand what it takes to successfully adopt a cloud service in a secure manner.
  • La protection des exigences de sécurité et de confidentialité HIPAA dans microsoft Cloud offre une brève vue d’ensemble des exigences de réglementation.Addressing HIPAA security and privacy requirements in the Microsoft Cloud offers a brief overview of regulation requirements. Il fournit également une analyse détaillée de la façon dont les services cloud de Microsoft ont été créés à l’aide de méthodologies qui s’appuient sur ces exigences, ainsi que des instructions sur la façon de créer des solutions prêtes pour la conformité.It also provides a detailed analysis of how Microsoft's cloud services were built with methodologies that map to those requirements, and guidance on how to build compliance-ready solutions.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risquesUse Microsoft Compliance Manager to assess your risk

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement.Compliance Manager offers a premium template for building an assessment for this regulation. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité.Find the template in the assessment templates page in Compliance Manager. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.Learn how to build assessments in Compliance Manager.

RessourcesResources