La règle de confidentialité HIPAA (Health Insurance Portability and Accountability Act) protège au niveau fédéral les informations de santé personnelles détenues par les entités visées et attribue aux patients une série de droits sur ces informations.
La règlementation HIPAA exige que les entités visées et leurs partenaires commerciaux (en l’occurrence Esri lorsqu’elle fournit des services aux entités visées, notamment des services Cloud) concluent un contrat pour garantir qu’ils protègeront les informations de santé personnelles de manière appropriée. Ces contrats, ou accords de partenariat, clarifient et limitent le traitement des informations de santé personnelles par le partenaire, et énonce l’adhésion de chaque partie aux dispositions relatives à la sécurité et à la confidentialité stipulées dans l’HIPAA et la loi HITECH.
Actuellement, il n’existe pas de certification officielle de conformité à l’HIPAA ou à la loi HITECH. Au lieu de cela, les services Esri ci-dessous sont autorisés par FedRAMP Moderate Agency par le biais de contrôles de sécurité NIST 800-53 qui correspondent aux normes de la règle de sécurité HIPAA.
Services Esri concernés
Services ArcGIS Online conformes à l’HIPAA
Le service ArcGIS Online initial d’Esri conforme à l’HIPAA est spécifiquement le service de géocodage disponible à l’adresse geocode.arcgis.com. Esri dressera la liste des autres services conformes à l’HIPAA ici au fur et à mesure de la validation de leur conformité, à la demande des clients. Les restrictions et les exigences actuelles associées au service de géocodage conforme à l’HIPAA incluent la maintenance de support pour les citoyens des États-Unis uniquement, le géocodage uniquement pour les adresses aux États-Unis, et aucun appel de clé d’API (seuls les identifiants de connexion d’application et les comptes d’utilisateurs sont admis). En sa qualité d’offre de type logiciel en tant que service (SaaS) mutualisée identique pour tous les clients, Esri ne modifie pas l’accord de partenariat HIPAA d’ArcGIS Online pour répondre aux besoins spécifiques des clients.
EMCS Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced Plus est une offre ArcGIS Enterprise à client unique proposée par les services professionnels Esri. EMCS Advanced Plus offre la possibilité de négocier les conditions de l’accord de partenariat d’une organisation, mais utilise également par défaut l’accord de partenariat HIPAA d’Esri.
FAQ sur l’HIPAA et ArcGIS
Voici les questions fréquemment posées sur ArcGIS et l’HIPAA :
Une organisation peut-elle conclure un accord de partenariat HIPAA avec Esri pour un abonnement ArcGIS Online spécifique ?
Oui. Esri propose aux sociétés qualifiées ou à leurs fournisseurs un accord de partenariat couvrant les services ArcGIS Online conformes à l’HIPAA et/ou les services EMCS Advanced Plus, ainsi que la maintenance associée. Vous pouvez demander un accord de partenariat auprès d’Esri par l’intermédiaire de votre gestionnaire de compte. Cet accord peut être conclu par la plupart des organismes de santé publique, des hôpitaux et des caisses maladie. Toutefois, les agences fédérales américaines et les organisations de défense américaines ne pourront pas conclure de contrat de partenariat avec Esri tant qu’ArcGIS Online n’aura pas obtenu l’autorisation FedRAMP de niveau Moderate (Modéré), ce qui est prévu pour 2022.
Quels services puis-je utiliser dans mon organisation ArcGIS Online si j’ai conclu un accord de partenariat avec Esri ?
Vous pouvez utiliser tous les services ArcGIS Online appartenant à un compte d’organisation HIPAA, mais ceux-ci doivent uniquement traiter, stocker et transmettre des informations de santé personnelles dans les services conformes à l’HIPAA définis dans l’accord de partenariat.
Esri peut-elle accepter d’utiliser l’accord de partenariat de mon organisation à la place du sien ?
Non pour ArcGIS Online. Esri ne peut pas modifier l’accord de partenariat HIPAA car ArcGIS Online est une offre de type logiciel en tant que service (SaaS) mutualisée identique pour tous les clients. Esri doit suivre les mêmes procédures pour tous. Pour limiter les débats, Esri a déjà passé en revue et intégré des clauses figurant dans les accords de partenariat de clients et de fournisseurs de logiciels en tant que service de taille moyenne à grande homologues.
EMCS Advanced Plus offre la possibilité de négocier les conditions de l’accord de partenariat d’une organisation, mais utilise également par défaut l’accord de partenariat HIPAA d’Esri.
Si un client doit utiliser son propre accord de partenariat ou souhaite une personnalisation majeure de l’accord de partenariat d’Esri, il devra contacter l’équipe en charge des services professionnels pour envisager ses besoins spécifiques en dehors d’ArcGIS Online, par exemple avec un déploiement sur site ou EMCS Advanced Plus d’ArcGIS Enterprise.
Si une organisation a conclu un accord de partenariat avec Esri, cela signifie-t-il qu’elle respecte l’HIPAA et la loi HITECH ?
Non, ce n’est pas suffisant. La conformité à l’HIPAA implique plusieurs responsabilités pour l’entité visée, c’est-à-dire l’organisme de santé qui traite des données confidentielles. En proposant un accord de partenariat, Esri contribue à la mise en conformité avec l’HIPAA, mais l’utilisation des services Esri ne permet pas en soi d’atteindre cette conformité. C’est au client de s’assurer qu’un programme de mise en conformité et des processus internes adéquats sont en place, et que son utilisation particulière des services Esri est conforme à l’HIPAA et à la loi HITECH. Cela ne concerne pas que les logiciels et les services ; il s’agit d’un processus holistique dont le but est d’éviter toute atteinte à la vie privée.
Comment une organisation peut-elle évaluer le risque généré par sa configuration de ArcGIS Online ?
Tout d’abord, les clients peuvent se procurer un rapport d’évaluation tiers annuel FedRAMP auprès d’Esri, dans le cadre d’un contrat de confidentialité ou en accédant aux paquetages d’autorisation FedRAMP disponibles sur connect.gov. Ensuite, les clients peuvent mettre en place un test de la sécurité selon les termes d’un contrat d’évaluation de la sécurité (SAA) Esri pour procéder à une validation technique de leur offre. Enfin, Esri a créé l’outil ArcGIS Security Advisor qu’un administrateur d’organisation peut utiliser pour accéder à un récapitulatif avec code couleur rouge, jaune et vert à tout moment.
Quel est le support ou la maintenance disponible avec l’accord de partenariat en ligne d’Esri ?
S’agissant d’une exigence réglementaire des États-Unis relative aux informations de santé personnelles, les clients qui signent un accord de partenariat bénéficient en premier lieu du support d’Esri pour les États-Unis uniquement. Ce support pourra devenir un support global standard dans le futur, selon la demande. Dans des conditions standard, les ressources du support client ainsi que de l’équipe en charge des opérations ne consultent pas les jeux de données des clients ArcGIS Online. Si un client détermine que le support Esri a besoin d’accéder au jeu de données relatif à un abonnement ArcGIS Online couvert par un accord de partenariat, d’y accéder ou de le télécharger, la ressource en charge de la confidentialité du client identifiée préalablement sera contactée par Esri en vue d’obtenir une autorisation d’accès.
Que se passe-t-il si le service dont j’ai besoin n’est pas conforme à l’HIPAA ?
Esri va continuer d’ajouter des services conformes à l’HIPAA et cette page sera mise à jour au fur et à mesure pour les répertorier. Il est recommandé aux clients qui ont besoin immédiatement d’un service non conforme à l’HIPAA d’utiliser l’offre ArcGIS Enterprise pour répondre à leurs besoins concernant les services en ligne.
Ressources
- Gestion des informations SIG de santé (public)
- Valider les bonnes pratiques à l’aide de l’outil Security Advisor (outil public du Trust Center)
- Summary of HIPAA Privacy Rule (public)
Vous avez un commentaire à formuler concernant cette rubrique ?