Dropbox et HIPAA/HITECH
Les informations contenues dans cet article s’appliquent à certaines équipes Dropbox Standard, Advanced, Enterprise, Education, Business, Business Plus et Sign.
HIPAA/HITECH, qu’est-ce que c’est ?
HIPAA/HITECH fait référence à deux lois :
- La loi américaine HIPAA (Health Insurance Portability and Accountability Act) relative à la protection de la confidentialité et de l’intégrité des informations des patients (1996)
- La loi américaine HITECH (Health Information Technology for Economic and Clinical Health) relative à l’adoption et à l’utilisation appropriée des technologies d’information de santé (2009)
Ces lois visent à favoriser l’essor des technologies dans l’industrie de la santé, tout en mettant en place des barrières pour protéger et garantir la confidentialité des informations médicales. Différents établissements (hôpitaux, cabinets médicaux, cabinets dentaires, etc.) ainsi que les individus amenés à interagir avec des informations médicales protégées peuvent être soumis aux lois HIPAA/HITECH. L’application de ces lois peut aussi s’étendre aux entreprises qui travaillent avec ces établissements et qui accèdent à ces informations médicales protégées pour le compte de leurs partenaires.
Définition des principaux termes liés aux lois HIPAA/HITECH
Informations médicales protégées
Informations permettant d’identifier une personne et qui sont liées (à la fois dans le passé, dans le présent ou dans le futur) :
- à sa santé physiologique ou psychologique
- aux services médicaux qui lui sont fournis
- aux frais médicaux réglés
Entité couverte
Une entité couverte est un régime d’assurance-santé, un centre d’échange de données médicales ou un prestataire de soins de santé. Ces catégories incluent les hôpitaux, les cliniques, les cabinets médicaux et les établissements qui créent, reçoivent ou transmettent des informations médicales protégées. Puisqu’elles accèdent aux données médicales protégées, les entités couvertes sont responsables de la confidentialité et de la sécurité de ces informations, conformément aux lois HIPAA/HITECH.
Partenaire
Un partenaire est une entité qui crée, reçoit, gère ou transmet des informations médicales protégées pour le compte d’une entité couverte, et qui est par conséquent également soumise aux lois HIPAA/HITECH.
Accord de partenariat (BAA, Business associate agreement)
Un accord de partenariat est une assurance contractuelle par laquelle le partenaire s’engage auprès de l’entité couverte à respecter les exigences de la loi HIPAA. Ce contrat doit être en vigueur avant le transfert d’informations médicales protégées entre l’entité couverte et le partenaire.
Dropbox possède-t-il une certification HIPAA/HITECH ?
Il n’existe pas de certification HIPAA/HITECH officielle. Pour vous aider à comprendre comment nous remplissons nos obligations et respectons les exigences relatives à la loi HIPAA/HITECH, vous pouvez accéder au Trust Center Dropbox. Il fournit aux clients potentiels et existants un accès en libre-service à toute une documentation essentielle en matière de sécurité, de fiabilité, de confidentialité et de conformité. Il regroupe de manière pratique tout ce que vous devez savoir.
Accès au Trust Center Dropbox
Remarque : vous ne pouvez pas utiliser votre connexion Dropbox pour accéder au Trust Center Dropbox.
Vous devrez vous connecter pour accéder à tous les rapports et à la documentation. Pour demander l’accès :
- Accédez au site trust.dropbox.com.
- Cliquez sur Get Access en haut à droite.
- Saisissez votre adresse e‑mail professionnelle, puis cliquez sur Continue.
- Saisissez vos coordonnées, puis cliquez sur Submit Request.
Une fois l’inscription validée, vous pourrez accéder aux rapports et documents privés et publics.
Remarque : vous devrez peut-être signer un accord de non-divulgation pour accéder à certains documents privés, mais cela n’a rien de compliqué dans le Trust Center.
Comment utiliser Dropbox Business tout en respectant mes obligations dans le cadre des lois HIPAA/HITECH ?
Nous voulons que vous puissiez comprendre facilement comment sécuriser votre compte et respecter vos obligations légales. Bien qu’il vous appartienne de veiller au respect de vos obligations légales, nous avons rédigé un certain nombre de recommandations pour vous aider à sécuriser vos données et à protéger vos comptes.
Pour en apprendre davantage sur nos pratiques internes et savoir ce que Dropbox recommande aux clients qui souhaitent répondre aux exigences des règles de sécurité et de confidentialité HIPAA/HITECH, nous vous invitons à consulter le Trust Center Dropbox.
Il vous fournira des conseils pour configurer votre compte et préserver la sécurité des données de type informations médicales protégées. Ce document-cadre offre différentes suggestions couvrant de nombreux sujets, dont les suivants :
- Configuration des autorisations de partage
- Désactivation des suppressions définitives
- Surveillance de l’activité des comptes et de l’accès aux comptes
- Rôle des applications tierces
Si vous faites partie de nos clients soumis aux lois HIPAA/HITECH, n’oubliez pas que vous devez mettre en place un accord de partenariat avant de commencer à transférer des informations médicales protégées dans votre compte Dropbox. Pour en savoir plus sur l’achat d’un forfait d’équipe Dropbox, contactez notre équipe de vente.
Si vous administrez actuellement un compte d’équipe Dropbox, vous pouvez signer un accord de partenariat par voie électronique à partir de la page Compte dans l’interface d’administration.
Remarques :
- Seuls les clients installés aux États-Unis peuvent signer un accord de partenariat électronique via l’interface d’administration.
- Si votre équipe signe un accord de partenariat BAA, vous ne pouvez pas activer l’assistance revendeur.
- Apprenez-en davantage sur l’activation de l’assistance revendeur et sur le programme des partenaires et revendeurs.
Comment mettre en place un accord de partenariat (BAA) avec Dropbox ?
Pour en savoir plus sur l’achat d’un forfait d’équipe Dropbox, contactez notre équipe de vente. Si vous administrez actuellement un compte d’équipe Dropbox, vous pouvez signer un accord de partenariat par voie électronique à partir de la page Compte dans l’interface d’administration.
Les applications et intégrations tierces entrent-elles dans le cadre de mon accord de partenariat avec les forfaits d’équipe Dropbox ?
Pour profiter de fonctionnalités supplémentaires, vous pouvez puiser dans un vaste écosystème d’applications tierces pouvant être associées à votre compte d’équipe Dropbox. Les intégrations qui fournissent des services de gestion des événements et des informations de sécurité (SIEM), de protection contre la perte de données (DLP), de gestion des identités ou d’autres services similaires peuvent se révéler très précieuses pour renforcer vos pratiques existantes en matière de sécurité.
Si ces applications et intégrations tierces peuvent compléter à merveille les fonctionnalités de votre compte, n’oubliez pas qu’elles ne font pas partie de notre offre. Par conséquent, elles ne sont pas couvertes par les conditions d’utilisation de Dropbox, ni par l’éventuel accord de partenariat conclu avec Dropbox. Il vous appartient d’évaluer ces applications afin de déterminer si leur utilisation est compatible avec vos obligations légales. N’oubliez pas que certaines applications sont associées à des comptes personnels, tandis que d’autres peuvent être associées à l’ensemble de votre équipe par un administrateur.