Dropbox et HIPAA/HITECH

HIPAA/HITECH, qu'est-ce que c'est ?

Le terme HIPAA/HITECH désigne deux lois américaines relatives aux informations médicales : Health Insurance Portability and Accountability Act (1996) et Health Information Technology for Economic and Clinical Health Act (2009).

Ces lois visent à favoriser l'essor des technologies dans l'industrie de la santé, tout en mettant en place des barrières pour protéger et garantir la confidentialité des informations médicales. Différents établissements (hôpitaux, cabinets médicaux, cabinets dentaires, etc.) ainsi que les individus amenés à interagir avec des informations médicales protégées peuvent être soumis aux lois HIPAA/HITECH. L'application de ces lois peut aussi s'étendre aux entreprises qui travaillent avec ces établissements et qui accèdent à ces informations médicales protégées pour le compte de leurs partenaires.

Définition des principaux termes liés aux lois HIPAA/HITECH

Informations médicales protégées

Informations permettant d'identifier l'individu et qui sont liées :

  • à la santé physiologique ou psychologique présente, passée ou future de l'individu ;
  • aux services médicaux fournis à l'individu par le passé, actuellement ou dans le futur ;
  • aux frais médicaux réglés par l'individu, par le passé ou dans le futur.

Entité couverte

Une entité couverte est un régime d'assurance-santé, un centre d'échange de données médicales ou un prestataire de soins de santé. Ces catégories incluent les hôpitaux, les cliniques, les cabinets médicaux et les établissements qui créent, reçoivent ou transmettent des informations médicales protégées. Puisqu'elles accèdent aux données médicales protégées, les entités couvertes sont responsables de la confidentialité et de la sécurité de ces informations, conformément aux lois HIPAA/HITECH.

Partenaire

Un partenaire est une entité qui crée, reçoit, gère ou transmet des informations médicales protégées pour le compte d'une entité couverte, et qui est par conséquent également soumise aux lois HIPAA/HITECH.

Accord de partenariat (BAA, Business associate agreement)

Un accord de partenariat est une assurance contractuelle par laquelle le partenaire s'engage auprès de l'entité couverte à respecter les exigences de la loi HIPAA. Ce contrat doit être en vigueur avant le transfert d'informations médicales protégées entre l'entité couverte et le partenaire.

Dropbox possède-t-il une certification HIPAA/HITECH ?

Il n'existe pas de certification officielle HIPAA/HITECH. Pour vous aider à mieux comprendre comment nous respectons nos obligations vis-à-vis des lois HIPAA/HITECH, vous pouvez demander à obtenir un rapport d'assurance auprès d'un organisme tiers dans le but d'évaluer les contrôles que nous menons pour assurer la conformité avec les exigences des règles HIPAA/HITECH relatives à la sécurité, à la confidentialité et à la notification des violations. Vous pouvez également demander à obtenir un recensement de nos pratiques internes et des recommandations faites aux clients qui cherchent à répondre aux exigences des règles HIPAA/HITECH relatives à la sécurité et à la confidentialité avec Dropbox Business.

Comment utiliser Dropbox Business tout en respectant mes obligations dans le cadre des lois HIPAA/HITECH ?

Nous souhaitons vous permettre de comprendre facilement comment sécuriser votre compte et respecter vos obligations légales. In fine, il vous appartient de veiller au respect de vos obligations légales, mais nous avons rédigé un certain nombre de recommandations pour vous aider à sécuriser vos données et à protéger vos comptes.

Pour commencer, consultez notre guide de présentation de la loi HIPAA pour obtenir des conseils sur la configuration de votre compte en vue de sécuriser des données telles que les informations médicales protégées. Ce document-cadre offre différentes suggestions couvrant de nombreux sujets, dont les suivants :

  • Configuration des autorisations de partage
  • Désactivation des suppressions définitives
  • Surveillance de l'activité des comptes et de l'accès aux comptes
  • Rôle des applications tierces

Sur demande, nous pouvons mettre à votre disposition notre plan des pratiques internes et des recommandations à l'attention des clients désireux d'assurer leur conformité avec les exigences des règles HIPAA/HITECH relatives à la sécurité et à la confidentialité avec Dropbox Business.

Si vous faites partie de nos clients soumis aux lois HIPAA/HITECH, n'oubliez pas que vous devez mettre en place un accord de partenariat avant de commencer à transférer des informations médicales protégées dans votre compte Dropbox. Pour en savoir plus sur la souscription d'un abonnement Dropbox Business, contactez notre équipe commerciale. Si vous êtes actuellement administrateur d'une équipe Dropbox Business, vous pouvez signer un accord de partenariat électroniquement à partir de la page Compte de l'interface d'administration.

Remarques :

Comment mettre en place un accord de partenariat (BAA) avec Dropbox ?

Pour en savoir plus sur la souscription d'un abonnement Dropbox Business, contactez notre équipe commerciale. Si vous êtes actuellement administrateur d'une équipe Dropbox Business, vous pouvez signer un accord de partenariat électroniquement à partir de la page Compte de l'interface d'administration.

Les applications et intégrations tierces entrent-elles dans le cadre de mon accord de partenariat avec Dropbox ?

Pour profiter de fonctionnalités supplémentaires, vous pouvez puiser dans un vaste écosystème d'applications tierces pouvant être associées à votre compte Dropbox Business. Les intégrations qui fournissent des services de gestion des événements et des informations de sécurité (SIEM), de protection contre la perte de données (DLP), de gestion des identités ou d'autres services similaires peuvent s'avérer très précieuses pour renforcer vos pratiques existantes en matière de sécurité.

Si ces applications et intégrations tierces peuvent compléter à merveille les fonctionnalités de votre compte, n'oubliez pas qu'elles ne font pas partie de notre offre. Par conséquent, elles ne sont pas couvertes par les conditions d'utilisation de Dropbox, ni par l'éventuel accord de partenariat conclu avec Dropbox. Il vous appartient d'évaluer ces applications afin de déterminer si leur utilisation est compatible avec vos obligations légales. N'oubliez pas que certaines applications sont associées à des comptes personnels, tandis que d'autres peuvent être associées à l'ensemble de votre équipe par un administrateur.

Avez-vous trouvé cet article utile ?

Nous en sommes désolés.
Selon vous, quelles améliorations pourrions-nous apporter ?

Merci d'avoir donné votre avis !
En quoi cet article vous a-t-il été utile ?

Merci d'avoir donné votre avis !

Réponses de la communauté
  1. Proposed design for uploading and sharing to Dropbox for Healthcare customers
  2. HIPAA question about form submission
  3. dropbox api and hipaa baa
Articles similaires
Articles similaires

Autres options pour obtenir de l'aide

Discussions
Assistance Twitter
Contacter l'assistance