Hébergement conforme HIPAA pour les organisations basées en Europe

Afin d’héberger et/ou de migrer des données médicales transférées de l’Union européenne (UE), les fournisseurs d’hébergement américains doivent suivre et participer au processus de certification de la sphère de sécurité entre les États-Unis et l’UE.

La directive 95/46/CE de l’UE est le mandat de l’Union européenne (en collaboration avec la Convention européenne {CE}) pour la protection des personnes en ce qui concerne le traitement automatique des données à caractère personnel. L’information sur la santé relève du champ d’application de la présente directive européenne. Le cadre de la sphère de sécurité entre les États-Unis et l’UE est un processus permettant aux organisations américaines de se conformer à cette norme européenne pour la protection de la vie privée des données à caractère personnel provenant de pays participant à l’UE.

Lorsqu’il s’agit de la protection des données de cette nature, les environnements d’hébergement non-production (développement) ne sont pas liés à ces règlements (si les renseignements sur la santé protégés (PHI) et/ou les dossiers médicaux électroniques (DME) ne résident pas sur ces systèmes). Considérant que les systèmes de « transition » et de « production » seraient nécessaires pour suivre ces contraintes de protection des données.

Il existe des différences entre la conformité HIPAA des États-Unis et les exigences de la sphère de sécurité entre les États-Unis et l’UE. La Loi sur la portabilité et la responsabilité en matière d’information sur la santé (HIPAA) est davantage une ligne directrice, tandis que la confidentialité des données de l’UE est plus stricte lorsqu’il s’agit de mesures de protection de l’information et de sécurité des données.

Les lignes directrices de l’HIPAA suivent le Code de réglementation fédérale (CFR) par lequel ils doivent se conformer à la conformité; Le Cadre états-uniens utilise les principes de confidentialité de la sphère de sécurité comme règles fondamentales.

En bref, HIPAA et US-EU Safe Harbor servent tous deux le même but: la protection des données privées (pour inclure les dossiers médicaux et les informations sur les patients).

- HIPAA est réglementé par le gouvernement fédéral américain
- US-EU est réglementé par le gouvernement fédéral américain et l'Union européenne
- Les données hébergées aux États-Unis sont liées à la HIPAA, pas aux États-Unis et à l'UE
- Les données hébergées dans l'UE ne sont pas liées à la HIPAA, ni aux États-Unis-UE
- Les données hébergées aux États-Unis [contenant des données privées transférées de l'UE aux États-Unis] sont liées à HIPAA et US-EU

X