Plus d’applications que jamais traitent des données de santé.
Même si vous n’êtes pas un prestataire de soins de santé, votre application peut collecter des informations qui relèvent de la réglementation HIPAA.
Les notifications push classiques ne sont pas sécurisées pour ces données sensibles. Elles transitent en texte clair par plusieurs serveurs, ce qui crée des risques de sécurité et de conformité.
Pushwoosh développe des technologies de notification push depuis 2014. Nous avons récemment obtenu la conformité HIPAA et nous savons ce qu’il faut pour mettre en œuvre un chiffrement adéquat pour les messages sensibles.
Dans ce guide, nous détaillons le chiffrement des notifications push et vous montrons comment le mettre en œuvre correctement pour garantir à la fois la conformité et l’engagement des utilisateurs.
Pourquoi la conformité HIPAA est-elle importante pour les notifications push ?
La loi américaine sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) exige que les organisations protègent les informations des patients.
Cela inclut toutes les données envoyées par le biais des notifications push, car elles contiennent souvent des détails sensibles comme des rappels de rendez-vous, des résultats de tests et des mises à jour de traitement.
Plus précisément, vous avez besoin de :
- Chiffrement pour toutes les données de santé en transit
- Contrôles d’accès qui limitent qui peut envoyer des notifications
- Pistes d’audit documentant quand les notifications sont envoyées et à qui
- Gestion appropriée de toute violation de données
Les notifications push non conformes créent des risques sérieux, notamment des violations de données dues à l’interception de messages, des infractions à la loi HIPAA avec des amendes, une réputation endommagée et des poursuites judiciaires potentielles.
Pour atténuer ces risques, la première ligne de défense est un chiffrement robuste des notifications push.
Explication du chiffrement des notifications push
Le chiffrement des notifications push est une méthode de sécurité qui convertit le contenu d’un message en un code protégé que seul le destinataire prévu peut décoder.
Il protège les informations sensibles, telles que les données de santé, contre tout accès non autorisé. Contrairement aux messages non chiffrés, qui peuvent être interceptés et lus en texte clair.
Il existe deux types principaux de chiffrement pour les notifications push :
-
Le chiffrement en transit utilise les protocoles TLS/SSL pour protéger les données lors de leur déplacement entre les systèmes. Cela fournit une sécurité de base mais laisse le contenu lisible sur chaque serveur par lequel il passe.
-
Le chiffrement de bout en bout protège les données de l’expéditeur au destinataire. Le message reste chiffré à chaque point intermédiaire, y compris sur les serveurs d’Apple et de Google.
Cependant, la conformité HIPAA va au-delà du simple chiffrement des messages.
Vous devez également protéger les clés de chiffrement, restreindre les personnes autorisées à envoyer des notifications de santé et conserver des enregistrements de toutes les activités de messagerie.
Pushwoosh garantit toutes ces exigences de sécurité grâce à notre infrastructure conforme à la loi HIPAA.
Principaux cas d’utilisation des notifications chiffrées
Passons en revue les principaux exemples où les notifications push chiffrées sont essentielles.
Rappels de rendez-vous
Toutes les notifications push pour les rendez-vous médicaux doivent être chiffrées, même lorsqu’elles contiennent des informations minimales, comme l’exige la loi HIPAA.
En effet, elles établissent un lien documenté entre un patient et des services de santé, et incluent généralement des liens profonds vers des écrans contenant des informations de santé protégées (PHI) détaillées, telles que les coordonnées du prestataire et les antécédents médicaux.
Notifications de résultats de laboratoire
Les notifications concernant les résultats de tests nécessitent également un chiffrement pour protéger l’identité du patient et le fait que des tests médicaux ont eu lieu (deux éléments classés comme PHI en vertu de la loi HIPAA).
Les liens profonds dans ces notifications renvoient à des écrans contenant des informations de santé détaillées.
Rappels de médicaments
Les alertes de médicaments nécessitent un chiffrement car elles documentent des informations sensibles sur les patients, telles que l’état du traitement et le calendrier de prise des médicaments.
La notification elle-même confirme que le patient suit un traitement actif, ce qui constitue une information de santé protégée.
Alertes de session de télésanté
Les rappels de rendez-vous virtuels nécessitent un chiffrement pour protéger l’identité du patient et l’utilisation des services de santé (deux éléments PHI).
Ces notifications confirment une relation de traitement en cours qui relève de la protection de la loi HIPAA.
Mises à jour du prestataire
Les notifications de communication protègent la relation patient-prestataire et garantissent la continuité des informations sur les soins. Elles confirment également que des soins médicaux actifs sont fournis.
Notifications d’applications de bien-être (lorsqu’elles sont connectées aux soins de santé)
Pour les applications de bien-être qui s’associent à des prestataires de soins de santé ou à des assureurs, les notifications push concernant les mesures de santé ou les informations personnalisées doivent être chiffrées conformément à la loi HIPAA.
☝️ Les applications grand public indépendantes ne sont pas légalement tenues de chiffrer, mais il est conseillé de le faire pour la confidentialité et la confiance des utilisateurs.
Bilans de santé mentale
Les rappels de suivi de l’humeur, les incitations à des exercices de thérapie et les informations sur la santé mentale contiennent des informations sensibles qui méritent le même niveau de protection que les données de santé physique.
Mises à jour sur la santé au travail
Les applications d’entreprise qui envoient des alertes sur les dépistages de santé, les avantages sociaux ou les incidents de santé au travail doivent sécuriser toute information de santé personnellement identifiable.
Mises à jour sur les accomplissements sportifs (dans le cadre de programmes de santé)
Lorsque les applications de fitness s’associent à des prestataires de soins de santé ou à des assureurs, même les notifications de motivation sur les pas, les entraînements ou les objectifs de santé peuvent nécessiter une livraison conforme à la loi HIPAA.
Exigences clés de la loi HIPAA pour les notifications push
Les notifications push chiffrées ne sont qu’une pièce du puzzle de la conformité HIPAA.
Pour protéger correctement les données des patients dans vos communications mobiles, vous devez aborder ces cinq domaines :
| Catégorie d’exigence | Ce que cela signifie pour les notifications push |
|---|---|
| Triade DIC : Disponibilité, intégrité, confidentialité | Gardez vos notifications push : Privées : seuls les destinataires prévus peuvent les voir. Intactes : le contenu reste inchangé pendant la livraison. Disponibles : les messages sont livrés de manière fiable. |
| Garanties techniques | Chiffrez les messages de bout en bout. Contrôlez qui peut envoyer et recevoir des notifications sensibles. Conservez des enregistrements de toutes les activités de notification. |
| Garanties administratives | Ayez des règles écrites pour la gestion des données des patients. Formez votre équipe à ces règles. Vérifiez régulièrement les faiblesses de sécurité. |
| Garanties physiques | Protégez les serveurs et les ordinateurs physiques. Sécurisez les emplacements où les données de notification sont stockées. Protégez les appareils utilisés pour envoyer des notifications. |
| Accords de partenariat commercial (BAA) — exigence essentielle | Exigez que les services de notification signent un accord de partenariat commercial. Tenez les fournisseurs légalement responsables de la protection des données des patients. Protégez-vous de toute responsabilité si les fournisseurs gèrent mal les informations. |
Pushwoosh : un partenaire conforme à la loi HIPAA qui va au-delà des attentes
La plupart des plateformes de messagerie n’ont pas été conçues avec le chiffrement des données comme priorité.
Pushwoosh adopte une approche différente, en offrant :
-
Sécurité certifiée HIPAA : notre plateforme a récemment réussi une évaluation complète par Riskpro India, validant notre protection des données des patients.
-
Chiffrement de bout en bout : les informations sensibles restent protégées de la création à la livraison grâce à un chiffrement RSA inviolable.
-
Couverture omnicanale : messagerie sécurisée sur les canaux push, in-app, e-mail, SMS, WhatsApp et Line.
-
Mise en œuvre facile : des API conviviales pour les développeurs et une intégration transparente avec les systèmes de santé existants.
Contrairement aux notifications classiques, la messagerie sécurisée de Pushwoosh utilise un système de clé publique-privée où la clé privée ne quitte jamais l’appareil de l’utilisateur.
Cela garantit que seul le destinataire prévu peut déchiffrer et lire les informations sensibles. Même Apple et Google ne peuvent pas accéder au contenu.
Tout cela vous aide à atteindre une plus grande efficacité opérationnelle, une meilleure adhésion des patients, un coût total inférieur et une livraison de messages garantie même à des volumes élevés.
Pour plus d’informations, veuillez contacter l’équipe Pushwoosh.
FAQ
Les notifications push sont-elles conformes à la loi HIPAA par défaut ?
Non. Les notifications push standard sont envoyées en texte clair et peuvent être lues par toute personne ayant accès au chemin de transmission, y compris les serveurs d’Apple et de Google. Pour la conformité HIPAA, vous avez besoin de notifications push chiffrées qui protègent les informations de santé sensibles tout au long du processus de livraison. En savoir plus sur la protection des données.
Pushwoosh offre-t-il le chiffrement au repos ?
Oui. Pushwoosh offre à la fois le chiffrement en transit et au repos. Notre fonctionnalité de balises chiffrées vous permet spécifiquement de stocker des attributs utilisateur sensibles dans un format chiffré au sein de la plateforme Pushwoosh. Cela empêche tout accès non autorisé à des informations potentiellement sensibles utilisées à des fins de ciblage ou d’analyse.
Puis-je envoyer des PHI dans les messages push ?
Oui, mais uniquement avec un chiffrement approprié. La messagerie push sécurisée de Pushwoosh utilise un chiffrement de bout en bout avec un système de clé publique-privée.
Quel type de données Pushwoosh collecte-t-il ?
Pushwoosh collecte trois types de données :
- Données de l’appareil : informations telles que le modèle de l’appareil, la version du système d’exploitation et la localisation approximative.
- Données utilisateur : informations que vous choisissez de partager avec Pushwoosh (données démographiques, préférences).
- Données d’événement : actions que les utilisateurs effectuent dans votre application et que vous choisissez de suivre.
Comment Pushwoosh protège-t-il les données des utilisateurs ?
Pushwoosh protège les données des utilisateurs grâce à de multiples mesures de sécurité :
- Chiffrement de bout en bout utilisant le chiffrement RSA pour une messagerie sécurisée.
- Centres de données certifiés ISO 27001 situés en Allemagne.
- Conformité au RGPD pour la protection de la confidentialité des données.
- Adhésion aux principes de sécurité de l’OWASP.
- Conformité HIPAA vérifiée par une évaluation indépendante.
- Contrôles d’accès limitant qui peut voir et gérer les données sensibles.
- Journaux d’activité détaillés pour la surveillance de la sécurité et la vérification de la conformité.
