Skip Navigation
 
   

Les membres peuvent s’exprimer sur les changements apportés à la certification

15 Janvier 2014

Les changements apportés au Programme de certification NAID AAA en 2014 peuvent maintenant faire l’objet de commentaires en ligne. Pour examiner ces changements et exprimer des commentaires, veuillez cliquer ici. Un nom d’utilisateur et un mot de passe sont nécessaires pour accéder à cette page. Si vous ne connaissez pas vos informations de connexion, vous pouvez en faire la demande en envoyant un courriel à admin@naidonline.org. La période de consultation est ouverte jusqu’au 1er février 2014. Voici un résumé des nouvelles exigences du programme de certification de 2014, telles qu’approuvées par le conseil d’administration de NAID :

Évaluation des risques de la loi HIPAA : Avec les récents changements apportés à HITECH, il est important - maintenant plus que jamais - pour les fournisseurs de services de destruction de données de maintenir et de vérifier la conformité comme associés d’affaires en vertu de la loi HIPAA, en particulier en ce qui concerne l’évaluation des risques. Par conséquent, plusieurs nouvelles exigences ont été ajoutées dans le but de rendre la certification NAID synonyme de conformité à la loi sur la responsabilité HIPAA, à la fois pour les associés d’affaires et pour les entités visées.

Rapports d’audit disponibles sur demande : Des rapports d’audit détaillés sont désormais disponibles à leur demande pour les entreprises certifiées. La société peut les conserver dans leurs propres dossiers, ou ils peuvent les communiquer pour confirmer la conformité avec les critères de certification NAID et HIPAA. NAID fournit uniquement des rapports d’audit aux membres certifiés concernés.

Avis de violation de données de NAID (Entente 20 et Section 2.1c) : Si une entreprise certifiée est victime d’un incident de sécurité reliée à la violation des données qui les oblige à informer leur client selon les lois de l’État ou les lois fédérales en vigueur, l’entreprise doit également en informer NAID. Cela permettra à NAID de s’assurer que toutes les questions de non-conformité avec les critères de certification et/ou le code de déontologie de NAID sont corrigées en temps opportun.

Plan d’intervention face aux incidents reliés à la violation des données (Section 2.1d) : La société dispose d’un plan d’intervention écrit pour le traitement des incidents de sécurité reliés à la violation des données. Ce plan doit inclure une analyse de l’impact économique suite à l’incident et un processus pour documenter tous les incidents et leurs résultats, en conformité avec la règle de sécurité 164,308 (a)(6)(ii) de la HIPAA.    

Les employés de l’accès doivent être formés (Section 2.1g) : Les employés de l’accès doivent être formés pour se conformer aux exigences de la certification NAID AAA. La formation doit répondre aux exigences de la consigne de sécurité 164,308(a)(d)(i) de la HIPAA.

Audits de l’acquisition et du déplacement des activités (Ententes 25 et 26) : Depuis sa création, la certification NAID exige des entreprises qui ont subi un changement de propriété ou un déplacement des activités des opérations d’usine de se soumettre à un audit dans les six mois suivants le changement. Pour dissiper la confusion, cette politique est maintenant ajoutée à la demande de certification comme une entente à signer durant le processus de demande.

Avertissez NAID des problèmes avec le système CCTV (Section 2.15) : S’il ya un problème avec le système CCTV qui entraîne une perte de données, les entreprises certifiées doivent informer NAID dans les 48 heures. Cela permet à NAID d’offrir des conseils et de vérifier que le système est de nouveau conforme dans un délai raisonnable. L’entreprise certifiée en est également avantagée en s’assurant que si une vérification se produit pendant le temps d’arrêt de la vidéosurveillance, cela ne sera pas retenu contre la société, à condition que NAID ait été avisée dans les délais requis et que la société corrige le problème.

Veuillez ne pas oublier que les entreprises qui sont déjà certifiées sont liées par les règles de la dernière demande soumise à NAID. Par conséquent, NAID ne leur demandera pas d’adhérer à ces nouveaux critères jusqu’à ce qu’une nouvelle demande soit présentée pour un renouvellement. Cependant, c’est une bonne idée de commencer à mettre en application ces changements dès que possible, car ils ont été ajoutés pour harmoniser les critères de certification avec les récentes modifications apportées à HITECH/HIPAA qui ont des répercussions sur les fournisseurs de services.

Si vous avez des questions ou des commentaires au sujet des changements à ces programmes, veuillez communiquer avec un représentant de NAID au 602 788-6243 ou écrivez à certification@naidonline.org.