Skip Navigation
 
   

Les modifications de la certification ouvertes aux commentaires des membres

15 janvier 2014

Les modifications 2014 du programme de certification NAID AAA sont maintenant accessibles aux commentaires en ligne. Pour étudier les modifications et faire des commentaires, veuillez cliquer ici. Un identifiant et un mot de passe seront nécessaires pour accéder à cette page. Si vous ne connaissez pas vos informations de connexion, vous pouvez les demander en envoyant un e-mail à admin@naidonline.org. Les commentaires sont possibles jusqu’au 1er fév. 2014. Ci-dessous, un résumé des nouvelles exigences du programme de certification pour 2014, telles qu’approuvées par le conseil d’administration de la NAID :

Évaluation des risques HIPAA : Avec les récents changements apportés à HITECH, il est important – maintenant plus que jamais – que les prestataires de services de destruction maintiennent et contrôlent leur conformité en tant qu’associés commerciaux (BA) vis-à-vis de l’HIPAA, en particulier en matière d’évaluation des risques. Ainsi, plusieurs nouvelles exigences ont été introduites dans un effort pour que la certification NAID soit synonyme de conformité à l’HIPAA, pour les BA et les entités couvertes (CE).

Les rapports d’audit disponibles sur demande : Des rapports d’audit seront désormais accessibles sur demande pour les sociétés certifiées. La société est susceptible de les conserver pour ses propres archives, ou de les distribuer pour confirmer la conformité avec les critères de certification de la NAID et l’HIPAA. La NAID ne fournira de rapports d’audit qu’aux membres certifiés auxquels ils s’appliquent.

Notification de fuite de données à la NAID (Accord 20 et Section 2.1c) : Si une société certifiée connaissait une violation de la sécurité des données nécessitant qu’elle en avertisse son/ses clients conformément aux lois d’état et/ou fédérales applicables, la société devrait également en notifier la NAID. Ceci permettra à la NAID d’assurer que toute question de non-conformité avec les critères de certification et/ou le Code de déontologie de l’organisation soient corrigées dans des délais opportuns.

Plan de réponse à une violation de la sécurité des données (Section 2.1d) : La société dispose d’un plan de réponse écrit pour gérer les incidents de rupture de la sécurité des données. Ce plan doit inclure une analyse de l’impact commercial post-incident et une procédure de documentation de tous les incidents et de leur issue, conformément à la règle de sécurité HIPAA 164.308(a)(6)(ii).

Les employés accrédités doivent être formés (Section 2.1g) : Les employés accrédités doivent être formés pour se conformer aux exigences de certification NAID AAA. La formation doit répondre aux exigences de la règle de sécurité HIPAA 164.308(a)(d)(i).

Audits d’acquisition et de relocalisation (Accords 25 et 26) : Depuis son lancement, la certification NAID exige des sociétés qui subissent un changement de propriétaire ou une relocalisation des opérations sur site qu’elles se soumettent à un audit dans les six mois qui suivent. Afin d’écarter toute confusion, cette politique est maintenant ajoutée à la demande de certification sous la forme d’un accord à signer au cours du processus.

Avertir la NAID des problèmes liés au système CCTV (Section 2.15) : Dans le cas d’un problème avec le système CCTV entraînant une perte de données, les sociétés certifiées doivent en avertir la NAID dans les 48 heures. Ceci permet à la NAID de fournir des conseils et de vérifier que la conformité du système est rétablie dans un délai raisonnable. Cela profite également à la société certifiée en garantissant que si un audit a lieu pendant l’arrêt de la CCTV, il ne portera pas préjudice à la société, à condition que la NAID soit avertie dans les délais impartis et que la société corrige le problème.

Veuillez garder à l’esprit que les sociétés qui sont déjà certifiées sont liées par les règles de la dernière demande qu’elles ont soumise à la NAID ; ainsi, la NAID n’exigera pas qu’elles respectent ce nouveau critère jusqu’à ce qu’une nouvelle demande soit soumise pour renouvellement. Toutefois, il est conseillé de commencer à appliquer ces modifications dès que possible, dans la mesure où elles sont ajoutées pour aligner les critères de certifications avec les récents changements apportés à l’HITECH/HIPAA qui touchent les prestataires de services.

Pour toute question ou aide dans la publication de commentaires au sujet de ces changements dans le programme, veuillez contacter la NAID au 602-788-6243 ou à certification@naidonline.org.