vendredi, avril 26, 2024

ThePressFree

Blog d'actualité

Technologies 

Nouvelles protections de la loi Stark et des lois anti-rebond pour la technologie de cybersécurité – Technologie

ThePressFree Aucun commentaire


États Unis: Nouvelle loi Stark et protections anti-rebond pour la technologie de cybersécurité

Pour imprimer cet article, il vous suffit de vous inscrire ou de vous connecter sur Mondaq.com.

Cette Commentaire fait partie d’une série de neufCommentaires sur les exceptions de la loi Stark et de la loi anti-rebond nouvellement finalisée et les mesures de protection visant à éliminer les obstacles réglementaires à la coordination des soins.

Bref

La situation: L’adoption de nouvelles technologies a été une caractéristique de l’industrie des soins de santé au XXIe siècle. Bien que ces technologies aient contribué à améliorer à la fois l’efficacité de l’industrie et les résultats pour les patients, l’utilisation croissante de la technologie rend également l’industrie de plus en plus vulnérable aux cyberattaques. Malheureusement, la technologie et les services de cybersécurité pour lutter contre la menace des cyberattaques peuvent être d’un coût prohibitif pour de nombreux prestataires de soins de santé et autres.

L’action: Dans des règles finales publiées simultanément contenant des exigences pratiquement identiques, le Bureau de l’inspecteur général du Département de la santé et des services sociaux (« OIG ») et les Centers for Medicare & Medicaid Services (« CMS ») ont codifié le nouveau statut anti-rebond (« AKS « ) Safe Harbor et l’exception Stark Law permettant aux parties prenantes de faire don de technologies et de services de cybersécurité aux entités avec lesquelles elles interagissent. Ce faisant, ils visent à lutter contre les menaces de cybersécurité qui pèsent sur les donateurs et les destinataires, à se protéger contre la divulgation par inadvertance d’informations sensibles sur les patients et à la corruption des dossiers de santé, et à préserver la qualité des soins.

Regarder vers l’avant: Maintenant que les règles définitives ont été publiées, les parties prenantes devraient envisager des moyens par lesquels le partage de la technologie et des services de cybersécurité avec d’autres entités pourrait contribuer à réduire le risque de cyberattaques. Lors de la structuration de dons de technologies ou de services de cybersécurité, les parties prenantes doivent examiner attentivement les règles finales afin de promouvoir le respect de toutes les exigences applicables.

La sphère de sécurité de la technologie de cybersécurité et des services connexes (§ 1001.952 (jj)) et exception (§ 411.357 (bb))

En octobre 2019, le BIG et la CMS ont publié deux propositions de règles contenant des mises à jour très attendues des réglementations de longue date AKS et Stark Law («Règles proposées»). Parmi de nombreuses autres réformes, les règles proposées ont introduit une sphère de sécurité AKS et une exception parallèle à la loi Stark qui protégerait certaines rémunérations non monétaires sous forme de don de technologies et de services de cybersécurité. Compte tenu de la fréquence croissante des attaques de cybersécurité impliquant le secteur des soins de santé, les règles proposées promouvaient des dispositions qui protégeraient les patients – et le système de santé dans son ensemble – contre de telles attaques.

En novembre 2020, le BIG et la CMS ont publié leurs règles finales respectives, codifiant les exceptions de la sphère de sécurité AKS et de la loi Stark pour le don de technologies et de services de cybersécurité («Règles finales»). Bien que les règles du BIG et de la CMS soient formulées légèrement différemment, elles contiennent les mêmes exigences de fond pour la protection de ces arrangements. Alors que la sphère de sécurité et l’exception ont été largement adoptées telles que proposées, les règles finales apportent quelques ajustements:

  1. Définition de « technologie de cybersécurité »: Comme indiqué ci-dessus, les règles finales protègent le don de «technologies et services de cybersécurité». Les règles proposées avaient défini cette technologie comme incluant tout logiciel ou autre type de technologie de l’information,
    autre que le matériel; cependant, les règles finales n’excluent pas le matériel des types de technologie qui peuvent être donnés. Les règles finales ont été modifiées en réponse aux commentaires du public, permettant au matériel donné de tomber dans la sphère de sécurité / exception tant qu’il est «nécessaire et utilisé principalement» pour une cybersécurité efficace et remplit toutes les conditions nécessaires.
  2. Proposition alternative concernant le matériel de cybersécurité: Étant donné que la définition de la « technologie » dans les règles proposées n’incluait pas le matériel, les agences avaient sollicité des commentaires sur une proposition alternative permettant le don de matériel si cela était « raisonnablement nécessaire sur la base d’une évaluation des risques du donateur et du bénéficiaire ». Étant donné que la définition révisée de la «technologie» dans les règles finales autorise désormais les dons de matériel, cette alternative n’est pas nécessaire.
  3. Donateurs protégés: Bien que les règles proposées ne limitent pas les types d’individus et d’entités admissibles à la protection au titre de la sphère de sécurité et de l’exception, les agences ont indiqué qu’elles envisageraient d’ajouter des restrictions si elles le jugeaient nécessaire. Les agences n’ont finalement incorporé aucune restriction supplémentaire dans les règles finales – la sphère de sécurité et l’exception protègent tous les donateurs, sans aucune limitation, tant que les autres conditions des règles finales sont remplies.
  4. Destinataires autorisés:De même, les règles proposées protégeaient les dons de technologies et de services de cybersécurité à toute personne ou entité sans limitation, même si le destinataire était un patient. Les agences ont indiqué qu’elles pourraient envisager des garanties supplémentaires si elles le jugeaient nécessaire. Les commentateurs ont suggéré des garanties allant d’une limite monétaire sur les dons à des restrictions contre les logiciels ou appareils «multifonctionnels», mais les agences ont finalement rejeté ces suggestions. Les règles finales ne limitent pas les types d’entités ou d’individus qui peuvent recevoir des dons de technologies et de services de cybersécurité.
  5. Contribution du bénéficiaire: Les agences ont reçu de nombreux commentaires sur les règles proposées concernant l’opportunité d’exiger des destinataires qu’ils contribuent au coût de la technologie ou des services de cybersécurité donnés. Alors que les règles proposées n’exigeaient pas de contributions des bénéficiaires, la règle d’exception et d’exception relative aux dossiers de santé électroniques («DSE») (42 CFR §§ 1001.952 (y) et 411.357 (w)) oblige le bénéficiaire à payer 15% du coût du donateur pour les articles et services de DSE fournis. En réponse aux commentaires reçus, les agences ont finalement déterminé que (i) étant donné la grande variété de technologies et de services de cybersécurité qui peuvent être fournis, il n’est souvent pas pratique d’exiger une contribution minimale des bénéficiaires; (ii) la sphère de sécurité / exception de cybersécurité comprend d’autres conditions qui empêchent les abus ou les comportements anticoncurrentiels potentiels; et (iii) les donateurs sont toujours libres d’exiger des bénéficiaires qu’ils contribuent au coût de la technologie ou des services fournis.

Implications

Ces règles finales tant attendues protégeant la technologie et les services de cybersécurité offrent aux parties prenantes la possibilité d’établir un réseau de cybersécurité robuste, quelle que soit la capacité d’une entité à investir de manière indépendante dans une telle technologie. Bien que les agences aient rédigé la sphère de sécurité finale et l’exception de manière générale pour donner de la flexibilité aux parties prenantes, les parties prenantes devraient examiner attentivement les règles finales lors de la structuration des dons de technologies ou de services de cybersécurité afin de promouvoir le respect de toutes les exigences applicables.

Trois points à retenir:

  1. Le BIG et le CMS ont finalisé la nouvelle sphère de sécurité AKS et la nouvelle exception à la loi Stark qui protègent certains dons de technologies de cybersécurité et de services associés.
  2. Par le biais de la nouvelle exception et de la règle refuge, le BIG et la CMS cherchent à permettre le développement d’un réseau de cybersécurité robuste qui protège les informations de santé personnellement identifiables et d’autres données de santé confidentielles, même parmi les petits prestataires disposant de peu de ressources. Pour faire avancer ces objectifs, le BIG et la CMS ont proposé des définitions générales qui permettent le don à la fois de logiciels et de matériel de cybersécurité, pour autant que certaines conditions soient remplies.
  3. Les parties prenantes doivent examiner attentivement les règles finales pour déterminer comment promouvoir le respect de toutes les exigences applicables lors de la structuration des dons.

Publié à l’origine en janvier 2021

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés sur votre situation particulière.

ARTICLES POPULAIRES SUR: Technologie des États-Unis

Guide juridique pour lancer un marché NFT

Foley et Lardner

Catherine Zhu et Louis Lehot de Foley & Lardner LLP discutent de la popularité croissante des jetons non fongibles et des considérations juridiques lors du lancement d’un marché NFT.

NFT: mais est-ce de l’art (ou une sécurité)?

Latham & Watkins LLP

Au fur et à mesure que le boom actuel de la crypto progressait, il semblait que la finance décentralisée (DeFi) avait consolidé sa position en tant que nouveau récit dominant de ce cycle.

Guide comparatif FinTech

J. Sagar Associates

Guide comparatif FinTech pour la juridiction de l’Inde, consultez notre section de guides comparatifs pour comparer entre plusieurs pays

Laisser un commentaire