Health Insurance Portability and Accountability (HIPAA) & HITECH ActsHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

Panoramica di HIPAA e HITECH ActHIPAA and the HITECH Act overview

Health Insurance Portability and Accountability Act (HIPAA) è una legge sanitaria statunitense che stabilisce i requisiti per l'uso, la divulgazione e la protezione di informazioni sanitarie identificabili singolarmente.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Si applica alle entità coperte, agli uffici dei medici, agli ospedali, agli assicuratori sanitari e ad altre aziende sanitarie, con accesso alle informazioni sanitarie protette (PHI) dei pazienti, nonché ai collaboratori aziendali, come i servizi cloud e i provider IT, che elaborano phI per loro conto.It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. La maggior parte delle entità coperte non svolgono funzioni quali attestazioni o trattamento dei dati da soli, ma si affidano a collaboratori aziendali.(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

La legge regola l'uso e la diffusione di PHI in quattro aree generali:The law regulates the use and dissemination of PHI in four general areas:

  • Privacy, che copre la riservatezza dei pazienti.Privacy, which covers patient confidentiality.
  • Sicurezza, che si occupa della protezione delle informazioni, incluse le misure di sicurezza fisiche, tecnologiche e amministrative.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Identificatori, ovvero i tipi di informazioni che non possono essere rilasciate se raccolti per scopi di ricerca.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Codici per la trasmissione elettronica dei dati nelle transazioni sanitarie, tra cui l'idoneità e i crediti e i pagamenti assicurativi.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

L'ambito di HIPAA è stato esteso con l'applicazione del Health Information Technology for Economic and Clinical Health (HITECH) Act. Insieme, le regole HIPAA e HITECH Act includono:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • La regola sulla privacy HIPAA, che si concentra sul diritto degli utenti di controllare l'uso delle proprie informazioni personali e copre la riservatezza di PHI, limitando l'uso e la divulgazione.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • La regola di sicurezza HIPAA, che definisce gli standard per le misure di sicurezza amministrative, tecniche e fisiche per proteggere phI elettronici da accessi, utilizzi e divulgazioni non autorizzati.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Include anche requisiti organizzativi come i contratti di società associati (BAA).It also includes such organizational requirements as Business Associate Agreements (BAAs).

La regola finale di notifica di violazione HITECH, che richiede di notificare agli utenti e al governo quando si verifica una violazione di PHI non protetto.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft e HIPAA e HITECH ActMicrosoft and HIPAA and the HITECH Act

Le normative HIPAA richiedono che le entità coperte e i loro collaboratori aziendali, in questo caso, Microsoft quando fornisce servizi, inclusi i servizi cloud, alle entità coperte, stipulano contratti per garantire che tali collaboratori commerciali proteggano adeguatamente PHI.HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. Questi contratti, o BAA, chiariscono e limitano il modo in cui l'azienda può gestire PHI e impostano l'aderenza di ogni parte alle disposizioni di sicurezza e privacy previste dall'HIPAA e dall'HITECH Act. Una volta che un baa è sul posto, i clienti Microsoft (entità coperte) possono usare i suoi servizi per elaborare e archiviare PHI.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

Attualmente non esiste alcuna certificazione ufficiale per la conformità HIPAA o HITECH Act.Currently there is no official certification for HIPAA or HITECH Act compliance. Tuttavia, i servizi Microsoft coperti dal BAA sono stati sottoposti a controlli effettuati da revisori indipendenti accreditati per la certificazione Microsoft ISO/IEC 27001.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

I servizi cloud aziendali Microsoft sono coperti anche dalle valutazioni FedRAMP.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure e Microsoft Azure per enti pubblici hanno ricevuto un'autorità provvisoria per operare dal Comitato di autorizzazione congiunto FedRAMP; Microsoft Dynamics 365 U.S. Government ha ricevuto un'autorità dell'agenzia per operare dal Dipartimento degli alloggi e dello sviluppo metropolitano degli Stati Uniti, come Microsoft Office 365 U.S. Government dal Dipartimento della Salute e dei Servizi umani degli Stati Uniti.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Per informazioni su come Microsoft Cloud aiuta i clienti a supportare HIPAA e i requisiti HITECH, visitare Microsoft Customer Stories.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Accelerare la distribuzione di soluzioni HIPAA/HITRUST in AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Iniziare a sfruttare i vantaggi del cloud per le soluzioni per i dati sanitari con il modello blueprint di sicurezza e conformità di Azure: HIPAA/HITRUST Health Data and AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. Questo modello fornisce strumenti e indicazioni per iniziare a creare soluzioni HIPAA/HITRUST oggi.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Domande frequentiFrequently asked questions

L'organizzazione può entrare in un baa con Microsoft?Can my organization enter into a BAA with Microsoft?

Microsoft offre alle aziende qualificate o ai loro fornitori un baa che copre i servizi Microsoft nell'ambito.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Per i servizi cloud Microsoft: per impostazione predefinita, il contratto HIPAA Business Associate Agreement è disponibile tramite le Condizioni dei servizi online per tutti i clienti che sono entità coperte o società associate ai sensi di HIPAA.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Vedere "Servizi cloud microsoft nell'ambito" in questa pagina Web per l'elenco dei servizi cloud coperti da questo baa.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Per i servizi di Microsoft Professional Services: la modifica HIPAA Business Associate è disponibile per Microsoft Professional Services nell'ambito su richiesta del rappresentante dei servizi Microsoft.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Avere un baa con Microsoft garantisce la conformità dell'organizzazione con HIPAA e HITECH Act?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

No.No. Offrendo un baa, Microsoft aiuta a supportare la conformità HIPAA, ma l'uso dei servizi Microsoft non lo raggiunge da solo.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. L'organizzazione ha la responsabilità di garantire che siano presenti un programma di conformità e processi interni adeguati e che l'uso specifico dei servizi Microsoft sia in linea con HIPAA e HITECH Act.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Microsoft può modificare l'account baa dell'organizzazione?Can Microsoft modify my organization's BAA?

Microsoft non può modificare l'account BAA HIPAA, perché i servizi Microsoft sono coerenti per tutti i clienti e pertanto devono seguire le stesse procedure per tutti.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Tuttavia, per creare la baa per i clienti regolamentati HIPAA di Microsoft e i suoi servizi, Microsoft ha collaborato con alcune delle principali scuole mediche degli Stati Uniti e con il suo consulente per la privacy HIPAA, nonché con altre entità coperte da HIPAA del settore pubblico e privato.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Come posso ottenere copie dei report del revisore?How can I get copies of the auditor's reports?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente.The Service Trust Portal provides independently audited compliance reports. È possibile utilizzare il portale per richiedere report di controllo in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft con i propri requisiti legali e normativi.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Come posso trovare altre informazioni sulla conformità con HIPAA e HITECH Act?How can I learn more about complying with HIPAA and the HITECH Act?

Per assistere i clienti in questa attività, Microsoft ha pubblicato queste guide:To assist customers with this task, Microsoft has published these guides:

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources