Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Panoramica di HIPAA e HITECH Act

L'Health Insurance Portability and Accountability Act del 1996 (HIPAA) e le normative emesse ai sensi dell'HIPAA sono un insieme di leggi sanitarie statunitensi che stabiliscono i requisiti per l'uso, la divulgazione e la protezione delle informazioni sanitarie identificabili singolarmente. L'ambito di HIPAA è stato esteso con l'applicazione del Health Information Technology for Economic and Clinical Health (HITECH) Act nel 2009.

HIPAA si applica alle entità coperte (in particolare, fornitori di servizi sanitari, piani sanitari e case di sgomento per l'assistenza sanitaria) che creano, ricevono, gestiscono, trasmettono o accedono alle informazioni sanitarie protette dei pazienti (PHI). HIPAA si applica inoltre agli associati aziendali di entità coperte che eseguono determinate funzioni o attività che coinvolgono PHI nell'ambito della fornitura di servizi all'entità coperta o per conto dell'entità coperta.

Quando un'entità coperta utilizza i servizi di un provider di servizi cloud, ad esempio Microsoft, il provider di servizi cloud è un partner commerciale di HIPAA. Inoltre, quando un collaboratore aziendale subappalta un provider di servizi cloud per creare, ricevere, gestire o trasmettere phI, il provider di servizi cloud diventa anche un partner commerciale.

Microsoft, HIPAA e HITECH Act

Le normative HIPAA richiedono che le entità coperte (definite in base alle Regole) stipulano accordi con i partner commerciali per garantire che phI sia adeguatamente protetto. Questo contratto è denominato Business Associate Agreement. Tra l'altro, un contratto di business associate stabilisce gli usi e le divulgazioni consentiti e obbligatori di phI da parte dell'associato, in base alla relazione tra le parti e le attività o i servizi eseguiti dal business associate. Per supportare la conformità dei clienti con HIPAA durante l'utilizzo di prodotti e servizi aziendali Microsoft, Microsoft stipula contratti di business associate con l'entità coperta e i clienti associati.

Attualmente non esiste uno standard di certificazione approvato dal Department of Health and Human Services per dimostrare la conformità con HIPAA o l'HITECH Act da parte di un partner commerciale. Tuttavia, Microsoft consente ai clienti di rispettare HIPAA e HITECH Act e di rispettare i requisiti delle regole di sicurezza di HIPAA in qualità di partner commerciali. Inoltre, Microsoft stipula contratti di business associate con l'entità coperta e i clienti associati alle aziende per supportare la conformità agli obblighi HIPAA.

Certificazioni di terze parti

servizi Microsoft nell'ambito del BAA sono state sottoposte a controlli condotti da revisori indipendenti accreditati per la certificazione Microsoft ISO/IEC 27001 e la certificazione CSF HITRUST.

I servizi cloud aziendali Microsoft sono inoltre coperti dalle valutazioni FedRAMP. Microsoft Azure e Microsoft Azure hanno ricevuto un'autorità provvisoria per operare dal Comitato di autorizzazione congiunto FedRAMP; Il governo statunitense di Microsoft Dynamics 365 ha ricevuto un'autorità dell'agenzia per operare dal Dipartimento degli alloggi e dello sviluppo urbano degli Stati Uniti, come Microsoft Office 365 U.S. Government dal Dipartimento della salute e dei servizi umani degli Stati Uniti.

Per informazioni su come Microsoft Cloud aiuta i clienti a supportare HIPAA e i requisiti HITECH, visitare Microsoft Customer Stories.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure e Azure per enti pubblici
  • Azure DevOps Services
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Microsoft Managed Desktop
  • Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziende
  • Office 365, Office 365 U.S. Government
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Power BI servizio cloud come servizio autonomo o come incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365

Azure, Dynamics 365 e HIPAA

Per altre informazioni sulla conformità di Azure, Dynamics 365 e altri servizi online, vedi l'offerta HIPAA di Azure.

Office 365 e HIPAA

Ambienti cloud di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione tratta i seguenti ambienti cloud di Office 365:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance add-on, Office 365 Customer Portal, Office 365 Microservices (inclusi Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Crittografia del servizio con chiave cliente, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Servizi di comunicazioni Azure, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Domande frequenti

L'organizzazione può entrare in un baa con Microsoft?

Sì. Microsoft offre ai propri clienti associati alle aziende e alle entità coperte un contratto di business associate che copre l'ambito servizi Microsoft.

Il contratto Microsoft HIPAA Business Associate Agreement è disponibile tramite il Microsoft Online Services Data Protection Addendum per impostazione predefinita per tutti i clienti che sono entità coperte o collaboratori aziendali di HIPAA. Vedere "Servizi cloud microsoft nell'ambito" in questa pagina Web per l'elenco dei servizi cloud coperti da questo baa.

Il contratto HIPAA Business Associate Agreement è disponibile anche per Microsoft Professional Services nell'ambito. Contattare il servizi Microsoft per ulteriori informazioni.

Il contratto di business associate con Microsoft garantisce la conformità dell'organizzazione con HIPAA e HITECH Act?

No. Offrendo un contratto di business associate, Microsoft aiuta a supportare la conformità HIPAA. Tuttavia, l'servizi Microsoft non consente di raggiungere la conformità HIPAA. L'organizzazione è responsabile della verifica di disporre di un programma di conformità e di processi interni adeguati e che l'uso specifico di servizi Microsoft sia in linea con gli obblighi dell'HIPAA e dell'HITECH Act.

Microsoft può utilizzare il contratto di business associate dell'organizzazione?

No, Microsoft non può utilizzare il contratto business associate di un cliente. Poiché offriamo servizi multi-tenant iperscalari standardizzati per tutti i clienti, dobbiamo operare in modo coerente. Il contratto Microsoft HIPAA Business Associate Agreement riflette attentamente il modo in cui operiamo. Di conseguenza, per soddisfare le esigenze del settore sanitario, Microsoft ha collaborato con un consorzio di centri medici accademici e altre entità del settore pubblico e privato nel settore sanitario per creare un contratto di business associate che si allinea alle offerte di servizi su larga scala e soddisfa le esigenze dei clienti.

Come si ottengono copie dei report di controllo di terze parti?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente. È possibile utilizzare il portale per richiedere report di controllo in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft con i propri requisiti legali e normativi. I clienti di Azure possono anche recuperare i certificati di Azure e i report di controllo nel portale di Azure tramite il pannello dei report di controllo nel Centro sicurezza di Azure.

Come posso ottenere ulteriori informazioni su come Microsoft supporta la conformità con HIPAA e HITECH Act?

Per assistere i clienti in questa attività, Microsoft ha pubblicato queste guide:

  • La guida all'implementazione di HIPAA/HITECH Act per Azure per i responsabili della privacy, della sicurezza e della conformità e altri responsabili dell'implementazione HIPAA e HITECH Act, descrive i passi concreti che l'organizzazione può intraprendere per mantenere la conformità.
  • Guida pratica alla progettazione di soluzioni sanitarie sicure Microsoft Azure consente di comprendere meglio cosa serve per adottare correttamente un servizio cloud in modo sicuro.

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse