Portabilità e responsabilità dell'assicurazione malattia (HIPAA) & atti HITECHHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

HIPAA e la Panoramica di HITECH ActHIPAA and the HITECH Act overview

L'Health Insurance portabilità and Accountability Act (HIPAA) è una legge sul settore sanitario statunitense che stabilisce i requisiti per l'utilizzo, la divulgazione e la salvaguardia delle informazioni sanitarie individualmente identificabili.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Si applica alle entità coperte, ovvero gli uffici medici, gli ospedali, gli assicuratori sanitari e altre aziende sanitarie, con accesso alle informazioni sanitarie protette dei pazienti (PHI), nonché ai soci aziendali, come il servizio cloud e i provider IT, che elaborano PHI per loro conto.It applies to covered entities — doctors' offices, hospitals, health insurers, and other healthcare companies — with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (La maggior parte delle entità coperte non svolge funzioni come le attestazioni o il trattamento dei dati per conto proprio; si basano su soci aziendali per farlo.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

La legge regola l'utilizzo e la divulgazione di PHI in quattro aree generali:The law regulates the use and dissemination of PHI in four general areas:

  • Privacy, che riguarda la riservatezza dei pazienti.Privacy, which covers patient confidentiality.
  • Sicurezza, che si occupa della protezione delle informazioni, incluse le misure di salvaguardia fisiche, tecnologiche e amministrative.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Identificatori, ovvero i tipi di informazioni che non possono essere rilasciati se raccolti a scopo di ricerca.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Codici per la trasmissione elettronica dei dati in transazioni correlate all'assistenza sanitaria, compresi i crediti e i pagamenti di idoneità e assicurazioni.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

L'ambito di HIPAA è stato esteso con la promulgazione della Health Information Technology for Economic and Clinical Health (HITECH) Act. insieme, le regole HIPAA e HITECH Act includono:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • La regola di privacy HIPAA, che si concentra sul diritto degli utenti a controllare l'utilizzo delle loro informazioni personali, e copre la riservatezza di PHI, limitando l'utilizzo e la divulgazione.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • La regola di sicurezza HIPAA, che definisce gli standard per le salvaguardie amministrative, tecniche e fisiche, per proteggere la PHI elettronica da accessi non autorizzati, utilizzo e divulgazione.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Sono inoltre inclusi i requisiti dell'organizzazione come contratti di associazione di business (BAAs).It also includes such organizational requirements as Business Associate Agreements (BAAs).

La regola finale di notifica di violazione di HITECH, che richiede l'avviso agli individui e al governo quando si verifica una violazione del PHI non protetto.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft e HIPAA e HITECH ActMicrosoft and HIPAA and the HITECH Act

Le normative HIPAA richiedono che le entità coordinate e i loro associati aziendali, in questo caso Microsoft quando fornisce servizi, compresi i servizi cloud, alle entità interessate, entrino in contratti per garantire che tali soci siano adeguatamente tutelati da PHI.HIPAA regulations require that covered entities and their business associates — in this case, Microsoft when it provides services, including cloud services, to covered entities — enter into contracts to ensure that those business associates will adequately protect PHI. Questi contratti, o BAAs, chiariscono e limitano in che modo l'associato può gestire PHI e impostare la conformità di ogni parte alle disposizioni relative alla sicurezza e alla privacy descritte in HIPAA e HITECH Act. Una volta che una BAA è sul posto, i clienti Microsoft, ovvero le entità garantite, possono utilizzare i propri servizi per elaborare e archiviare PHI.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers — covered entities — can use its services to process and store PHI.

Attualmente non sono disponibili certificazioni ufficiali per la conformità HIPAA o HITECH Act.Currently there is no official certification for HIPAA or HITECH Act compliance. Tuttavia, i servizi Microsoft descritti nell'ambito della BAA sono stati sottoposti a audit effettuati da revisori indipendenti accreditati per la certificazione Microsoft ISO/IEC 27001.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

I servizi cloud di Microsoft Enterprise sono coperti anche da valutazioni FedRAMP.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure e Microsoft Azure Government hanno ricevuto un'autorità provvisoria per funzionare dall'ufficio di autorizzazione comune di FedRAMP; Il governo degli Stati Uniti Microsoft Dynamics 365 ha ricevuto un'autorità di agenzia per operare dal dipartimento di sviluppo urbano degli Stati Uniti, come ha fatto il governo degli Stati Uniti Microsoft Office 365 dal dipartimento di salute e servizi umani degli Stati Uniti.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Per informazioni su come il cloud Microsoft aiuta i clienti a supportare HIPAA e i requisiti di HITECH, visitare le storie dei clienti Microsoft.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

  • Azure e Azure per enti pubbliciAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Microsoft Healthcare bot ServiceMicrosoft Microsoft Healthcare Bot Service
  • Microsoft StreamMicrosoft Stream
  • Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziendeMicrosoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Dynamics 365 e Dynamics 365 U.S. GovernmentDynamics 365 and Dynamics 365 U.S. Government
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365Power Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • IntuneIntune
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Servizio cloud di Power BI come servizio autonomo o come incluso in un piano o in una famiglia di prodotti di Office 365 o Dynamics 365.Power BI cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Azure DevOps ServicesAzure DevOps Services

Velocizzare la distribuzione delle soluzioni HIPAA/HITRUST in AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Ottenere un vantaggio per sfruttare i vantaggi del cloud per le soluzioni di dati di integrità con il modello di sicurezza e conformità di Azure, ovvero i dati di integrità HIPAA/HITRUST e AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint — HIPAA/HITRUST Health Data and AI. Questo modello fornisce strumenti e linee guida per iniziare a creare soluzioni HIPAA/HITRUST oggi.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Iniziare a usare la cianografia di Azure HIPAA/HITRUSTStart using the Azure HIPAA/HITRUST Blueprint

Domande frequentiFrequently asked questions

È possibile che l'organizzazione entri in una BAA con Microsoft?Can my organization enter into a BAA with Microsoft?

Microsoft offre alle aziende qualificate o ai propri fornitori una BAA che copre i servizi Microsoft in ambito.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Per i servizi cloud Microsoft: il contratto di associazione di business HIPAA è disponibile tramite le condizioni dei servizi online per impostazione predefinita per tutti i clienti che sono soggetti alle entità o ai soci aziendali in HIPAA.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Vedere ' Microsoft in-scope Cloud Services ' in questa pagina Web per l'elenco dei servizi cloud coperti da questa BAA.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Per i servizi di Microsoft Professional Services: la modifica dell'associazione di business HIPAA è disponibile per i servizi professionali di Microsoft in ambito su richiesta al rappresentante dei servizi Microsoft.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

L'utilizzo di una BAA con Microsoft garantisce la conformità dell'organizzazione con HIPAA e con l'HITECH Act?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

No.No. Offrendo una BAA, Microsoft aiuta a supportare la conformità HIPAA, ma l'utilizzo dei servizi Microsoft non lo raggiunge.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. L'organizzazione è responsabile del fatto che si disponga di un programma di conformità adeguato e di processi interni e che l'utilizzo specifico dei servizi Microsoft sia allineato con HIPAA e HITECH Act.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Microsoft può modificare la BAA dell'organizzazione?Can Microsoft modify my organization's BAA?

Microsoft non è in grado di modificare la BAA di HIPAA, perché i servizi Microsoft sono coerenti per tutti i clienti e pertanto devono seguire le stesse procedure per tutti gli utenti.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Tuttavia, per creare la BAA per i clienti e i servizi regolati da Microsoft HIPAA, Microsoft ha collaborato con alcune delle principali scuole di medicina degli Stati Uniti e con il proprio consulente per la privacy HIPAA, oltre ad altre entità pubbliche e private del settore HIPAA.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Come è possibile ottenere le copie dei report di un revisore?How can I get copies of the auditor's reports?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente.The Service Trust Portal provides independently audited compliance reports. È possibile utilizzare il portale per richiedere i rapporti di controllo in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft con i propri requisiti legali e normativi.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Come è possibile ottenere ulteriori informazioni sul rispetto di HIPAA e HITECH Act?How can I learn more about complying with HIPAA and the HITECH Act?

Per assistere i clienti con questa attività, Microsoft ha pubblicato queste guide:To assist customers with this task, Microsoft has published these guides:

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources