Health Insurance Portability and Accountability (HIPAA) & HITECH ActsHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

Visão geral da HIPAA e da Lei HITECHHIPAA and the HITECH Act overview

O Health Insurance Portability and Accountability Act (HIPAA) é uma lei de saúde dos EUA que estabelece requisitos para o uso, a divulgação e a proteção de informações de saúde identificáveis individualmente.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Aplica-se a entidades cobertas, escritórios de médicos, pacientes, garantias de saúde e outras empresas de saúde, com acesso às informações de saúde protegidas (PHI) dos pacientes, bem como aos associados comerciais, como serviços de nuvem e provedores de TI, que processam PHI em seu nome.It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (A maioria das entidades cobertas não realiza funções como declarações ou processamento de dados por conta própria; elas dependem de parceiros comerciais para fazer isso.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

A lei regula o uso e a disseminação de PHI em quatro áreas gerais:The law regulates the use and dissemination of PHI in four general areas:

  • Privacidade, que abrange a confidencialidade do paciente.Privacy, which covers patient confidentiality.
  • Segurança, que lida com a proteção de informações, incluindo proteções físicas, administrativas e físicas.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Identificadores, que são os tipos de informações que não podem ser liberadas se coletados para fins de pesquisa.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Códigos de transmissão eletrônica de dados em transações relacionadas a assistência médica, incluindo qualificação e indenizações e pagamentos de seguros.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

O escopo da HIPAA foi estendido com a aprovação da Lei HITECH (Health Information Technology for Economic and Clinical Health). Juntas, as regras da LEI HIPAA e HITECH incluem:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • A Regra de Privacidade hipAA, que se concentra no direito das pessoas de controlar o uso de suas informações pessoais e aborda a confidencialidade do PHI, limitando seu uso e divulgação.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • A Regra de Segurança hipAA, que define os padrões de proteções administrativas, técnicas e físicas para proteger o PHI eletrônico contra acesso, uso e divulgação não autorizados.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Ele também inclui requisitos organizacionais como Contratos de Parceiro Comercial (BAAs).It also includes such organizational requirements as Business Associate Agreements (BAAs).

A Regra Final de Notificação de Violação HITECH, que exige a notificação aos indivíduos e ao governo quando ocorre uma violação de PHI não segurança.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft, HIPAA e a lei HITECHMicrosoft and HIPAA and the HITECH Act

Os regulamentos da HIPAA exigem que as entidades cobertas e seus parceiros comerciais, neste caso, a Microsoft, quando fornece serviços, incluindo serviços de nuvem, a entidades cobertas, entrem em contratos para garantir que esses parceiros de negócios protejam adequadamente o PHI.HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. Esses contratos, ou BAAs, esclarecem e limitam como o parceiro comercial pode lidar com o PHI e estabelecem a adesão de cada parte às disposições de segurança e privacidade definidas no HIPAA e na Lei HITECH. Depois que um BAA é in-loco, os clientes da Microsoft (entidades cobertas) podem usar seus serviços para processar e armazenar PHI.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

Atualmente, não há certificação oficial para conformidade com HIPAA ou HITECH Act.Currently there is no official certification for HIPAA or HITECH Act compliance. No entanto, esses serviços da Microsoft cobertos pela BAA passaram por auditorias conduzidas por auditores independentes credenciados para a certificação Microsoft ISO/IEC 27001.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Os serviços de nuvem empresarial da Microsoft também são cobertos por avaliações do FedRAMP.Microsoft enterprise cloud services are also covered by FedRAMP assessments. O Microsoft Azure e o Microsoft Azure Governamental receberam uma autoridade provisória para operar do Conselho de Autorização Conjunta fedRAMP; O Microsoft Dynamics 365 U.S. Government recebeu uma Autoridade de Agência para Operar do Departamento de Saúde e Desenvolvimento da República Popular dos EUA, assim como o Microsoft Office 365 U.S. Government, do Departamento de Saúde e Serviços Humanos dos EUA.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Para saber como o Microsoft Cloud ajuda os clientes a dar suporte à HIPAA e aos requisitos de HITECH, visite Histórias de clientes da Microsoft.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Serviços de nuvem no escopo da MicrosoftMicrosoft in-scope cloud services

Acelerar a implantação de soluções HIPAA/HITRUST no AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Comece a aproveitar os benefícios da nuvem para soluções de dados de saúde com o Blueprint de Conformidade e Segurança do Azure: DADOS de saúde e IA da HIPAA/HITRUST.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. Este blueprint fornece ferramentas e diretrizes para você começar a criar soluções HIPAA/HITRUST hoje mesmo.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Perguntas frequentesFrequently asked questions

Minha organização pode entrar em um BAA com a Microsoft?Can my organization enter into a BAA with Microsoft?

A Microsoft oferece a empresas qualificadas ou a seus fornecedores um BAA que abrange serviços da Microsoft no escopo.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Para os serviços de nuvem da Microsoft: o Contrato de Parceiro Comercial HIPAA está disponível por meio dos Termos de Serviços Online por padrão para todos os clientes que são entidades cobertas ou parceiros comerciais sob HIPAA.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Consulte "Serviços de nuvem no escopo da Microsoft" nesta página da Web para ver a lista de serviços de nuvem cobertos por esse BAA.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Para serviços de Serviços Profissionais da Microsoft: o Emenda do Parceiro Comercial HIPAA está disponível para os Serviços Profissionais da Microsoft no escopo mediante solicitação ao representante dos serviços Microsoft.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Ter um BAA com a Microsoft garante a conformidade da minha organização com a HIPAA e a Lei HITECH?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

Não.No. Ao oferecer um BAA, a Microsoft ajuda a dar suporte à conformidade com a HIPAA, mas o uso dos serviços Microsoft não o alcança sozinho.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. Sua organização é responsável por garantir que você tenha um programa de conformidade adequado e processos internos em andamento e que seu uso específico dos serviços Microsoft se alinhe com a HIPAA e a Lei HITECH.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

A Microsoft pode modificar o BAA da minha organização?Can Microsoft modify my organization's BAA?

A Microsoft não pode modificar o HIPAA BAA, pois os serviços da Microsoft são consistentes para todos os clientes e, portanto, devem seguir os mesmos procedimentos para todos.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. No entanto, para criar o BAA para os clientes regulamentados pela HIPAA da Microsoft e seus serviços, a Microsoft coabertou com algumas das principais escolas médicas dos EUA e seus consultores de privacidade HIPAA, bem como outras entidades de hipAA do setor público e privado.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Como posso obter cópias dos relatórios do auditor?How can I get copies of the auditor's reports?

O Portal de Confiança do Serviço fornece relatórios de conformidade auditados de forma independente.The Service Trust Portal provides independently audited compliance reports. Você pode usar o portal para solicitar relatórios de auditoria para que seus auditores possam comparar os resultados dos serviços de nuvem da Microsoft com seus próprios requisitos legais e regulatórios.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Como posso saber mais sobre a conformidade com a HIPAA e a lei HITECH?How can I learn more about complying with HIPAA and the HITECH Act?

Para ajudar os clientes com essa tarefa, a Microsoft publicou estes guias:To assist customers with this task, Microsoft has published these guides:

  • Diretrizes de implementação da Lei HIPAA/HITECH para o Azure e o Dynamics 365 e o Office 365.HIPAA/HITECH Act implementation guidance for Azure and for Dynamics 365 and Office 365. Escritos para agentes de privacidade, segurança e conformidade e outros responsáveis pela implementação da HIPAA e da Lei HITECH, eles descrevem as etapas concretas que sua organização pode tomar para manter a conformidade.Written for privacy, security, and compliance officers and others responsible for HIPAA and HITECH Act implementation, they describe concrete steps your organization can take to maintain compliance.
  • Guia prático para criar soluções de saúde seguras usando o Microsoft Azure ajuda você a entender melhor o que é necessário para adotar com êxito um serviço de nuvem de maneira segura.Practical guide to designing secure health solutions using Microsoft Azure helps you better understand what it takes to successfully adopt a cloud service in a secure manner.
  • Abordar os requisitos de segurança e privacidade hipAA no Microsoft Cloud oferece uma breve visão geral dos requisitos de regulamentação.Addressing HIPAA security and privacy requirements in the Microsoft Cloud offers a brief overview of regulation requirements. Ele também fornece uma análise detalhada de como os serviços de nuvem da Microsoft foram construídos com metodologias que mapeiam para esses requisitos e orientações sobre como criar soluções prontas para conformidade.It also provides a detailed analysis of how Microsoft's cloud services were built with methodologies that map to those requirements, and guidance on how to build compliance-ready solutions.

Use o Gerenciador de Conformidade da Microsoft para avaliar o riscoUse Microsoft Compliance Manager to assess your risk

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação.Compliance Manager offers a premium template for building an assessment for this regulation. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade.Find the template in the assessment templates page in Compliance Manager. Saiba como criar avaliações no Compliance Manager.Learn how to build assessments in Compliance Manager.

RecursosResources