Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) & Tecnologia de Informações de Saúde para a HiTECH (Economic and Clinical Health Health) Act

HIPAA e a visão geral da Lei HITECH

A Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA) e os regulamentos emitidos em HIPAA são um conjunto de leis de saúde dos EUA que estabelecem requisitos para o uso, divulgação e proteção de informações de saúde de identificação individual. O escopo do HIPAA foi estendido com a aprovação da Lei hitech (tecnologia de informações de saúde) em 2009.

A HIPAA se aplica a entidades cobertas (especificamente, provedores de saúde, planos de saúde e casas de limpeza de saúde) que criam, recebem, mantêm, transmitem ou acessam as informações de saúde protegidas dos pacientes (PHI). A HIPAA aplica-se ainda aos associados comerciais de entidades cobertas que executam determinadas funções ou atividades envolvendo a PHI como parte do fornecimento de serviços à entidade coberta ou em nome da entidade coberta.

Quando uma entidade coberta envolve os serviços de um provedor de serviços de nuvem, como a Microsoft, o provedor de serviços de nuvem seria um associado comercial em HIPAA. Além disso, quando uma empresa associa subcontratados a um provedor de serviços de nuvem para criar, receber, manter ou transmitir a PHI, o provedor de serviços de nuvem também se torna um associado comercial.

Microsoft, HIPAA e a Lei HITECH

Os regulamentos HIPAA exigem que as entidades cobertas (definidas nas Regras) entrem em acordos com os associados de negócios para garantir que a PHI seja adequadamente protegida. Este contrato é chamado de Contrato de Associado Comercial. Entre outras coisas, um Contrato de Associação comercial estabelece os usos e divulgações permitidos e necessários da PHI pelo associado comercial, com base na relação entre as partes e as atividades ou serviços que estão sendo executados pelo associado comercial. Para dar suporte à conformidade de nossos clientes com a HIPAA ao utilizar produtos e serviços corporativos da Microsoft, a Microsoft entrará em Contratos de Associados corporativos com sua entidade coberta e clientes associados de negócios.

Atualmente, não há um padrão de certificação aprovado pelo Departamento de Saúde e Serviços Humanos para demonstrar a conformidade com a HIPAA ou a Lei HITECH por um associado comercial. No entanto, a Microsoft habilita os clientes em conformidade com a HIPAA e a Lei HITECH e adere aos requisitos de Regra de Segurança do HIPAA em sua capacidade como associado comercial. Além disso, a Microsoft entra em Contratos de Associados De Negócios com sua entidade coberta e clientes associados de negócios para dar suporte à conformidade com as obrigações HIPAA.

Certificações de terceiros

serviços Microsoft cobertas pela BAA passaram por auditorias conduzidas por auditores independentes credenciados para a certificação Microsoft ISO/IEC 27001 e a certificação CSF HITRUST.

Os serviços de nuvem empresarial da Microsoft também são abordados por avaliações fedRAMP. Microsoft Azure e Microsoft Azure o Governo recebeu uma Autoridade Provisória para Operar do Conselho de Autorização Conjunto fedRAMP; O Microsoft Dynamics 365 U.S. Government recebeu uma Autoridade de Agência para Operar do Departamento de Habitação e Desenvolvimento Urbano dos EUA, assim como Microsoft Office 365 governo dos EUA do Departamento de Saúde e Serviços Humanos dos EUA.

Para saber como o Microsoft Cloud ajuda os clientes a dar suporte a HIPAA e aos requisitos hitech, visite Microsoft Customer Stories.

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Azure DevOps Services
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Área de Trabalho Gerenciada da Microsoft
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Office 365, Office 365 governo dos EUA
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Power BI de nuvem como um serviço autônomo ou como incluído em um plano ou pacote de marca Office 365 ou Dynamics 365

Azure, Dynamics 365 e HIPAA

Para obter mais informações sobre a conformidade do Azure, do Dynamics 365 e de outros serviços online, consulte a oferta do Azure HIPAA.

Office 365 e HIPAA

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Azure Active Directory, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Caixa de Bloqueio do Cliente, Delve, Exchange Online, Formulários, Grifo, Gerenciador de Identidade, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento do Conformidade Avançada do Office 365, Portal do Cliente do Office 365, Microserviços do Office 365 (incluindo, mas não limitado a Kaizala, Repositório de Objetos, Sway, Power Automate, Serviço de Documento do PowerPoint Online, Query Serviço de Anotação, School Data Sync, Siphon, Speech, StaffHub, Programa de Aplicativos EXtensible Office 365), Centro de Conformidade & segurança, Office Online, Office Pro Plus, infraestrutura de serviços Office, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Criptografia de Serviço com Chave de Cliente, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Exchange Online, Flow, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Perguntas frequentes

Minha organização pode entrar em um BAA com a Microsoft?

Sim. A Microsoft oferece a sua entidade coberta e os clientes associados aos negócios um Contrato de Associação comercial que abrange o serviços Microsoft.

O Contrato de Associação comercial do Microsoft HIPAA está disponível por meio do Adendo de Proteção de Dados Microsoft Online Services por padrão para todos os clientes que são entidades cobertas ou associados de negócios em HIPAA. Consulte 'Serviços de nuvem no escopo da Microsoft' nesta página da Web para ver a lista de serviços de nuvem abordados por esse BAA.

O Contrato de Associado Comercial HIPAA também está disponível para serviços Professional Microsoft no escopo. Entre em contato serviços Microsoft representante do serviços Microsoft para obter mais informações.

Ter um Contrato de Associação comercial com a Microsoft garante a conformidade da minha organização com a HIPAA e a Lei HITECH?

Não. Ao oferecer um Contrato de Associado Comercial, a Microsoft ajuda a oferecer suporte à conformidade hipaaa. No entanto, o serviços Microsoft por conta própria não atinge a conformidade HIPAA. Sua organização é responsável por garantir que você tenha um programa de conformidade e processos internos adequados e que seu uso específico de serviços Microsoft se alinha às suas obrigações em HIPAA e na Lei HITECH.

A Microsoft pode usar o Contrato de Associado Comercial da minha organização?

Não, a Microsoft não pode usar o Contrato de Associação Comercial de um cliente. Como oferecemos serviços de hiperescala e multi-locatários que são padronizados para todos os nossos clientes, devemos operar de maneira consistente. O Contrato de Associados do Microsoft HIPAA Business reflete de perto como operamos. Assim, para atender às necessidades do setor de saúde, a Microsoft colaborou com um grupo de centros médicos acadêmicos e outras entidades do setor público e privado na área de saúde para criar um Contrato de Associação comercial que se alinhe com nossas ofertas de serviço de escala e atenda às necessidades dos clientes.

Como posso obter cópias de relatórios de auditoria de terceiros?

O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Você pode usar o portal para solicitar relatórios de auditoria para que seus auditores possam comparar os resultados dos serviços de nuvem da Microsoft com seus próprios requisitos legais e regulatórios. Os clientes do Azure também podem recuperar certificados e relatórios de auditoria do Azure no portal do Azure por meio da folha de relatórios de auditoria no Centro de Segurança do Azure.

Como saber mais sobre como a Microsoft dá suporte à conformidade com a HIPAA e a Lei HITECH?

Para ajudar os clientes com essa tarefa, a Microsoft publicou estes guias:

  • As diretrizes de implementação da Lei HIPAA/HITECH para o Azure para agentes de privacidade, segurança e conformidade e outros responsáveis pela implementação da HIPAA e da Lei HITECH descrevem etapas concretas que sua organização pode tomar para manter a conformidade.
  • Guia prático para projetar soluções de saúde seguras usando Microsoft Azure ajuda você a entender melhor o que é necessário para adotar com êxito um serviço de nuvem de maneira segura.

Use o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos