Акты HITECH для обеспечения переносимости и отчетности в отношении медицинского страхования (HIPAA) & HITECHHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

Обзор HIPAA и закона HITECHHIPAA and the HITECH Act overview

Закон HIPAA о переносимости и подотчетности медицинского страхования (HIPAA) — это закон здравоохранения США, который устанавливает требования к использованию, раскрытию и защите личной медицинской информации.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Это относится к охваченным организациям, офисам пациентов, медицинским учреждениям и другим организациям здравоохранения с доступом к охраняемой медицинской информации (PHI) пациентов, а также к деловым партнерам, таким как облачные службы и ИТ-поставщики, которые обрабатывает PHI от их имени.It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (Большинство охваченных сущностями не выполняют функции, такие как утверждения или обработка данных, самостоятельно; для этого они зависят от деловых партнеров.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

Закон регулирует использование и распространение PHI в четырех общих областях:The law regulates the use and dissemination of PHI in four general areas:

  • Конфиденциальность, которая распространяется на конфиденциальность пациентов.Privacy, which covers patient confidentiality.
  • Безопасность, которая занимается защитой информации, включая физические, технологические и административные меры безопасности.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Идентификаторы, которые являются типами информации, которую нельзя освободить, если она собирается в целях исследования.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Коды для электронной передачи данных в транзакциях, связанных с медицинской помощью, в том числе о правах и страховых требованиях и платежах.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

Область HIPAA была расширена с принятием Закона об информационной технологии здравоохранения для экономического и медицинского состояния (HITECH). В совокупности правила hipAA и HITECH включают следующие:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • Правило конфиденциальности HIPAA, в котором основное внимание уделяется правом отдельных лиц контролировать использование их личной информации и распространяется на конфиденциальность PHI, ограничив его использование и раскрытие.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • Правило безопасности HIPAA, которое устанавливает стандарты административных, технических и физических мер защиты электронной PHI от несанкционированного доступа, использования и раскрытия.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Он также включает такие организационные требования, как соглашения с деловыми партнерами (BAAS).It also includes such organizational requirements as Business Associate Agreements (BAAs).

Конечное правило hitECH Breach Notification, которое требует уведомления отдельных лиц и государственных организаций при нарушении безопасности PHI.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Майкрософт и HIPAA и акт HITECHMicrosoft and HIPAA and the HITECH Act

Нормативные акты HIPAA требуют, чтобы соответствующие организации и их деловые партнеры, в данном случае корпорация Майкрософт, когда она предоставляет услуги, в том числе облачные, для соответствующих организаций, заключали контракты, чтобы эти деловые партнеры надлежащим образом защищают PHI.HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. Эти контракты , или BAAS, поясняет и ограничивает, как деловой партнер может обрабатывать PHI, и установить соблюдение каждой стороной положений о безопасности и конфиденциальности, указанных в HIPAA и ЗАКОН HITECH. После создания BAA клиенты Майкрософт (охваченные сущности) могут использовать свои службы для обработки и хранения PHI.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

В настоящее время официальной сертификации для соответствия требованиям HIPAA или HITECH не существует.Currently there is no official certification for HIPAA or HITECH Act compliance. Однако эти службы Майкрософт, на которые распространяется baA, прошли аудит, проведенный независимыми аудиторами, аккредитованными для сертификации Microsoft ISO/IEC 27001.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Корпоративные облачные службы Майкрософт также охвачены оценками FedRAMP.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure и Microsoft Azure для государственных органов получили временный орган для работы с совместным советом по авторизации FedRAMP; Microsoft Dynamics 365 для государственных органов США получил орган агентства для работы от министерства здравоохранения и образования США, как это было Microsoft Office 365 для государственных органов США от министерства здравоохранения и кадров США.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Чтобы узнать, как Microsoft Cloud помогает клиентам поддерживать HIPAA и требования HITECH, посетите веб-сайт "Истории клиентов Майкрософт".To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Облачные службы Майкрософт, к которым применима оценкаMicrosoft in-scope cloud services

Ускорение развертывания решений HIPAA/HITRUST в AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Начните использовать преимущества облака для решений для данных о здоровье с помощью схемы безопасности и соответствия требованиям Azure: hipAA/HITRUST Health Data and AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. Этот план содержит инструменты и инструкции для начала создания решений HIPAA/HITRUST уже сегодня.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Вопросы и ответыFrequently asked questions

Может ли моя организация входить в BAA с корпорацией Майкрософт?Can my organization enter into a BAA with Microsoft?

Корпорация Майкрософт предлагает квалифицированным компаниям или их поставщикам BAA, которая охватывает службы Майкрософт.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Для облачных служб Майкрософт: соглашение HIPAA-партнера по бизнес-партнеру доступно по условиям веб-служб по умолчанию для всех клиентов, которые являются субъектами или деловыми партнерами по HIPAA.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Список облачных служб, на которые распространяется это BAA, см. на этой веб-странице "Облачные службы Майкрософт".See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Для служб профессиональных услуг Майкрософт: поправка HIPAA Business Associate доступна для соответствующих профессиональных служб Майкрософт по запросу вашего представителя служб Майкрософт.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Обеспечивает ли моя организация соответствие HIPAA требованиям HIPAA и акту HITECH с помощью BAA с корпорацией Майкрософт?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

Нет.No. Предлагая BAA, Корпорация Майкрософт помогает обеспечить соответствие HIPAA требованиям, но использование служб Майкрософт не обеспечивает этого самостоятельно.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. Ваша организация отвечает за то, чтобы у вас была адекватная программа соответствия требованиям и внутренние процессы, а также что конкретное использование служб Майкрософт соответствует HIPAA и закону HITECH.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Может ли корпорация Майкрософт изменять BAA моей организации?Can Microsoft modify my organization's BAA?

Корпорация Майкрософт не может изменить HIPAA BAA, так как службы Майкрософт согласованы для всех клиентов и поэтому должны выполнять одинаковые процедуры для всех.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Однако для создания BAA для клиентов, регулируемых HIPAA корпорацией Майкрософт, и ее служб майкрософт совместно с ведущими медицинскими учебными заведениями США и их консультациями по конфиденциальности HIPAA, а также с другими организациями, которые охвачены HIPAA из частного и частного секторов.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Как получить копии отчетов аудитора?How can I get copies of the auditor's reports?

На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям.The Service Trust Portal provides independently audited compliance reports. Вы можете использовать портал для запроса отчетов аудита, чтобы аудиторы могли сравнить результаты облачных служб Майкрософт с вашими юридическими и нормативными требованиями.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Как узнать больше о соответствии HIPAA и акту HITECH?How can I learn more about complying with HIPAA and the HITECH Act?

Чтобы помочь клиентам с этой задачей, корпорация Майкрософт опубликовала эти руководства:To assist customers with this task, Microsoft has published these guides:

  • Руководство по реализации закона HIPAA/HITECH для Azure, Dynamics 365 и Office 365.HIPAA/HITECH Act implementation guidance for Azure and for Dynamics 365 and Office 365. Написаны для ответственных за обеспечение конфиденциальности, безопасности и соответствия требованиям, а также других лиц, ответственных за реализацию hipAA и hitECH Act, в них описываются конкретные действия, которые ваша организация может предпринять для обеспечения соответствия требованиям.Written for privacy, security, and compliance officers and others responsible for HIPAA and HITECH Act implementation, they describe concrete steps your organization can take to maintain compliance.
  • Практическое руководство по разработке безопасных решений для обеспечения безопасности здоровья с помощью Microsoft Azure помогает лучше понять, что необходимо для безопасного принятия облачной службы.Practical guide to designing secure health solutions using Microsoft Azure helps you better understand what it takes to successfully adopt a cloud service in a secure manner.
  • При решении требований к безопасности и конфиденциальности HIPAA в Microsoft Cloud представлен краткий обзор нормативных требований.Addressing HIPAA security and privacy requirements in the Microsoft Cloud offers a brief overview of regulation requirements. В ней также содержится подробный анализ построения облачных служб Майкрософт с использованием методологий, которые соемут эти требования, и рекомендации по созданию решений, готовых к обеспечению соответствия требованиям.It also provides a detailed analysis of how Microsoft's cloud services were built with methodologies that map to those requirements, and guidance on how to build compliance-ready solutions.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)Use Microsoft Compliance Manager to assess your risk

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований.Compliance Manager offers a premium template for building an assessment for this regulation. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям.Find the template in the assessment templates page in Compliance Manager. См. Создание оценки в диспетчере соответствия требованиям.Learn how to build assessments in Compliance Manager.

РесурсыResources