Закон о переносе и подотчетности медицинского страхования (HIPAA) & информационных технологий здравоохранения для экономического и клинического здоровья (HITECH)

Обзор HIPAA и закона HITECH

Закон о переносе и подотчетности медицинского страхования 1996 г. (HIPAA) и правила, выдаемые в соответствии с HIPAA, являются набором законов США о здравоохранении, устанавливающих требования к использованию, раскрытию и защите отдельно идентифицируемых сведений о состоянии здоровья. Сфера применения HIPAA была расширена с принятием в 2009 году Закона об информационных технологиях здравоохранения для экономического и клинического здоровья (HITECH).

HIPAA применяется к охваченным объектам (в частности, поставщикам медицинских услуг, планам здравоохранения и клиренсам здравоохранения), которые создают, получают, поддерживают, передают и получают защищенные медицинские сведения (PHI) пациентов. HIPAA также применяется к бизнес-партнерам покрытых сущностей, которые выполняют определенные функции или действия с участием PHI в рамках оказания услуг охваченной сущности или от имени охваченного объекта.

Когда охваченная сущность занимается услугами поставщика облачных служб, таких как Microsoft, поставщик облачных служб будет бизнес-партнером в рамках HIPAA. Кроме того, если поставщик облачных служб связывается с поставщиком облачных служб для создания, получения, обслуживания или передачи PHI, поставщик облачных служб также становится бизнес-партнером.

Microsoft, HIPAA и закон HITECH

Правила HIPAA требуют, чтобы охваченные сущности (определенные правилами) заключили соглашения с деловыми партнерами, чтобы обеспечить надлежащую защиту PHI. Это соглашение называется партнером по бизнесу. Помимо прочего, соглашение о деловом партнере устанавливает разрешенное и обязательное использование и раскрытие PHI деловым партнером на основе связи между сторонами и действиями или службами, выполняемыми деловым партнером. Чтобы поддерживать соответствие наших клиентов требованиям HIPAA при использовании корпоративных продуктов и служб Майкрософт, Корпорация Майкрософт будет вступать в соглашения о ассоциированных деловых услугах со своими клиентами, поддерживаюми юридические и деловые связи.

В настоящее время не существует стандарта сертификации, утвержденного Департаментом здравоохранения и социальных служб для демонстрации соответствия требованиям HIPAA или закону HITECH делового партнера. Однако Корпорация Майкрософт позволяет клиентам соответствовать требованиям HIPAA и закону HITECH и соблюдает требования правила безопасности HIPAA в качестве делового партнера. Кроме того, Корпорация Майкрософт вступает в соглашения о ассоциированных деловых партнерах со своими клиентами с закрытыми юридическими и деловыми помощниками для поддержки их соблюдения обязательств HIPAA.

Сторонние сертификации

службы Майкрософт, охватываемых ВАА, прошли аудиты, проведенные аккредитованными независимыми аудиторами для сертификации Microsoft ISO/IEC 27001 и сертификации HITRUST CSF.

Облачные службы корпорации Майкрософт также охватываются оценками FedRAMP. Microsoft Azure и Microsoft Azure правительство получило временный орган для работы от Объединенного совета по разрешению FedRAMP; Правительство Microsoft Dynamics 365 США получило управление по работе с агентством из Министерства жилищного строительства и городского развития США, как и Microsoft Office 365 правительства США из Министерства здравоохранения и социальных служб США.

Чтобы узнать, как облако Майкрософт помогает клиентам поддерживать требования HIPAA и HITECH, посетите веб-сайт Microsoft Customer Stories.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Azure DevOps Services
  • Dynamics 365 и Dynamics 365 для государственных организаций США
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Компьютеры, управляемые Майкрософт
  • Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
  • Office 365 Office 365 правительства США
  • Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Power BI облачной службы либо в качестве автономных служб, либо в Office 365 или пакете с фирмой Dynamics 365

Azure, Dynamics 365 и HIPAA

Дополнительные сведения о соответствии Azure, Dynamics 365 и другим сетевым службам см. в предложении Azure HIPAA.

Office 365 и HIPAA

Облачные среды Office 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

Этот раздел посвящен следующим облачным средам Office 365.

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance add-on, Office 365 Customer Portal, Office 365 Microservices (включая Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, Синхронизация сведений о школе, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive для бизнеса, Planner, PowerApps, Power BI, Project Online, Service Encryption with Customer Key, SharePoint Online, Skype для бизнеса, Stream
GCC Azure Active Directory, Azure Communications Service, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Вопросы и ответы

Может ли моя организация ввести baA с Microsoft?

Да. Корпорация Майкрософт предлагает своим клиентам- юридическим и деловым партнерам соглашение по бизнес-партнеру, которое охватывает службы Майкрософт.

Деловое соглашение Microsoft HIPAA по бизнес-партнеру доступно Microsoft Online Services надстройки защиты данных по умолчанию для всех клиентов, которые являются юридическими лицами или бизнес-партнерами в рамках HIPAA. На этой веб-странице см. список облачных служб, охваченных этой службой.

Соглашение по бизнес-партнеру HIPAA также доступно для служб Microsoft Professional области. Дополнительные сведения службы Майкрософт вашего представителя.

Обеспечивает ли соглашение о ассоциированных деловых партнерах с Корпорацией Майкрософт соблюдение организацией HIPAA и закона HITECH?

Нет. Предлагая партнерские соглашения для бизнеса, Корпорация Майкрософт помогает поддерживать соответствие требованиям HIPAA. Однако использование службы Майкрософт самостоятельно не соответствует требованиям HIPAA. Ваша организация отвечает за то, чтобы у вас была адекватная программа соответствия требованиям и внутренние процессы, и чтобы ваше конкретное использование службы Майкрософт соответствует вашим обязательствам по HIPAA и закону HITECH.

Может ли Корпорация Майкрософт использовать партнерского соглашения моей организации по бизнесу?

Нет, Корпорация Майкрософт не может использовать партнерского соглашения клиента по бизнесу. Так как мы предлагаем высококлассные, многоуровневые службы, стандартизированные для всех наших клиентов, мы должны работать последовательно. Соглашение по бизнес-партнеру HIPAA Майкрософт тесно отражает то, как мы работаем. Соответственно, для решения потребностей отрасли здравоохранения Корпорация Майкрософт сотрудничала с консорциумом академических медицинских центров и других организаций государственного и частного секторов в рамках системы здравоохранения для создания соглашения бизнес-партнеров, которое согласуется с нашими предложениями служб масштабирования и отвечает потребностям клиентов.

Как получить копии отчетов аудита сторонних сторон?

На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. Вы можете использовать портал для запроса отчетов аудита, чтобы аудиторы могли сравнить результаты облачных служб Майкрософт с вашими собственными юридическими и нормативными требованиями. Клиенты Azure также могут получать сертификаты Azure и отчеты о аудите на портале Azure с помощью лезвия отчетов аудита в Центре безопасности Azure.

Как узнать больше о том, как Корпорация Майкрософт поддерживает соблюдение HIPAA и закона HITECH?

Чтобы помочь клиентам с этой задачей, Корпорация Майкрософт опубликовала эти руководства:

  • Руководство по реализации HipAA/HITECH Act для Azure для сотрудников по обеспечению конфиденциальности, безопасности и соответствия требованиям и других лиц, ответственных за реализацию hipaa и HITECH Act, описывает конкретные действия, которые ваша организация может предпринять для обеспечения соответствия требованиям.
  • Практическое руководство по разработке безопасных решений для здоровья с Microsoft Azure позволяет лучше понять, что необходимо для успешного использования облачной службы в безопасном режиме.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы