健康保險流通與責任 (HIPAA) & 高科技的運作

HIPAA 和高科技法案概述

健康保險流通與責任法案 (HIPAA) 是一種美國保健法律,可建立用於個別身分識別健康資訊的使用、披露和保護的需求。 它適用于涵蓋的實體、醫生的辦公室、醫院、醫療保險公司和其他保健公司,可讓您存取患者的受保護健康情況資訊 (PHI) 以及商務夥伴(例如雲端服務和 IT 提供者),以代表自行處理 PHI。 (大多數涵蓋的實體不會自行執行宣告或資料處理等功能。他們會依靠業務相關的方式來執行。 )

法律規定將 PHI 的使用和傳播分為四個一般方面:

  • 隱私權,它涵蓋患者的機密性。
  • 安全性,可處理保護資訊,包括實體、技術和管理保護措施。
  • 識別碼,也就是收集以供研究目的時無法發行的資訊類型。
  • 醫療保健相關交易中,電子傳輸資料的程式碼,包括資格和保險的宣告和付款。

HIPAA 的範圍已擴充,其經濟和臨床健康情況 (高科技) 法案的狀況資訊技術的 enactment。一起,HIPAA 和高科技法案規則包括:

  • HIPAA 隱私權規則,側重于個人個人資訊的使用權,並涵蓋 PHI 的機密性,以限制其使用和披露。
  • HIPAA 安全性規則,它會設定系統管理、技術和實體保護的標準,以保護電子 PHI,避免未經授權的存取、使用和披露。 它還包含組織的需求,例如業務關聯協定 (Baa) 。

高科技違犯通知的最後規則,需要在遭到不安全的 PHI 遭到破壞時,對個人和政府進行通知。

Microsoft 和 HIPAA 和高科技法案

HIPAA 法規需要涵蓋的實體及其業務相關專案,在此案例中,當 Microsoft 提供服務(包括雲端服務)給涵蓋的實體時,請輸入合約,以確保這些商務夥伴可以適當保護 PHI。 這些合約或 Baa、澄清和限制業務關聯可以處理 PHI 的方式,以及設定每一方對 HIPAA 和高科技法案中規定的安全性和隱私權規定的遵守。BAA 之後,Microsoft 客戶 (涵蓋的實體) 可以使用其服務來處理及儲存 PHI。

目前沒有 HIPAA 或高科技法案規範的官方認證。 不過,BAA 所涵蓋的 Microsoft 服務已完成由 Microsoft ISO/IEC 27001 認證之已驗證之獨立審計員進行的審計。

Microsoft enterprise 雲端服務也涵蓋 FedRAMP 評估。 Microsoft Azure 和 Microsoft Azure 政府收到一個臨時授權,可從 FedRAMP 的聯合授權板進行操作;Microsoft Dynamics 365 美國政府收到一部代理商機關,以供來自《美國」(美國)的健康情況和人力服務的 Microsoft Office 365 美國政府運作。

若要瞭解 Microsoft Cloud 如何協助客戶支援 HIPAA 和高科技需求,請造訪 Microsoft 客戶案例

Microsoft 範圍內雲端服務

加速部署 Azure 上的 HIPAA/HITRUST 解決方案

透過 Azure 安全性與合規性藍圖,利用雲端針對健康情況資料解決方案的優點,取得其優勢: HIPAA/HITRUST 健康情況資料和 AI。 此藍圖提供的工具和指引,可讓您立即開始建立 HIPAA/HITRUST 解決方案。

常見問題集

我的組織可以使用 Microsoft 進入 BAA 嗎?

Microsoft 為合格的公司或其供應商提供涵蓋在 Microsoft 服務範圍內的 BAA。

針對 Microsoft cloud services:針對所有已涵蓋 HIPAA 的實體或業務夥伴的客戶,以線上服務條款提供 HIPAA 業務關聯協定 。 請參閱此網頁上的「Microsoft in 範圍內的雲端服務」,以取得此 BAA 所涵蓋的雲端服務清單。

針對 Microsoft 專業服務服務:向您的 Microsoft 服務代表提出要求時,可在範圍內的 Microsoft 專業服務中取得 HIPAA 業務關聯修正功能。

與 Microsoft 的 BAA 是否符合 HIPAA 和高科技法案?

否。 透過提供 BAA,Microsoft 可協助支援您的 HIPAA 法規遵從性,但使用 Microsoft 服務並不會自行取得。 您的組織負責確保您已具備適當的規範方案和內部程式,而且您在使用 Microsoft 服務時,會與 HIPAA 和高科技法案搭配使用。

Microsoft 是否可以修改我的組織的 BAA?

因為 Microsoft 服務對於所有客戶都是一致的,所以 microsoft 無法修改 HIPAA BAA,因此必須針對每個人遵循相同的程式。 不過,若要為 Microsoft 的 HIPAA 管制客戶和其服務建立 BAA,Microsoft 與部分的美國內科學校及 HIPAA 隱私權法律顧問共同合作,以及其他上市公司和私營部門對涵蓋的實體。

如何取得審計員報表的複本?

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求審核報告,讓審計員能夠與您自己的法律和法規需求比較 Microsoft 的雲端服務結果。

如何深入瞭解如何遵從 HIPAA 和高科技法案?

為了協助客戶執行這項工作,Microsoft 已發佈下列指南:

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源