Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Articolo
02/15/2024

Panoramica di HIPAA e HITECH Act

Il Health Insurance Portability and Accountability Act del 1996 (HIPAA) e le normative emanate ai sensi dell'HIPAA sono una serie di leggi sanitarie statunitensi che stabiliscono i requisiti per l'uso, la divulgazione e la protezione di informazioni sanitarie identificabili singolarmente. L'ambito dell'HIPAA è stato esteso con l'entrata in vigore del Health Information Technology for Economic and Clinical Health (HITECH) Act nel 2009.

HIPAA si applica alle entità coperte (in particolare, fornitori di assistenza sanitaria, piani sanitari e servizi di compensazione dell'assistenza sanitaria) che creano, ricevono, mantengono, trasmettono o accedono alle informazioni sanitarie protette (PHI) dei pazienti. HIPAA si applica inoltre ai business associate di entità coperte che eseguono determinate funzioni o attività che coinvolgono PHI nell'ambito della fornitura di servizi all'entità coperta o per conto dell'entità coperta.

Quando un'entità coperta interagisce con i servizi di un provider di servizi cloud, ad esempio Microsoft, il provider di servizi cloud sarà un business associate in HIPAA. Inoltre, quando un'azienda associa i contratti di subfornitura a un provider di servizi cloud per creare, ricevere, gestire o trasmettere PHI, anche il provider di servizi cloud diventa un business associate.

Microsoft, HIPAA e HITECH Act

Le normative HIPAA richiedono che le entità coperte (definite in base alle regole) stipulano accordi con gli associati aziendali per garantire che PHI sia adeguatamente protetto. Questo contratto è denominato contratto di business associate. Tra le altre cose, un Contratto di Business Associate stabilisce gli usi e le divulgazioni consentiti e richiesti di PHI da parte del socio aziendale, in base al rapporto tra le parti e le attività o i servizi eseguiti dal socio aziendale. Per supportare la conformità dei clienti con HIPAA quando si utilizzano prodotti e servizi Aziendali Microsoft, Microsoft entrerà in contratti di business associate con i clienti dell'entità coperta e degli associati aziendali.

Attualmente non esiste alcun standard di certificazione approvato dal Department of Health and Human Services per dimostrare la conformità con HIPAA o hitech Act da un socio aziendale. Tuttavia, Microsoft consente ai clienti di rispettare HIPAA e HITECH Act e di rispettare i requisiti delle regole di sicurezza di HIPAA nella sua capacità di business associate. Inoltre, Microsoft stipula contratti di business associate con l'entità coperta e i clienti business associate per supportare la conformità agli obblighi HIPAA.

Certificazioni di terze parti

I servizi Microsoft coperti dal BAA sono stati sottoposti a controlli condotti da revisori indipendenti accreditati per la certificazione Microsoft ISO/IEC 27001 e la certificazione HITRUST CSF.

I servizi cloud aziendali Microsoft sono coperti anche dalle valutazioni FedRAMP. Microsoft Azure e Microsoft Azure per enti pubblici ricevuto un'autorità provvisoria per operare dalla commissione di autorizzazione congiunta FedRAMP; Microsoft Dynamics 365 governo degli Stati Uniti ha ricevuto un'Agenzia per operare dal Dipartimento degli alloggi e dello sviluppo urbano degli Stati Uniti, così come Microsoft Office 365 governo degli Stati Uniti dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

Per informazioni su come Microsoft Cloud aiuta i clienti a supportare HIPAA e i requisiti HITECH, visitare Microsoft Customer Stories.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Azure e Azure per enti pubblici
Azure DevOps Services
Dynamics 365 e Dynamics 365 U.S. Government
Intune
Microsoft Defender for Cloud Apps
Microsoft Defender Experts for Hunting (componente Servizi online)
Microsoft Defender Experts for XDR (componente Servizi online)
Microsoft Healthcare servizio Bot
Microsoft Managed Desktop
Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziende
Office 365, Office 365 governo degli Stati Uniti
Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
Servizio cloud di Power BI come servizio autonomo o incluso in un Office 365 o Dynamics 365 piano o suite con marchio
Windows 365

Azure, Dynamics 365 e HIPAA

Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta HIPAA di Azure.

Office 365 e HIPAA

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità	Servizi inclusi nell'ambito
Commerciale	Access Online, Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativamente, Kaizala, ObjectStore, Sway, Power Automate, Servizio documenti di PowerPoint Online, Servizio annotazione query, Sincronizzazione dati dell'istituto di istruzione, Siphon, Voce, StaffHub, programma applicazioni eXtensible), Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Crittografia dei servizi con chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business, Stream
GCC	Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Applicabilità

Servizi inclusi nell'ambito

Commerciale

Access Online, Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativamente, Kaizala, ObjectStore, Sway, Power Automate, Servizio documenti di PowerPoint Online, Servizio annotazione query, Sincronizzazione dati dell'istituto di istruzione, Siphon, Voce, StaffHub, programma applicazioni eXtensible), Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Crittografia dei servizi con chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business, Stream

GCC

Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Domande frequenti

L'organizzazione può entrare in un BAA con Microsoft?

Sì. Microsoft offre ai clienti dell'entità coperta e degli associati aziendali un contratto di business associate che copre i servizi Microsoft nell'ambito.

Il Contratto Microsoft HIPAA Business Associate è disponibile tramite l'addendum per la protezione dei dati di Microsoft Online Services per impostazione predefinita per tutti i clienti che sono entità coperte o soci aziendali nell'ambito di HIPAA. Vedere "Servizi cloud microsoft nell'ambito" in questa pagina Web per l'elenco dei servizi cloud coperti da questo BAA.

Il Contratto HIPAA Business Associate è disponibile anche per Microsoft Professional Services nell'ambito. Per altre informazioni, contattare il rappresentante dei servizi Microsoft.

La presenza di un contratto di business associate con Microsoft garantisce la conformità dell'organizzazione con HIPAA e HITECH Act?

No. Offrendo un contratto di business associate, Microsoft aiuta a supportare la conformità HIPAA. Tuttavia, l'uso dei servizi Microsoft non raggiunge autonomamente la conformità HIPAA. L'organizzazione è responsabile di garantire che siano in atto un programma di conformità adeguato e processi interni e che l'uso specifico dei servizi Microsoft sia conforme agli obblighi previsti da HIPAA e HITECH Act.

Microsoft può usare il Contratto di associazione aziendale dell'organizzazione?

No, Microsoft non può usare il Contratto di business associate di un cliente. Poiché offriamo servizi multi-tenant iperscalabilità standardizzati per tutti i clienti, è necessario operare in modo coerente. Il Contratto Microsoft HIPAA Business Associate riflette da vicino il modo in cui operiamo. Di conseguenza, per soddisfare le esigenze del settore sanitario, Microsoft ha collaborato con un consorzio di centri medici accademici e altre entità del settore pubblico e privato all'interno del settore sanitario per creare un contratto di business associate che si allinea con le nostre offerte di servizi di scalabilità e soddisfa le esigenze dei clienti.

Come è possibile ottenere copie dei report di controllo di terze parti?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente. È possibile usare il portale per richiedere report di controllo in modo che i revisori possano confrontare i risultati dei servizi cloud Microsoft con i propri requisiti legali e normativi. I clienti di Azure possono anche recuperare i certificati di Azure e i report di controllo nel portale di Azure tramite il pannello report di controllo in Microsoft Defender for Cloud.

Come è possibile ottenere altre informazioni su come Microsoft supporta la conformità con HIPAA e HITECH Act?

Per assistere i clienti in questa attività, Microsoft ha pubblicato queste linee guida:

Le linee guida per l'implementazione di HIPAA/HITECH Act per Azure per i responsabili della privacy, della sicurezza e della conformità e per altri responsabili dell'implementazione di HIPAA e HITECH Act, descrivono i passi concreti che l'organizzazione può intraprendere per mantenere la conformità.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.