Compartilhar via


Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Descrição geral da HIPAA e da Lei HITECH

O Health Insurance Portability and Accountability Act de 1996 (HIPAA) e os regulamentos emitidos ao abrigo da HIPAA são um conjunto de leis de saúde dos EUA que estabelecem requisitos para a utilização, divulgação e salvaguarda de informações de saúde individualmente identificáveis. O âmbito da HIPAA foi alargado com a promulgação da Lei HITECH (Health Information Technology for Economic and Clinical Health) em 2009.

A HIPAA aplica-se a entidades abrangidas (especificamente, prestadores de cuidados de saúde, planos de saúde e centros de limpeza de cuidados de saúde) que criam, recebem, mantêm, transmitem ou acedem às informações de saúde protegidas (PHI) dos pacientes. A HIPAA aplica-se ainda a associações empresariais de entidades abrangidas que efetuam determinadas funções ou atividades que envolvam a PHI como parte da prestação de serviços à entidade abrangida ou em nome da entidade abrangida.

Quando uma entidade abrangida interage com os serviços de um fornecedor de serviços cloud, como a Microsoft, o fornecedor de serviços cloud seria um parceiro empresarial na HIPAA. Além disso, quando um parceiro empresarial subcontrata com um fornecedor de serviços cloud para criar, receber, manter ou transmitir PHI, o fornecedor de serviços cloud também se torna um parceiro empresarial.

Microsoft, HIPAA e a Lei HITECH

Os regulamentos da HIPAA exigem que as entidades abrangidas (definidas ao abrigo das Regras) entrem em contratos com parceiros empresariais para garantir que a PHI está adequadamente protegida. Este contrato é denominado Contrato de Associação Empresarial. Entre outras coisas, um Contrato de Associação Empresarial estabelece as utilizações e divulgações permitidas e necessárias da PHI pela associação empresarial, com base na relação entre as partes e as atividades ou serviços que estão a ser realizados pelo parceiro empresarial. Para suportar a conformidade dos nossos clientes com a HIPAA ao utilizar produtos e serviços empresariais da Microsoft, a Microsoft irá introduzir Contratos de Associação Empresarial com a entidade abrangida e clientes associados à empresa.

Atualmente, não existe uma norma de certificação aprovada pelo Departamento de Saúde e Serviços Humanos para demonstrar a conformidade com a HIPAA ou a Lei HITECH por um associado empresarial. No entanto, a Microsoft permite que os clientes cumpram a HIPAA e a Lei HITECH e cumpram os requisitos da Regra de Segurança da HIPAA na sua capacidade de associação empresarial. Além disso, a Microsoft entra em Contratos de Associação Empresarial com a respetiva entidade abrangida e clientes associados à empresa para apoiar a conformidade com as obrigações da HIPAA.

Certificações de terceiros

Os serviços Microsoft abrangidos pela BAA foram submetidos a auditorias realizadas por auditores independentes acreditados para a certificação MICROSOFT ISO/IEC 27001 e a certificação HITRUST CSF.

Os serviços cloud empresariais da Microsoft também são abrangidos pelas avaliações do FedRAMP. O Microsoft Azure e o Microsoft Azure Government receberam uma Autoridade Provisória para Operar a partir do Conselho de Autorização Conjunta da FedRAMP; O Microsoft Dynamics 365 U.S. Government recebeu uma Autoridade de Agência para Operar a partir do Departamento de Habitação e Desenvolvimento Urbano dos EUA, assim como o Microsoft Office 365 U.S. Government do Departamento de Saúde e Serviços Humanos dos EUA.

Para saber como a Microsoft Cloud ajuda os clientes a suportar a HIPAA e os requisitos hitECH, visite o Microsoft Customer Stories.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Azure DevOps Services
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Intune
  • Microsoft Defender for Cloud Apps
  • Especialistas do Microsoft Defender para Investigação
  • Especialistas do Microsoft Defender para XDR
  • Microsoft Healthcare Bot Service
  • Área de Trabalho Gerenciada da Microsoft
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Office 365, Office 365 U.S. Government
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço em nuvem do Power BI como um serviço autónomo ou como incluído num plano ou conjunto de aplicações com a marca Office 365 ou Dynamics 365
  • Windows 365

Azure, Dynamics 365 e HIPAA

Para obter mais informações sobre a conformidade com o Azure, o Dynamics 365 e outros serviços online, veja a oferta Azure HIPAA.

Office 365 e HIPAA

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Sistema de Proteção de Dados do Cliente, Delve, Exchange Online, Formulários, Griffin, Gestor de Identidades, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365, Portal de Cliente do Office 365, Microsserviços do Office 365 (incluindo, mas não limitado, Kaizala, ObjectStore, Sway, Power Automate, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consultas, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Centro de Conformidade & de Segurança do Office 365, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive para Empresas, Planner, PowerApps, Power BI, Project Online, Encriptação de Serviço com a Chave de Cliente do Microsoft Purview, SharePoint Online, Skype para Empresas, Stream
GCC Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Suplemento de Conformidade Avançada do Office 365, Centro de Conformidade & de Segurança do Office 365, Office Online, Office Pro Plus, OneDrive para Empresas, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype para Empresas, Stream

Perguntas frequentes

A minha organização pode entrar num BAA com a Microsoft?

Sim. A Microsoft oferece aos clientes associados empresariais e de entidade abrangida um Contrato de Associação Empresarial que abrange os serviços Microsoft no âmbito.

O Contrato de Associação Empresarial HIPAA da Microsoft está disponível através da Adenda de Proteção de Dados dos Serviços Online da Microsoft por predefinição para todos os clientes que são entidades abrangidas ou associados empresariais ao abrigo da HIPAA. Veja "Serviços cloud no âmbito da Microsoft" nesta página Web para obter a lista de serviços cloud abrangidos por este BAA.

O Contrato de Associação Empresarial HIPAA também está disponível para os Serviços Profissionais da Microsoft no âmbito. Contacte o representante dos serviços Microsoft para obter mais informações.

Ter um Contrato de Associação Empresarial com a Microsoft garante a conformidade da minha organização com a HIPAA e a Lei HITECH?

Não. Ao oferecer um Contrato de Associação Empresarial, a Microsoft ajuda a suportar a conformidade com a HIPAA. No entanto, a utilização dos serviços Microsoft não alcança, por si só, a conformidade com a HIPAA. A sua organização é responsável por garantir que tem um programa de conformidade e processos internos adequados e que a sua utilização específica dos serviços Microsoft está em conformidade com as suas obrigações ao abrigo da HIPAA e da Lei HITECH.

A Microsoft pode utilizar o Contrato de Associação Empresarial da minha organização?

Não, a Microsoft não pode utilizar o Contrato de Associação Empresarial de um cliente. Uma vez que oferecemos serviços de hiperescala multi-inquilino padronizados para todos os nossos clientes, temos de operar de forma consistente. O Contrato de Associação Empresarial HIPAA da Microsoft reflete de perto a forma como operamos. Assim, para responder às necessidades do setor dos cuidados de saúde, a Microsoft colaborou com um consórcio de centros médicos académicos e outras entidades do setor público e privado nos cuidados de saúde para criar um Contrato de Associação Empresarial que se alinhe com as nossas ofertas de serviços de escala e satisfaça as necessidades dos clientes.

Como posso obter cópias de relatórios de auditoria de terceiros?

O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Pode utilizar o portal para pedir relatórios de auditoria para que os auditores possam comparar os resultados dos serviços cloud da Microsoft com os seus próprios requisitos legais e regulamentares. Os clientes do Azure também podem obter certificados do Azure e relatórios de auditoria no portal do Azure através do painel de relatórios de auditoria no Microsoft Defender para Cloud.

Como posso saber mais sobre como a Microsoft suporta a conformidade com a HIPAA e a Lei HITECH?

Para ajudar os clientes com esta tarefa, a Microsoft publicou esta documentação de orientação:

  • Orientações de implementação da Lei HIPAA/HITECH para o Azure para agentes de privacidade, segurança e conformidade e outros responsáveis pela implementação da HIPAA e hitECH Act, descreve passos concretos que a sua organização pode tomar para manter a conformidade.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal de conformidade do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos