Lei HIPAA (Health Insurance Portability and Accountability Act) & Health Information Technology for Economic and Clinical Health (HITECH)

HIPAA e a visão geral do HITECH Act

A Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA) e as regulamentações emitidas sob HIPAA são um conjunto de leis de saúde dos EUA que estabelecem requisitos para o uso, divulgação e proteção de informações de integridade individualmente identificáveis. O escopo do HIPAA foi estendido com a promulgação da Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) em 2009.

O HIPAA se aplica a entidades cobertas (especificamente, prestadores de cuidados de saúde, planos de saúde e clareiras de saúde) que criam, recebem, mantêm, transmitem ou acessam as informações de saúde protegidas dos pacientes (PHI). O HIPAA aplica-se ainda mais aos associados comerciais de entidades cobertas que executam determinadas funções ou atividades envolvendo a PHI como parte da prestação de serviços à entidade coberta ou em nome da entidade coberta.

Quando uma entidade coberta envolve os serviços de um provedor de serviços de nuvem, como a Microsoft, o provedor de serviços de nuvem seria um associado comercial no HIPAA. Além disso, quando uma empresa associa subcontrata com um provedor de serviços de nuvem para criar, receber, manter ou transmitir PHI, o provedor de serviços de nuvem também se torna um associado comercial.

Microsoft, HIPAA e a Lei HITECH

As regulamentações HIPAA exigem que entidades cobertas (definidas pelas Regras) entrem em acordos com associados empresariais para garantir que a PHI esteja adequadamente protegida. Esse contrato é chamado de Contrato de Associação Comercial. Entre outras coisas, um Contrato de Business Associate estabelece os usos e divulgações permitidos e necessários da PHI pelo associado comercial, com base na relação entre as partes e as atividades ou serviços que estão sendo executados pelo associado comercial. Para dar suporte à conformidade de nossos clientes com a HIPAA ao utilizar produtos e serviços empresariais da Microsoft, a Microsoft entrará em Contratos de Associação Comercial com sua entidade coberta e clientes associados a negócios.

Atualmente, não há nenhum padrão de certificação aprovado pelo Departamento de Saúde e Serviços Humanos para demonstrar a conformidade com o HIPAA ou o HITECH Act por um associado comercial. No entanto, a Microsoft habilita os clientes em sua conformidade com o HIPAA e o HITECH Act e segue os requisitos de Regra de Segurança do HIPAA em sua capacidade como associado comercial. Além disso, a Microsoft insere contratos de business associate com sua entidade coberta e clientes associados a empresas para dar suporte à conformidade com as obrigações hipaa.

Certificações de terceiros

Os serviços da Microsoft cobertos pela BAA foram submetidos a auditorias realizadas por auditores independentes credenciados para a certificação MICROSOFT ISO/IEC 27001 e a certificação CSF HITRUST.

Os serviços de nuvem corporativos da Microsoft também são cobertos por avaliações do FedRAMP. O Microsoft Azure e a Microsoft Azure Governamental receberam uma Autoridade Provisória para operar do Conselho de Autorização Conjunta do FedRAMP; A Microsoft Dynamics 365 governo dos EUA recebeu uma Autoridade de Agência para operar do Departamento de Habitação e Desenvolvimento Urbano dos EUA, assim como Microsoft Office 365 governo dos EUA do Departamento de Saúde e Serviços Humanos dos EUA.

Para saber como o Microsoft Cloud ajuda os clientes a dar suporte ao HIPAA e aos requisitos HITECH, visite o Microsoft Customer Stories.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Azure DevOps Services
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Healthcare Serviço de Bot
  • Área de Trabalho Gerenciada da Microsoft
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Office 365, Office 365 governo dos EUA
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do Power BI como um serviço autônomo ou como incluído em um plano ou pacote de marca Office 365 ou Dynamics 365
  • Windows 365

Azure, Dynamics 365 e HIPAA

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta HIPAA do Azure.

Office 365 e HIPAA

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 add-on, Office 365 Customer Portal, Office 365 Microsserviços (incluindo, mas não se limitando a Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Serviço de Anotação de Consulta, Sincronização de Dados Escolares, Siphon, Fala, StaffHub, eXtensible Programa de Aplicativos), Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Criptografia de Serviço com Chave de Cliente do Microsoft Purview, SharePoint Online, Skype for Business, Stream
GCC Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Perguntas frequentes

Minha organização pode entrar em um BAA com a Microsoft?

Sim. A Microsoft oferece aos clientes associados de entidade e negócios cobertos um Contrato de Associação Comercial que abrange serviços microsoft no escopo.

O Contrato do Microsoft HIPAA Business Associate está disponível por meio do Adendo de Proteção de Dados dos Serviços Online da Microsoft por padrão para todos os clientes que são entidades cobertas ou associados comerciais sob HIPAA. Consulte 'Serviços de nuvem no escopo da Microsoft' nesta página da Web para obter a lista de serviços de nuvem cobertos por este BAA.

O Contrato de Associado comercial HIPAA também está disponível para serviços profissionais da Microsoft no escopo. Entre em contato com o representante dos serviços da Microsoft para obter mais informações.

Ter um Contrato de Associação comercial com a Microsoft garante a conformidade da minha organização com o HIPAA e o HITECH Act?

Não. Ao oferecer um Contrato de Associado comercial, a Microsoft ajuda a dar suporte à sua conformidade HIPAA. No entanto, o uso de serviços da Microsoft não alcança por conta própria a conformidade HIPAA. Sua organização é responsável por garantir que você tenha um programa de conformidade adequado e processos internos em vigor e que seu uso específico de serviços microsoft se alinha com suas obrigações sob HIPAA e a Lei HITECH.

A Microsoft pode usar o Contrato de Associado comercial da minha organização?

Não, a Microsoft não pode usar o Contrato de Associado comercial de um cliente. Como oferecemos serviços multilocatários e de hiperescala que são padronizados para todos os nossos clientes, devemos operar de maneira consistente. O Microsoft HIPAA Business Associate Agreement reflete de perto como operamos. Assim, para atender às necessidades do setor de saúde, a Microsoft colaborou com um consórcio de centros médicos acadêmicos e outras entidades do setor público e privado na área da saúde para criar um Contrato de Business Associate que se alinha com nossas ofertas de serviços em escala e atende às necessidades dos clientes.

Como posso obter cópias de relatórios de auditoria de terceiros?

O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Você pode usar o portal para solicitar relatórios de auditoria para que seus auditores possam comparar os resultados dos serviços de nuvem da Microsoft com seus próprios requisitos legais e regulatórios. Os clientes do Azure também podem recuperar certificados do Azure e relatórios de auditoria no portal do Azure por meio da folha relatórios de auditoria no Microsoft Defender for Cloud.

Como posso saber mais sobre como a Microsoft dá suporte à conformidade com o HIPAA e o HITECH Act?

Para ajudar os clientes nessa tarefa, a Microsoft publicou esta orientação:

  • As diretrizes de implementação do HIPAA/HITECH Act para o Azure para agentes de privacidade, segurança e conformidade e outros responsáveis pela implementação do HIPAA e do HITECH Act descrevem as etapas concretas que sua organização pode tomar para manter a conformidade.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos