Закон о переносимости и подотчетности медицинского страхования (HIPAA) & Закон о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH)

Статья
01/31/2024

Общие сведения о HIPAA и Законе HITECH

Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA) и правила, изданные в соответствии с HIPAA, представляют собой набор законов США о здравоохранении, устанавливающих требования к использованию, раскрытию и защите индивидуально идентифицируемой информации о здоровье. Область HIPAA была расширена с принятием в 2009 году Закона о информационных технологиях здравоохранения для экономического и клинического здравоохранения (HITECH).

HIPAA применяется к охваченным организациям (в частности, поставщикам медицинских услуг, планам здравоохранения и информационным хранилищам в области здравоохранения), которые создают, получают, поддерживают, передают или получают доступ к защищенной информации о здоровье пациентов (PHI). HIPAA также применяется к бизнес-партнерам охваченных сущностей, которые выполняют определенные функции или действия, связанные с PHI в рамках предоставления услуг охваченной сущности или от имени охваченного объекта.

Если охваченная сущность использует службы поставщика облачных служб, например Майкрософт, поставщик облачных служб будет бизнес-партнером в рамках HIPAA. Кроме того, когда бизнес связывает субподряд с поставщиком облачных служб для создания, получения, обслуживания или передачи PHI, поставщик облачных служб также становится бизнес-партнером.

Microsoft, HIPAA и HITECH Act

Правила HIPAA требуют, чтобы охваченные организации (определенные правилами) заключали соглашения с деловыми партнерами для обеспечения надлежащей защиты PHI. Это соглашение называется Соглашением о бизнес-партнере. Среди прочего, Соглашение о деловом партнере устанавливает разрешенное и требуемое использование и раскрытие PHI деловым партнером на основе отношений между сторонами и действий или услуг, выполняемых деловым партнером. Чтобы обеспечить соответствие наших клиентов требованиям HIPAA при использовании корпоративных продуктов и служб Майкрософт, корпорация Майкрософт будет заключать соглашения о бизнес-партнерах со своими клиентами, которыми охвачены субъекты и бизнес-партнеры.

В настоящее время не существует стандарта сертификации, утвержденного Департаментом здравоохранения и социальных служб для демонстрации соответствия требованиям HIPAA или HITECH Закона бизнес-партнера. Тем не менее, корпорация Майкрософт позволяет клиентам соблюдать требования HIPAA и HITECH, а также соблюдать требования правил безопасности HIPAA в качестве бизнес-партнера. Кроме того, корпорация Майкрософт заключает соглашения о бизнес-связях со своими клиентами, охватываемыми юридическими и бизнес-партнерами, для поддержки их соответствия обязательствам HIPAA.

Сторонние сертификации

Службы Майкрософт, охватываемые BAA, прошли аудит, проведенный аккредитованными независимыми аудиторами для сертификации Microsoft ISO/IEC 27001 и HITRUST CSF.

Корпоративные облачные службы Майкрософт также охватываются оценками FedRAMP. Microsoft Azure и Microsoft Azure для государственных организаций получили временные полномочия для работы от Совместного совета по авторизации FedRAMP; Microsoft Dynamics 365 правительства США получил от Министерства жилищного строительства и городского развития США агентство, а также Microsoft Office 365 правительства США от Министерства здравоохранения и социальных служб США.

Чтобы узнать, как Microsoft Cloud помогает клиентам поддерживать HIPAA и требования HITECH, см. статью Microsoft Customer Stories.

Затрагиваемые облачные платформы и службы Майкрософт

Azure и Azure для государственных организаций
Azure DevOps Services
Dynamics 365 и Dynamics 365 для государственных организаций США
Intune
Microsoft Defender for Cloud Apps
Эксперты Microsoft Defender по охоте на угрозы (компонент веб-службы)
Microsoft Defender эксперты по XDR (компонент веб-службы)
Microsoft Healthcare Служба Bot
Компьютеры, управляемые Майкрософт
Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
Office 365, Office 365 правительство США
Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
Облачная служба Power BI в качестве автономной службы или в составе Office 365 или Dynamics 365 фирменного плана или набора
Windows 365

Azure, Dynamics 365 и HIPAA

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в разделе Предложение Azure HIPAA.

Office 365 и HIPAA

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость	Затрагиваемые службы
Коммерческий сектор	Access Online, Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, клиентский замок, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, службу заметок запросов, синхронизацию школьных данных, Siphon, речь, StaffHub, eXtensible Программа приложений), Центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power BI, Project Online, шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса, Stream
GCC	Microsoft Entra ID, Служба коммуникаций Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка Центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Применимость

Затрагиваемые службы

Коммерческий сектор

Access Online, Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, клиентский замок, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, службу заметок запросов, синхронизацию школьных данных, Siphon, речь, StaffHub, eXtensible Программа приложений), Центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power BI, Project Online, шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса, Stream

GCC

Microsoft Entra ID, Служба коммуникаций Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка Центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Вопросы и ответы

Может ли моя организация войти в BAA с майкрософт?

Да. Корпорация Майкрософт предлагает своим клиентам покрываемых сущностей и бизнес-партнеров Соглашение о бизнес-партнере, которое распространяется на область службы Майкрософт.

Соглашение Microsoft HIPAA Business Associate доступно через надстройку по защите данных Microsoft Online Services по умолчанию для всех клиентов, которые являются субъектами или деловыми партнерами в рамках HIPAA. Список облачных служб, охватываемых этим BAA, см. в разделе Microsoft in-область облачные службы на этой веб-странице.

Соглашение HIPAA Business Associate также доступно для область профессиональных служб Майкрософт. За дополнительными сведениями обратитесь к представителю служб Майкрософт.

Обеспечивает ли наличие соглашения о деловом партнере с корпорацией Майкрософт соответствие моей организации требованиям HIPAA и закону HITECH?

Нет. Предлагая Соглашение о бизнес-партнере, корпорация Майкрософт помогает поддерживать соответствие требованиям HIPAA. Однако при использовании служб Майкрософт самостоятельно не достигается соответствие HIPAA. Ваша организация несет ответственность за обеспечение того, чтобы у вас была соответствующая программа соответствия требованиям и внутренние процессы, а также что ваше конкретное использование служб Майкрософт соответствовало вашим обязательствам в соответствии с HIPAA и Законом HITECH.

Может ли корпорация Майкрософт использовать Соглашение о бизнес-партнере моей организации?

Нет, корпорация Майкрософт не может использовать Соглашение о бизнес-партнере клиента. Так как мы предлагаем гипермасштабируемые мультитенантные службы, которые стандартизированы для всех наших клиентов, мы должны работать согласованно. Соглашение Microsoft HIPAA Business Associate подробно отражает то, как мы работаем. Соответственно, в целях удовлетворения потребностей отрасли здравоохранения корпорация Майкрософт сотрудничала с консорциумом научных медицинских центров и другими организациями государственного и частного секторов в сфере здравоохранения, чтобы создать Соглашение о бизнес-партнере, которое соответствует нашим предложениям масштабируемых услуг и отвечает потребностям клиентов.

Как получить копии сторонних отчетов об аудите?

На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. С помощью портала можно запрашивать отчеты об аудите, чтобы аудиторы могли сравнивать результаты облачных служб Майкрософт с собственными юридическими и нормативными требованиями. Клиенты Azure также могут получать сертификаты Azure и отчеты об аудите в портал Azure с помощью колонки отчетов об аудите в Microsoft Defender для облака.

Как узнать больше о том, как корпорация Майкрософт поддерживает соответствие требованиям HIPAA и Закона HITECH?

Чтобы помочь клиентам в решении этой задачи, корпорация Майкрософт опубликовала следующее руководство:

Руководство по реализации закона HIPAA/HITECH для Azure для сотрудников по обеспечению конфиденциальности, безопасности и соответствия требованиям, а также других лиц, ответственных за реализацию закона HIPAA и HITECH, описывает конкретные шаги, которые ваша организация может предпринять для обеспечения соответствия требованиям.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.