Закон о переносимости и подотчетности медицинского страхования (HIPAA) & Закон о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH)

Статья
01/31/2024

Общие сведения о HIPAA и Законе HITECH

Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA) и правила, изданные в соответствии с HIPAA, представляют собой набор законов США о здравоохранении, устанавливающих требования к использованию, раскрытию и защите индивидуально идентифицируемой информации о здоровье. Область действия HIPAA была расширена с принятием в 2009 году Закона о информационных технологиях здравоохранения для экономического и клинического здравоохранения (HITECH).

HIPAA применяется к охваченным организациям (в частности, поставщикам медицинских услуг, планам здравоохранения и информационным хранилищам в области здравоохранения), которые создают, получают, поддерживают, передают или получают доступ к защищенной информации о здоровье пациентов (PHI). HIPAA также применяется к бизнес-партнерам охваченных сущностей, которые выполняют определенные функции или действия, связанные с PHI в рамках предоставления услуг охваченной сущности или от имени охваченного объекта.

Если охваченная сущность использует службы поставщика облачных служб, например Майкрософт, поставщик облачных служб будет бизнес-партнером в рамках HIPAA. Кроме того, когда бизнес связывает субподряд с поставщиком облачных служб для создания, получения, обслуживания или передачи PHI, поставщик облачных служб также становится бизнес-партнером.

Microsoft, HIPAA и HITECH Act

Правила HIPAA требуют, чтобы охваченные организации (определенные правилами) заключали соглашения с деловыми партнерами для обеспечения надлежащей защиты PHI. Это соглашение называется Соглашением о бизнес-партнере. Среди прочего, Соглашение о деловом партнере устанавливает разрешенное и требуемое использование и раскрытие PHI деловым партнером на основе отношений между сторонами и действий или услуг, выполняемых деловым партнером. Чтобы обеспечить соответствие наших клиентов требованиям HIPAA при использовании корпоративных продуктов и служб Майкрософт, корпорация Майкрософт будет заключать соглашения о бизнес-партнерах со своими клиентами, которыми охвачены субъекты и бизнес-партнеры.

В настоящее время не существует стандарта сертификации, утвержденного Департаментом здравоохранения и социальных служб для демонстрации соответствия требованиям HIPAA или HITECH Закона бизнес-партнера. Тем не менее, корпорация Майкрософт позволяет клиентам соблюдать требования HIPAA и HITECH, а также соблюдать требования правил безопасности HIPAA в качестве бизнес-партнера. Кроме того, корпорация Майкрософт заключает соглашения о бизнес-связях со своими клиентами, охватываемыми юридическими и бизнес-партнерами, для поддержки их соответствия обязательствам HIPAA.

Сторонние сертификации

Службы Майкрософт, охватываемые BAA, прошли аудит, проведенный аккредитованными независимыми аудиторами для сертификации Microsoft ISO/IEC 27001 и HITRUST CSF.

Корпоративные облачные службы Майкрософт также охватываются оценками FedRAMP. Microsoft Azure и Microsoft Azure для государственных организаций получили временные полномочия на работу от Совместного совета по авторизации FedRAMP; Microsoft Dynamics 365 для государственных организаций США получил агентство для работы от Министерства жилищного строительства и городского развития США, как и Microsoft Office 365 для правительства США от Министерства здравоохранения и социальных услуг США.

Чтобы узнать, как Microsoft Cloud помогает клиентам поддерживать HIPAA и требования HITECH, см. статью Microsoft Customer Stories.

Затрагиваемые облачные платформы и службы Майкрософт

Azure и Azure для государственных организаций
Azure DevOps Services
Dynamics 365 и Dynamics 365 для государственных организаций США
Intune
Microsoft Defender for Cloud Apps
Эксперты По поиску в Microsoft Defender
Эксперты Microsoft Defender для XDR
Служба Microsoft Healthcare Bot
Компьютеры, управляемые Майкрософт
Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
Office 365, Office 365 для государственных организаций США
Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
Облачная служба Power BI в качестве автономной службы или в составе плана или набора Office 365 или Dynamics 365
Windows 365

Azure, Dynamics 365 и HIPAA

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure HIPAA.

Office 365 и HIPAA

Среды Office 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие среды Office 365:

Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость	Затрагиваемые службы
Коммерческий сектор	Access Online, Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, защищенное хранилище клиентов, Delve, Exchange Online, Forms, Griffin, Диспетчер удостоверений, Диспетчер блокировки (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка office 365 Advanced Compliance, Office 365 Customer Portal, Микрослужбы Office 365 (включая, помимо прочего, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Службу заметок запросов, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive для бизнеса, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype для бизнеса, Stream
GCC	Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Применимость

Затрагиваемые службы

Коммерческий сектор

Access Online, Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, защищенное хранилище клиентов, Delve, Exchange Online, Forms, Griffin, Диспетчер удостоверений, Диспетчер блокировки (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка office 365 Advanced Compliance, Office 365 Customer Portal, Микрослужбы Office 365 (включая, помимо прочего, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Службу заметок запросов, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive для бизнеса, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype для бизнеса, Stream

GCC

Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Вопросы и ответы

Может ли моя организация войти в BAA с майкрософт?

Да. Корпорация Майкрософт предлагает своим клиентам, на которые распространяется покрытие сущностей и бизнес-партнеров, соглашение о бизнес-партнере, которое охватывает службы Майкрософт в области.

Соглашение Microsoft HIPAA Business Associate доступно через надстройку по защите данных Microsoft Online Services по умолчанию для всех клиентов, которые являются субъектами или деловыми партнерами в рамках HIPAA. Список облачных служб, охватываемых этим BAA, см. в разделе "Облачные службы Майкрософт в области" на этой веб-странице.

Соглашение HIPAA Business Associate также доступно для профессиональных служб Майкрософт. За дополнительными сведениями обратитесь к представителю служб Майкрософт.

Обеспечивает ли наличие соглашения о деловом партнере с корпорацией Майкрософт соответствие моей организации требованиям HIPAA и закону HITECH?

Нет. Предлагая Соглашение о бизнес-партнере, корпорация Майкрософт помогает поддерживать соответствие требованиям HIPAA. Однако при использовании служб Майкрософт самостоятельно не достигается соответствие HIPAA. Ваша организация несет ответственность за обеспечение того, чтобы у вас была соответствующая программа соответствия требованиям и внутренние процессы, а также что ваше конкретное использование служб Майкрософт соответствовало вашим обязательствам в соответствии с HIPAA и Законом HITECH.

Может ли корпорация Майкрософт использовать Соглашение о бизнес-партнере моей организации?

Нет, корпорация Майкрософт не может использовать Соглашение о бизнес-партнере клиента. Так как мы предлагаем гипермасштабируемые мультитенантные службы, которые стандартизированы для всех наших клиентов, мы должны работать согласованно. Соглашение Microsoft HIPAA Business Associate подробно отражает то, как мы работаем. Соответственно, в целях удовлетворения потребностей отрасли здравоохранения корпорация Майкрософт сотрудничала с консорциумом научных медицинских центров и другими организациями государственного и частного секторов в сфере здравоохранения, чтобы создать Соглашение о бизнес-партнере, которое соответствует нашим предложениям масштабируемых услуг и отвечает потребностям клиентов.

Как получить копии сторонних отчетов об аудите?

На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. С помощью портала можно запрашивать отчеты об аудите, чтобы аудиторы могли сравнивать результаты облачных служб Майкрософт с собственными юридическими и нормативными требованиями. Клиенты Azure также могут получать сертификаты Azure и отчеты об аудите на портале Azure с помощью колонки отчетов об аудите в Microsoft Defender для облака.

Как узнать больше о том, как корпорация Майкрософт поддерживает соответствие требованиям HIPAA и Закона HITECH?

Чтобы помочь клиентам в решении этой задачи, корпорация Майкрософт опубликовала следующее руководство:

Руководство по реализации закона HIPAA/HITECH для Azure для сотрудников по обеспечению конфиденциальности, безопасности и соответствия требованиям, а также других лиц, ответственных за реализацию закона HIPAA и HITECH, описывает конкретные шаги, которые ваша организация может предпринять для обеспечения соответствия требованиям.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция на портале соответствия требованиям Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Поделиться через