Skip To Content

HIPAA

Logo HIPAA

Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (Health Insurance Portability and Accountability Act, HIPAA) poskytuje federální ochranu osobních zdravotních informací (PHI) uchovávaných subjekty, na které se vztahuje, a dává pacientům řadu práv týkajících se těchto informací.

Předpisy HIPAA vyžadují, aby zahrnuté subjekty a jejich obchodní partneři, – v tomto případě společnost Esri, pokud poskytuje služby, včetně cloudových služeb, zahrnutým subjektům – uzavřeli smlouvy, které zajistí, že tito obchodní partneři budou odpovídajícím způsobem chránit PHI. Tyto smlouvy neboli Dohody o spolupráci s obchodními partnery (BAA) objasňují a omezují způsob, jakým může obchodní partner nakládat s PHI, a stanoví, že každá strana dodržuje ustanovení o bezpečnosti a ochraně osobních údajů stanovená v zákoně HIPAA a HITECH.

V současné době neexistuje žádná oficiální certifikace pro soulad se zákonem HIPAA nebo HITECH, místo toho jsou níže uvedené služby Esri autorizovány agenturou FedRAMP Moderate Agency s využitím bezpečnostních kontrol NIST 800-53, které jsou v souladu s bezpečnostními pravidly HIPAA.

Rozsah služeb Esri

Služby ArcGIS Online splňující HIPAA

Prvotní ArcGIS Online službou splňující HIPAA je konkrétně služba geokódování, která je k dispozici na adrese geocode.arcgis.com. Esri zde bude uvádět další služby splňující HIPAA, jakmile bude na základě poptávky zákazníků ověřen jejich soulad. Současná omezení a požadavky spojené se službou geokódování splňující HIPAA zahrnují: maintenance podpory pouze pro občany Spojených států, geokódování adres pouze ve Spojených státech a žádné volání klíčů API (jsou přijatelné pouze přihlášení do aplikace nebo uživatelské účty). Vzhledem k tomu, že se jedná o víceklientskou nabídku softwaru jako služby (SaaS), která je stejná pro všechny zákazníky, Esri neupravuje ArcGIS Online HIPAA BAA pro specifické požadavky zákazníků.

EMCS Advanced Plus

Spravované cloudové služby Esri Managed Cloud Services (EMCS) Advanced Plus představují jednoklientskou nabídku ArcGIS Enterprise prostřednictvím Profesionálních služeb Esri. EMCS Advanced Plus nabízí možnost vyjednávání s podmínkami organizace BAA, ale ve výchozím nastavení využívá také Esri HIPAA BAA.

Odpovědi na otázky ohledně ArcGIS HIPAA

Níže najdete nejčastější otázky týkající se ArcGIS a HIPAA:

Může organizace uzavřít s Esri smlouvu o obchodním partnerovi HIPAA (BAA) pro konkrétní předplatné ArcGIS Online?

Ano. Esri nabízí kvalifikovaným společnostem nebo jejich dodavatelům smlouvu BAA, která se vztahuje na služby ArcGIS Online a/nebo EMCS Advanced Plus splňující HIPAA a související maintenance. Smlouvu BAA společnosti Esri si můžete vyžádat prostřednictvím svého správce účtu. To se bude týkat většiny veřejných zdravotnických organizací, nemocnic a zdravotních pojišťoven, nicméně americké federální úřady a organizace obrany USA nejsou způsobilé pro Esri BAA, dokud ArcGIS Online nezíská oprávnění FedRAMP Moderate, které je v plánu na rok 2022.

Jaké služby mohu ve své organizaci ArcGIS Online používat, pokud mám s Esri uzavřenou smlouvu BAA?

Můžete používat jakékoli služby ArcGIS Online určené jako součást účtu organizace HIPAA, ale měly by zpracovávat, ukládat a přenášet pouze chráněné zdravotní informace (PHI) v rámci služeb splňujících HIPAA definovaných ve smlouvě BAA.

Bude Esri souhlasit s použitím smlouvy BAA mé organizace?

Ne pro ArcGIS Online. Esri nemůže změnit smlouvu HIPAA BAA, protože ArcGIS Online je víceklientská nabídka softwaru jako služby (SaaS), která je jednotná pro všechny zákazníky. Esri musí dodržovat stejné postupy pro všechny. Aby se minimalizovaly problémy, společnost Esri již přezkoumala a zapracovala podněty ze smluv BAA zákazníků a jiných poskytovatelů SaaS střední a velké velikosti.

EMCS Advanced Plus nabízí možnost vyjednávání s podmínkami organizace BAA, ale ve výchozím nastavení využívá také Esri HIPAA BAA.

Pokud zákazník musí používat vlastní smlouvu BAA nebo vyžaduje výrazné přizpůsobení smlouvy BAA společnosti Esri, doporučujeme, aby kontaktoval tým profesionálních služeb a zvážil své specializované potřeby mimo ArcGIS Online, například při místním nasazení nebo zavedení EMCS Advanced Plus pro ArcGIS Enterprise.

Znamená uzavření smlouvy BAA s Esri, že je organizace v souladu se zákonem HIPAA a HITECH?

Ne, samo o sobě ne. Dodržování předpisů HIPAA zahrnuje několik povinností subjektu, na který se vztahuje – zdravotnické organizace pracující s citlivými údaji. Tím, že Esri nabízí smlouvu BAA, pomáhá podporovat soulad s HIPAA, ale používání služeb Esri samo o sobě soulad nezajišťuje. Zákazníci jsou odpovědní za to, že mají zaveden odpovídající program dodržování standardů a interní procesy, a že jejich konkrétní využívání služeb Esri je v souladu se zákony HIPAA a HITECH. Jde o víc než jen o software a služby; jde o ucelený proces, který má zabránit narušení soukromí.

Jak může organizace vyhodnotit riziko své konfigurace ArcGIS Online?

Za prvé, zákazníci mohou získat výroční zprávu Esri o hodnocení FedRAMP třetí stranou na základě dohody o mlčenlivosti (NDA) nebo přístupem k autorizačním balíčkům FedRAMP, které jsou k dispozici na stránkách connect.gov. Za druhé, zákazníci mohou provést testování zabezpečení podle podmínek smlouvy Esri Security Assessment Agreement (SAA), aby provedli technické ověření své nabídky. Za třetí, Esri vytvořila nástroj ArcGIS Security Advisor, který může správce organizace kdykoli použít, aby zjistil stav zabezpečení a případná rizika.

Jaká podpora nebo maintenance je k dispozici u online smlouvy BAA společnosti Esri?

V souladu s regulacemi platnými v USA pro elektronické soukromé zdravotní informace (ePHI) budou zákazníci, kteří podepíší smlouvu BAA, zpočátku využívat podporu Esri pouze pro osoby ve Spojených státech. Na základě poptávky může být v budoucnu rozšířena na standardní globální podporu. Za standardních podmínek provozní zdroje ani zdroje zákaznické podpory nezobrazují datové sady zákazníků ArcGIS Online. Pokud zákazník zjistí, že potřebuje pomoc podpory Esri při přístupu, stahování nebo prohlížení datové sady související s předplatným ArcGIS Online, na které se vztahuje smlouva BAA, bude Esri kontaktovat předem určený zdroj ochrany osobních údajů zákazníka za účelem autorizace přístupu.

Co když služby, které chci, v současné době nesplňují HIPAA?

Esri bude i nadále přidávat služby, které splňují HIPAA, a tato stránka bude aktualizována podle toho, jak se bude rozšiřovat seznam služeb splňujících HIPAA. Doporučujeme, aby zákazníci s okamžitými potřebami služeb, které nesplňují HIPAA, využili tuto nabídku ArcGIS Enterprise k doplnění potřebných online služeb.

Zdroje