
Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (Health Insurance Portability and Accountability Act, HIPAA) poskytuje federální ochranu chráněných zdravotních informací (PHI) uchovávaných subjekty, na které se vztahuje, a dává pacientům řadu práv týkajících se těchto informací.
Předpisy HIPAA vyžadují, aby zahrnuté subjekty a jejich obchodní partneři, – v tomto případě společnost Esri, pokud poskytuje služby, včetně cloudových služeb, zahrnutým subjektům – uzavřeli smlouvy, které zajistí, že tito obchodní partneři budou odpovídajícím způsobem chránit PHI. Tyto smlouvy neboli Dohody o spolupráci s obchodními partnery (BAA) objasňují a omezují způsob, jakým může obchodní partner nakládat s PHI, a stanoví, že každá strana dodržuje ustanovení o bezpečnosti a ochraně osobních údajů stanovená v zákoně HIPAA a HITECH.
V současné době neexistuje žádná oficiální certifikace pro shodu s HIPAA nebo HITECH Act, namísto toho jsou níže uvedené služby Esri v souladu s bezpečnostními kontrolami NIST 800-53, které odpovídají standardům bezpečnostních pravidel HIPAA." ArcGIS Online a EMCS Advanced Plus mají oficiální oprávnění FedRAMP.
Rozsah služeb Esri
- Služby ArcGIS Online splňující HIPAA
- Esrii Managed Cloud Services EMCS Advanced
- Esri Managed Cloud Services (EMCS) Advanced Plus
Služby ArcGIS Online splňující HIPAA
Prvotní ArcGIS Online službou splňující HIPAA je konkrétně služba geokódování, která je k dispozici na adrese geocode.arcgis.com. Esri zde bude uvádět další služby splňující HIPAA, jakmile bude na základě poptávky zákazníků ověřen jejich soulad. Současná omezení a požadavky spojené se službou geokódování splňující HIPAA zahrnují: maintenance podpory pouze pro občany Spojených států, geokódování adres pouze ve Spojených státech a žádné volání klíčů API (jsou přijatelné pouze přihlášení do aplikace nebo uživatelské účty). Vzhledem k tomu, že se jedná o víceklientskou nabídku softwaru jako služby (SaaS), která je stejná pro všechny zákazníky, Esri neupravuje ArcGIS Online HIPAA BAA pro specifické požadavky zákazníků.
EMCS Advanced a Advanced Plus
Spravované cloudové služby Esri Managed Cloud Services (EMCS) Advanced a Advanced Plus představují jednoklientskou nabídku ArcGIS Enterprise prostřednictvím Esri Professional Services. EMCS Advanced a Advanced Plus nabízí možnost vyjednávání s podmínkami organizace BAA, ale ve výchozím nastavení využívá také Esri HIPAA BAA.
Odpovědi na otázky ohledně ArcGIS HIPAA
Níže najdete nejčastější otázky týkající se ArcGIS a HIPAA:
Může organizace uzavřít s Esri smlouvu o obchodním partnerovi HIPAA (BAA) pro konkrétní předplatné ArcGIS Online?
Ano. Esri nabízí kvalifikovaným společnostem nebo jejich dodavatelům smlouvu BAA, která se vztahuje na služby ArcGIS Online a/nebo EMCS Advanced a Advanced Plus splňující HIPAA a související maintenance. Smlouvu BAA společnosti Esri si můžete vyžádat prostřednictvím svého správce účtu.
Jaké služby mohu ve své organizaci ArcGIS Online používat, pokud mám s Esri uzavřenou smlouvu BAA?
Můžete používat jakékoli služby ArcGIS Online určené jako součást účtu organizace HIPAA, ale měly by zpracovávat, ukládat a přenášet pouze chráněné zdravotní informace (PHI) v rámci služeb splňujících HIPAA definovaných ve smlouvě BAA.
Bude Esri souhlasit s použitím smlouvy BAA mé organizace?
Ne pro ArcGIS Online. Esri nemůže změnit smlouvu HIPAA BAA, protože ArcGIS Online je víceklientská nabídka softwaru jako služby (SaaS), která je jednotná pro všechny zákazníky. Esri musí dodržovat stejné postupy pro všechny. Aby se minimalizovaly problémy, společnost Esri již přezkoumala a zapracovala podněty ze smluv BAA zákazníků a jiných poskytovatelů SaaS střední a velké velikosti.
EMCS Advanced a Advanced Plus nabízí možnost vyjednávání s podmínkami organizace BAA, ale ve výchozím nastavení využívá také Esri HIPAA BAA.
Pokud zákazník musí používat vlastní smlouvu BAA nebo vyžaduje výrazné přizpůsobení BAA společnosti Esri, doporučujeme, aby se obrátil na svého správce účtu a zvážil své specializované potřeby mimo ArcGIS Online, například při lokalizovaném nasazení (on-premises) ArcGIS Enterprise nebo EMCS Advanced a Advanced Plus.
Znamená uzavření smlouvy BAA s Esri, že je organizace v souladu se zákonem HIPAA a HITECH?
Ne, samo o sobě ne. Dodržování předpisů HIPAA zahrnuje několik povinností subjektu, na který se vztahuje – zdravotnické organizace pracující s citlivými údaji. Tím, že Esri nabízí smlouvu BAA, pomáhá podporovat soulad s HIPAA, ale používání služeb Esri samo o sobě soulad nezajišťuje. Zákazníci jsou odpovědní za to, že mají zaveden odpovídající program dodržování standardů a interní procesy, a že jejich konkrétní využívání služeb Esri je v souladu se zákony HIPAA a HITECH. Jde o víc než jen o software a služby; jde o ucelený proces, který má zabránit narušení soukromí.
Jak může organizace vyhodnotit riziko své konfigurace ArcGIS Online?
Organizace mohou posoudit riziko své konfigurace ArcGIS Online s využitím několika zdrojů a nástrojů poskytovaných společností Esri. Společnost Esri nabízí prostředky, jako je dotazník iniciativy pro konsensuální hodnocení (Consensus Assessments Initiative Questionnaire, CAIQ) organizace CSA (Cloud Security Alliance) a podrobné informace dostupné na webu Esri Trust Center, které poskytují přehled o bezpečnostních postupech a kontrolách společnosti Esri. Organizace si mohou ověřit, zda Esri splňuje požadavky FedRAMP, a prohlédnout si oprávnění FedRAMP, které je k dispozici na FedRAMP Marketplace. Kromě toho mohou organizace provádět vlastní testování zabezpečení podle podmínek smlouvy ESRI Security Assessment Agreement (SAA), která umožňuje technické ověření konfigurace ArcGIS Online. Pro průběžný přehled o zabezpečení a ochraně soukromí poskytuje Esri nástroj ArcGIS Security Adviser, který umožňuje správcům organizace provádět v reálném čase hodnocení stavu zabezpečení ArcGIS Online a pomáhá jim rychle identifikovat a řešit potenciální bezpečnostní problémy.
Jaká podpora nebo maintenance je k dispozici u online smlouvy BAA společnosti Esri?
Vzhledem k tomu, že v USA platí regulační požadavek pro elektronicky chráněné zdravotní informace (ePHI), budou zákazníci, kteří podepíší BAA, zpočátku využívat podporu Esri pouze pro osoby ve Spojených státech. Na základě poptávky může být v budoucnu rozšířena na standardní globální podporu. Za standardních podmínek provozní zdroje ani zdroje zákaznické podpory nezobrazují datové sady zákazníků ArcGIS Online. Pokud zákazník zjistí, že potřebuje pomoc podpory Esri při přístupu, stahování nebo prohlížení datové sady související s předplatným ArcGIS Online, na které se vztahuje smlouva BAA, bude Esri kontaktovat předem určený zdroj ochrany osobních údajů zákazníka za účelem autorizace přístupu.
Co když služby, které chci, v současné době nesplňují HIPAA?
Esri bude i nadále přidávat služby, které splňují HIPAA, a tato stránka bude aktualizována podle toho, jak se bude rozšiřovat seznam služeb splňujících HIPAA. Doporučujeme, aby zákazníci s okamžitými potřebami služeb, které nesplňují HIPAA, využili tuto nabídku ArcGIS Enterprise k doplnění potřebných online služeb.
Zdroje
- Správa zdravotnických informací v GIS (veřejné)
- Ověření osvědčených postupů pomocí nástroje Security Advisor (veřejný nástroj Trust Center)
- Shrnutí pravidel ochrany soukromí HIPAA (veřejné)