Der Health Insurance Portability and Accountability Act (HIPAA) bietet einen US-weiten Schutz für personenbezogene Gesundheitsinformationen (PHI, Personal Health Information), die sich im Besitz der betroffenen Einrichtungen befinden, und gibt den Patienten eine Reihe von Rechten in Bezug auf diese Informationen.
Die HIPAA-Bestimmungen verlangen, dass betroffene Einrichtungen und ihre Geschäftspartner – in diesem Fall Esri, wenn es Services, einschließlich Cloudservices, für betroffene Einrichtungen bereitstellt – Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI angemessen schützen. Diese Verträge oder BAAs (Business Associate Agreements, Geschäftspartnervereinbarungen) klären und begrenzen, wie der Geschäftspartner mit PHI umgehen kann, und legen die Einhaltung der Sicherheits- und Datenschutzbestimmungen des HIPAA und des HITECH Act durch beide Parteien fest.
Derzeit gibt es keine offizielle Zertifizierung für die Compliance mit HIPAA oder dem HITECH Act. Stattdessen sind die folgenden Esri Services von der FedRAMP Moderate Agency autorisiert und nutzen NIST 800-53 Sicherheitskontrollen, die den HIPAA-Sicherheitsrichtlinien entsprechen.
Relevante Services von Esri
HIPAA-Services für ArcGIS Online
Der erste HIPAA-konforme Service für ArcGIS Online von Esri ist insbesondere der Geokodierungsservice, der unter "geocode.arcgis.com" verfügbar ist. Esri listet hier künftig weitere HIPAA-konforme Services auf, sobald sie auf der Grundlage der Kundennachfrage für die Anpassung validiert werden. Zu den aktuellen Beschränkungen und Anforderungen im Zusammenhang mit dem HIPAA-konformen Geokodierungsservice gehören die Wartung nur für US-Bürger, die Geokodierung nur für Adressen in den Vereinigten Staaten und keine Aufrufe von API-Schlüsseln (nur App-Anmeldungen oder Benutzerkonten sind zulässig). Da es sich um ein multimandantenfähiges Software-as-a-Service-Angebot (SaaS) handelt, das für alle Kunden einheitlich ist, kann Esri das HIPAA-BAA für ArcGIS Online nicht an individuelle Kundenanforderungen anpassen.
EMCS Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced Plus ist ein ArcGIS Enterprise-Angebot für einzelne Mandanten im Rahmen von Esri Professional Services. EMCS Advanced Plus bietet die Möglichkeit, über die BAA-Bestimmungen einer Organisation zu verhandeln, verwendet aber standardmäßig auch das Esri HIPAA-BAA.
FAQ zu ArcGIS HIPAA
Im Folgenden finden Sie eine Liste mit häufig gestellten Fragen zu ArcGIS und HIPAA:
Kann eine Organisation eine HIPAA-Geschäftspartnervereinbarung (BAA) mit Esri für eine bestimmte ArcGIS Online-Subskription eingehen?
Ja. Esri bietet Unternehmen, die die nötigen Voraussetzungen erfüllen, und deren Zulieferern ein BAA an, das HIPAA-konforme ArcGIS Online- und/oder EMCS Advanced Plus-Services und die damit verbundene Wartung abdeckt. Das BAA von Esri kann über Ihren Kundenbetreuer angefordert werden. Dies gilt für die meisten Organisationen des US-Gesundheitswesens, Krankenhäuser und Krankenversicherungen. US-Bundesbehörden und US-Verteidigungsorganisationen sind jedoch erst dann für das Esri BAA qualifiziert, wenn ArcGIS Online über eine FedRAMP-Autorisierung der Stufe "Moderate" verfügt, die für 2022 geplant ist.
Welche Services kann ich in meiner ArcGIS Online-Organisation verwenden, wenn ich ein BAA mit Esri habe?
Sie können alle ArcGIS Online-Services verwenden, die Bestandteil eines HIPAA-Organisationskontos sind, aber diese sollten nur geschützte Gesundheitsinformationen (PHI) in den im BAA definierten HIPAA-konformen Services verarbeiten, speichern und übertragen.
Stimmt Esri zu, stattdessen das BAA meiner Organisation zu verwenden?
Nicht bei ArcGIS Online. Esri kann das HIPAA-BAA nicht ändern, da ArcGIS Online ein multimandantenfähiges Software-as-a-Service-Angebot (SaaS) ist, das für alle Kunden einheitlich ist. Esri muss für alle die gleichen Verfahren anwenden. Um Probleme zu minimieren, hat Esri bereits die BAAs von Kunden und anderen mittleren bis großen SaaS-Providern geprüft und deren Anregungen berücksichtigt.
EMCS Advanced Plus bietet die Möglichkeit, über die BAA-Bestimmungen einer Organisation zu verhandeln, verwendet aber standardmäßig auch das Esri HIPAA-BAA.
Wenn ein Kunde sein eigenes BAA verwenden muss oder eine signifikante Anpassung des BAA von Esri benötigt, wird empfohlen, dass der Kunde sich mit dem Professional Services Team in Verbindung setzt, um seine speziellen Bedürfnisse außerhalb von ArcGIS Online zu berücksichtigen, wie z. B. bei einer lokalen Bereitstellung oder EMCS Advanced Plus-Bereitstellung von ArcGIS Enterprise.
Bedeutet das Vorhandensein eines BAA mit Esri, dass eine Organisation dem HIPAA und dem HITECH Act entspricht?
Nein, nicht automatisch. Die HIPAA-Compliance beinhaltet mehrere Pflichten für die betreffende Einrichtung – die Gesundheitsorganisation, die mit sensiblen Daten arbeitet. Durch das Angebot eines BAA unterstützt Esri Ihre HIPAA-Compliance, aber durch die Nutzung von Esri Services allein wird noch keine Compliance erreicht. Die Kunden sind dafür verantwortlich, dass sie über ein adäquates Compliance-Programm und interne Prozesse verfügen und dass ihre jeweilige Nutzung von Esri Services mit dem HIPAA und dem HITECH Act in Einklang steht. Es geht um mehr als nur die Software und Services. Es handelt sich um einen ganzheitlichen Prozess zur Vermeidung von Datenschutzverletzungen.
Wie kann eine Organisation das Risiko ihrer ArcGIS Online-Konfiguration bewerten?
Erstens können Kunden den jährlichen FedRAMP-Bewertungsbericht von Esri nach Abschluss einer Geheimhaltungsvereinbarung (Non-Disclosure Agreement, NDA) oder durch Zugriff auf die FedRAMP-Autorisierungspakete, die unter connect.gov verfügbar sind, erhalten. Zweitens können Kunden Sicherheitstests gemäß den Bedingungen eines Esri Security Assessment Agreement (SAA) durchführen, um ihr Angebot technisch zu validieren. Schließlich hat Esri das Werkzeug ArcGIS Security Advisor entwickelt, mit dem der Administrator einer Organisation jederzeit eine rote, gelbe und grüne Zusammenfassung abrufen kann.
Welcher Support oder welche Wartung ist mit dem Online-BAA von Esri verfügbar?
Aufgrund der in den USA geltenden Vorschriften für elektronische private Gesundheitsinformationen (ePHI) können Kunden, die ein BAA unterzeichnen, zunächst nur den auf die Vereinigte Staaten beschränkten Support von Esri nutzen. Dies kann künftig bei Bedarf auf den globalen Standard Support ausgeweitet werden. Unter Standardbedingungen haben sowohl die Betriebs- als auch die Customer Support-Ressourcen keinen Einblick in ArcGIS Online-Kunden-Datasets. Wenn ein Kunde feststellt, dass er die Unterstützung des Esri Support benötigt, um auf ein Dataset zuzugreifen, es herunterzuladen oder anzuzeigen, das mit einer ArcGIS Online-Subskription verbunden ist, die von einem BAA abgedeckt wird, kontaktiert Esri die zuvor identifizierte Datenschutzressource des Kunden, um den Zugriff zu autorisieren.
Was ist, wenn die von mir benötigten Services derzeit nicht HIPAA-konform sind?
Esri wird weiterhin Services hinzufügen, die HIPAA-konform sind, und diese Seite wird aktualisiert, sobald die Liste der HIPAA-konformen Services erweitert wird. Kunden mit unmittelbarem Servicebedarf, der nicht HIPAA-konform ist, wird empfohlen, das ArcGIS Enterprise-Angebot nutzen, um ihren Online-Servicebedarf zu ergänzen.
Ressourcen
- Managing GIS Healthcare Information (öffentlich)
- Validate Best Practices with Security Advisor Tool (öffentliches Trust Center-Tool)
- Summary of HIPAA Privacy Rule (öffentlich)