La Regla de privacidad de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) ofrece protección federal sobre información médica personal (PHI) en poder de entidades cubiertas y otorga a los pacientes un conjunto de derechos relacionados con esa información.
Las normativas de la HIPAA requieren que las entidades cubiertas y sus socios comerciales (en este caso, Esri cuando proporciona servicios, incluidos los servicios en la nube, a las entidades cubiertas) celebren contratos para garantizar que dichos socios comerciales protegerán adecuadamente la PHI. Dichos contratos, o Acuerdo de socio comercial (BAA, por sus siglas en inglés), aclaran y limitan la manera en que el socio comercial puede administrar la PHI y expone la conformidad de cada parte con las disposiciones de seguridad y privacidad establecidas en la HIPAA y la ley HITECH estadounidenses.
Actualmente, no hay certificación oficial para el cumplimiento con la HIPAA o la ley HITECH; en su lugar, los siguientes servicios de Esri han obtenido la autorización FedRAMP Moderate de la agencia mediante el uso de controles de seguridad NIST 800-53 que se refieren a los estándares de las normas de seguridad de la HIPAA."
Servicios de Esri pertinentes
Servicios de ArcGIS Online según la HIPAA
El servicio de ArcGIS Online apto según la HIPAA inicial de Esri es específicamente su servicio de geocodificación, disponible en geocode.arcgis.com. Esri enumerará los servicios aptos adicionales según la HIPAA aquí, ya que se validan para su adecuación según la demanda de los clientes. Las restricciones y requisitos actuales asociados al servicio de geocodificación apto según la HIPAA incluyen únicamente el Mantenimiento de la compatibilidad para ciudadanos de Estados Unidos, solo Geocodificación para direcciones de Estados Unidos y llamadas sin clave API (cuentas de usuarios o inicios de sesión en aplicaciones son aceptables). Como oferta de software como servicio (SaaS) multiusuario uniforme para todos los clientes, Esri no puede modificar el BAA de la HIPAA de ArcGIS Online para adecuarlo a los requisitos particulares de los clientes.
EMCS Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced Plus es una oferta de ArcGIS Enterprise de inquilino único de los servicios profesionales de Esri. EMCS Advanced Plus ofrece la capacidad de negociar los términos de BAA con la organización, pero también utiliza el BAA de la HIPAA de Esri de manera predeterminada.
Preguntas frecuentes la HIPAA con respecto a ArcGIS Pro
A continuación, se muestran algunas preguntas frecuentes acerca de ArcGIS e HIPAA:
¿Puede una organización llegar a un Acuerdo de socio comercial (BAA) de la HIPAA con Esri para una suscripción a ArcGIS Online específica?
Sí. Esri ofrece a las empresas cualificadas o a sus proveedores un BAA que abarca servicios de ArcGIS Online aptos según la HIPAA o EMCS Advanced Plus y su mantenimiento asociado. Puede solicitar a la BAA de Esri a través del administrador de su cuenta. Esto se aplica a la mayoría de organizaciones de salud pública, hospitales y compañías de seguros médicos; sin embargo, las agencias federales de EE. UU. y las organizaciones de defensa de EE. UU. no están cualificadas para el BAA de Esri hasta que ArcGIS Online tenga una autorización FedRAMP Moderate, que se encuentra en la hoja de ruta para 2022.
¿Qué servicios puedo usar en mi organización de ArcGIS Online si tengo un BAA con Esri?
Puede utilizar cualquier servicio de ArcGIS Online designado como parte de una cuenta de organización de HIPAA, pero solo deben procesar, almacenar y transmitir información médica protegida (PHI) en los servicios aptos según la HIPAA definidos en el BAA.
¿Esri aceptará utilizar el BAA de mi organización en su lugar?
Para ArcGIS Online, no. Esri no puede modificar el BAA de la HIPAA, porque ArcGIS Online es una oferta de software como servicio (SaaS) multiusuario uniforme para todos los clientes. Esri debe seguir los mismos procedimientos para todos. Para minimizar los problemas, Esri ya ha revisado e incorporado información de varios BAA de clientes y de otros proveedores medianos y grandes de SaaS.
EMCS Advanced Plus ofrece la capacidad de negociar los términos de BAA con la organización, pero también utiliza el BAA de la HIPAA de Esri de manera predeterminada.
Si un cliente debe utilizar su propio BAA o requiere una personalización significativa del BAA de Esri, se recomienda que el cliente se ponga en contacto con el equipo de Servicios profesionales para tener en cuenta sus necesidades especializadas fuera de ArcGIS Online, como con una implementación de EMCS Advanced Plus o local de ArcGIS Enterprise.
¿Tener un BAA con Esri indica que una organización cumple la HIPAA y la ley HITECH?
No, no por sí solo. El cumplimiento con la HIPAA implica varias responsabilidades para la entidad cubierta, la organización sanitaria que trabaja con datos confidenciales. Al ofrecer un BAA, Esri le ayuda con el cumplimiento con la HIPAA, pero el mero uso de los servicios de Esri no garantiza el cumplimiento. Los clientes son responsables de asegurarse de que disponen de un programa de cumplimiento y procesos internos adecuados, y de que su uso particular de los servicios de Esri se ajusta a la HIPAA y la ley HITECH. Es más que el software y los servicios; es un proceso holístico para prevenir una infracción de privacidad.
¿Cómo puede una organización evaluar el riesgo de su configuración de ArcGIS Online?
En primer lugar, los clientes pueden obtener el informe de evaluación externa anual de FedRAMP de Esri mediante un acuerdo de confidencialidad (NDA, por sus siglas en inglés) o accediendo a los paquetes de autorización de FedRAMP que se encuentran disponibles en connect.gov. En segundo lugar, los clientes pueden implementar pruebas de seguridad según los términos de un Acuerdo de evaluación de seguridad (SAA, por sus siglas en inglés) de Esri para realizar validaciones técnicas de su oferta. Por último, Esri ha creado la herramienta Supervisor de seguridad de ArcGIS que el administrador de la organización puede utilizar para acceder a un resumen rojo, amarillo y verde en cualquier momento.
¿Qué asistencia o mantenimiento está disponible con el BAA en línea de Esri?
Como requisito normativo estadounidense sobre información médica privada electrónica (ePHI), los clientes que firmen un BAA utilizarán inicialmente la asistencia exclusiva de persona única de Estados Unidos de Esri. Se puede ampliar a la asistencia global estándar en el futuro en función de la demanda. En condiciones estándar, tanto las operaciones como los recursos de asistencia al cliente no ven datasets de clientes de ArcGIS Online. Si un cliente determina que necesita ayuda del Soporte técnico de Esri para acceder, descargar o ver el dataset relacionado con una suscripción a ArcGIS Online cubierta por un BAA, Esri contactará con el recurso de privacidad del cliente identificado previamente para obtener autorización del acceso.
¿Qué ocurre si los servicios que deseo no son aptos actualmente según la HIPAA?
Esri seguirá agregando servicios que sean aptos según la HIPAA y esta página se actualizará a medida que aumente la lista de servicios aptos según la HIPAA. Se recomienda que los clientes con necesidades de servicio inmediatas que no sean aptas según la HIPAA usen la oferta ArcGIS Enterprise para complementar sus necesidades de servicio en línea.
Recursos
- Managing GIS Healthcare Information (público)
- Validate Best Practices with Security Advisor Tool (herramienta de Trust Center pública)
- Summary of HIPAA Privacy Rule (público)