
HIPAA (Health Insurance Portability and Accountability Act) -laki suojaa liittovaltiotasolla lain piiriin kuuluvien yhteisöjen säilyttämiä suojattuja terveystietoja (PHI = suojatut terveystiedot) ja antaa potilaille tiettyjä oikeuksia kyseisiin tietoihin.
HIPAA-lain asetukset edellyttävät, että lain piiriin kuuluvat yhteisöt ja niiden liikekumppanit (tässä tapauksessa Esri, kun se tarjoaa palveluja, kuten pilvipalveluja, näille yhteisöille) solmivat sopimuksia sen varmistamiseksi, että nämä liikekumppanit suojaavat henkilökohtaiset terveystiedot asiaankuuluvalla tavalla. Näissä BAA (Business Associate Agreement) -sopimuksissa selvennetään ja rajataan sitä, miten liiketoimintakumppani voi käsitellä PHI-tietoja, ja määritellään se, miten kunkin osapuolen on noudatettava HIPAA- ja HITECH-laissa annettuja suojaus- ja tietosuojaehtoja.
Tällä hetkellä saatavilla ei ole virallista sertifiointia HIPAA- tai HITECH-lain noudattamiselle. Sen sijaan alla mainitut Esrin palvelut ovat HIPAA-tietosuojasääntöjen standardien mukaisia NIST 800-53 -tietoturva-asetuksia. ArcGIS Onlinella ja EMCS Advanced Plusilla on viralliset FedRAMP-valtuutukset.
Soveltamisalaan sisältyvät Esrin palvelut
- ArcGIS Onlinen HIPAA-lain ehdot täyttävät palvelut
- Esri Managed Cloud Services EMCS Advanced
- Esri Managed Cloud Services (EMCS) Advanced Plus
ArcGIS Onlinen HIPAA-palvelut
Esrin ensimmäinen HIPAA-lain ehdot täyttävä ArcGIS Online -palvelu on geokoodauspalvelu, joka on saatavilla osoitteessa geocode.arcgis.com. Esri ilmoittaa muut HIPAA-lain ehdot täyttävät palvelut tässä asiakaskysynnän perusteella sitä mukaan kuin niiden vastaavuus on tarkistettu. Nykyiset HIPAA-lain ehdot täyttävään geokoodauspalveluun liittyvät rajoitukset ja vaatimukset sisältävät vain Yhdysvaltojen kansalaisten tuen ylläpidon, geokoodauksen vain yhdysvaltalaisille osoitteille ja Ei API-avainta -kutsut (vain sovelluskirjautumiset tai käyttäjätilit hyväksytään). Esri ei muokkaa ArcGIS Onlinen HIPAA BAA -sopimusta yksilöllisten asiakastarpeiden täyttämiseksi, koska se on multiitenanttinen SaaS-ratkaisu, joka on yhdenmukainen kaikille asiakkaille.
EMCS Advanced ja Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced ja Advanced Plus ovat yhden haltijan ArcGIS Enterprise -palveluita, jotka tarjotaan Esrin ammattilaispalvelujen kautta. EMCS Advanced ja Advanced Plus tarjoavat mahdollisuuden neuvotella organisaation BAA-ehdoista, mutta ne käyttävät oletusarvoisesti myös Esrin HIPAA BAA -sopimusta.
ArcGISia ja HIPAA-lakia koskevat usein kysytyt kysymykset
Seuraavassa on ArcGISia ja HIPAA-lakia koskevia usein kysyttyjä kysymyksiä:
Voiko organisaatio solmia Esrin kanssa tiettyä ArcGIS Online -tilausta koskevan HIPAA BAA -sopimuksen?
Kyllä. Esri tarjoaa hyväksytyille yrityksille tai niiden toimittajille BAA-sopimuksen, joka kattaa HIPAA-lain ehdot täyttävät ArcGIS Online- ja/tai EMCS Advanced- ja Advanced Plus -palvelut ja niihin liittyvän ylläpidon. Organisaation asiakasvastaava voi pyytää Esrin BAA-sopimusta.
Mitä palveluita voin käyttää ArcGIS Online -organisaatiossani, jos olen solminut BAA-sopimuksen Esrin kanssa?
Voit käyttää kaikkia ArcGIS Online -palveluita, jotka on nimetty osaksi HIPAA-organisaatiotiliä, mutta niiden tulee kuitenkin vain käsitellä, säilyttää ja lähettää suojattuja terveystietoja BAA-sopimuksessa määritetyissä HIPAA-lain ehdot täyttävissä palveluissa.
Suostuuko Esri käyttämään oman organisaationi BAA-sopimusta?
ArcGIS Onlinen osalta ei. Esri ei voi muokata HIPAA BAA -sopimusta, koska ArcGIS Online on monitenanttinen SaaS-ratkaisu, joka on yhdenmukainen kaikille asiakkaille. Esrin on noudatettava samaa menettelyä kaikkien asiakkaiden kanssa. Ongelmien minimoimiseksi Esri on jo tarkistanut ja sisällyttänyt syötteen asiakkaiden ja kumppanina toimivien keskisuurten ja suurten SaaS-toimittajien BAA-sopimuksista.
EMCS Advanced ja Advanced Plus tarjoavat mahdollisuuden neuvotella organisaation BAA-ehdoista, mutta ne käyttävät myös oletusarvoisesti Esrin HIPAA BAA -sopimusta.
Jos asiakkaan on käytettävä omaa BAA-sopimustaan tai asiakas haluaa muokata merkittävästi Esrin BAA-sopimusta, asiakkaan on suositeltavaa ottaa yhteyttä asiakaspäällikköön ja harkittava erityistarpeidensa täyttämistä käyttämällä jotakin muuta kuin ArcGIS Onlinea, kuten ArcGIS Enterprisen paikallista versiota tai EMCS Advanced- ja EMCS Advanced Plus -käyttöönottoja.
Tarkoittaako BAA-sopimuksen solmiminen Esrin kanssa sitä, että organisaatio täyttää HIPAA- ja HITECH-lakien vaatimukset?
Ei, ei yksinään. HIPAA-lain noudattamiseen liityy useita eri velvollisuuksia, jotka lain piiriin kuuluvan yhteisön (arkaluontoisia tietoja käsittelevän terveydenhuollon organisaation) on täytettävä. Tarjoamalla BAA-sopimuksen Esri tukee HIPAA-lain noudattamista, mutta Esrin palveluiden käyttäminen ei yksinään tarkoita sitä, että lain vaatimukset täyttyvät. Asiakkaiden vastuulla on varmistaa, että heillä on käytössä riittävä lainmukaisuusohjelma ja tarvittavat sisäiset prosessit. Lisäksi heidän on varmistettava, että se, miten he käyttävät Esrin palveluita, vastaa HIPAA- ja HITECH-lakien vaatimuksia. Kyse ei ole ainoastaan ohjelmistosta ja palveluista vaan kokonaisvaltaisesta prosessista, jolla pyritään estämään tietosuojarikkomukset.
Miten organisaatio voi arvioida sen ArcGIS Online -määrityksen riskejä?
Organisaatiot voivat arvioida ArcGIS Online -kokoonpanonsa riskiä hyödyntämällä useita Esrin tarjoamia resursseja ja työkaluja. Esri tarjoaa resursseja, kuten Cloud Security Alliancen (CSA) Consensus Assessments Initiative Questionnairen (CAIQ), ja Esri Trust Centerissä saatavilla olevia yksityiskohtaisia tietoja, jotka koskevat Esrin tietoturvan käytäntöjä ja suojaustoimia. Organisaatiot voivat tarkistaa Esrin vaatimustenmukaisuuden FedRAMP Marketplacelta saatavilla olevan FedRAMP-valtuutuksen avulla. Lisäksi organisaatiot voivat suorittaa omia tietoturvatestauksiaan Esri Security Assessment (SAA) -sopimuksen ehtojen mukaisesti, mikä mahdollistaa ArcGIS Online -kokoonpanon teknisen validoinnin. Jotta tietoturva- ja tietosuojatietoja voidaan saada jatkuvasti, Esri tarjoaa ArcGIS Security Adviser -työkalun, jonka avulla organisaation pääkäyttäjät voivat suorittaa reaaliaikaisia arviointeja ArcGIS Onlinen tietoturvatilanteesta ja auttaa pääkäyttäjiä tunnistamaan ja ratkaisemaan nopeasti mahdolliset tietoturvaongelmat.
Mitä tukea tai ylläpitoa Esrin online BAA sisältää?
Yhdysvaltojen sähköisiä suojattuja terveystietoja koskevien vaatimusten mukaan BAA-sopimuksen allekirjoittavat asiakkaat käyttävät Esrin Yhdysvaltojen Person-only-tukea. Tämä voidaan tarvittaessa laajentaa kansainväliseksi vakiotueksi tulevaisuudessa. Tavallisissa olosuhteissa toiminto- ja asiakastuki ei tarkastele ArcGIS Online -asiakkaan aineistoryhmiä. Jos asiakas mielestään tarvitsee Esri-tuen apua voidakseen käyttää, ladata tai tarkastella BAA-sopimuksen piiriin kuuluvaan ArcGIS Online -tilaukseen liittyviä aineistoryhmiä, Esri ottaa yhteyttä ennalta määritettyyn asiakkaan tietosuojavastaavaan, jotta pääsy aineistoryhmiin voidaan hyväksyä.
Mitä, jos haluamani palvelut eivät tällä hetkellä täytä HIPAA-lain ehtoja?
Esri lisää jatkossa HIPAA-lain ehdot täyttäviä palveluja, ja tämä sivu päivittyy sitä mukaan kun näitä palveluita tulee saataville. On suositeltavaa, että asiakkaat, jotka tarvitsevat välittömästi joitakin muita kuin HIPAA-lain ehdot täyttäviä palveluita, käyttävät ArcGIS Enterprise -valikoimaa verkkopalvelutarpeidensa täyttämiseen.
Resurssit
- GIS-terveydenhuoltotietojen hallinta (julkinen)
- Parhaiden käytäntöjen tarkistaminen Security Adviser -työkalulla (julkinen Luottamuskeskus-työkalu)
- HIPAA-yksityisyydensuojasääntöjen yhteenveto (julkinen)