Skip To Content

ArcGIS Trust Center

  • Yleiskuvaus
  • Tietoturva
  • Tietosuoja
  • Lainmukaisuus
  • Dokumentit
Käynnistä tietoturvaneuvoja
Alkuun

HIPAA

Tässä aiheessa

  1. Soveltamisalaan sisältyvät Esrin palvelut
  2. ArcGIS Onlinen HIPAA-palvelut
  3. EMCS Advanced Plus
  4. ArcGISia ja HIPAA-lakia koskevat usein kysytyt kysymykset
  5. Resurssit
HIPAA-logo

HIPAA (The Health Insurance Portability and Accountability Act) -laki suojaa liittovaltiotasolla lain piiriin kuuluvien yhteisöjen säilyttämiä henkilökohtaisia terveystietoja (PHI = suojatut terveystiedot) ja antaa potilaille tiettyjä oikeuksia kyseisiin tietoihin.

HIPAA-lain asetukset edellyttävät, että lain piiriin kuuluvat yhteisöt ja niiden liikekumppanit (tässä tapauksessa Esri, kun se tarjoaa palveluja, kuten pilvipalveluja, näille yhteisöille) solmivat sopimuksia sen varmistamiseksi, että nämä liikekumppanit suojaavat henkilökohtaiset terveystiedot asiaankuuluvalla tavalla. Näissä BAA (Business Associate Agreement) -sopimuksissa selvennetään ja rajataan sitä, miten liiketoimintakumppani voi käsitellä PHI-tietoja, ja määritellään se, miten kunkin osapuolen on noudatettava HIPAA- ja HITECH-laissa annettuja suojaus- ja tietosuojaehtoja.

Tällä hetkellä saatavilla ei ole virallista sertifiointia HIPAA- tai HITECH-lain noudattamiselle. Sen sijaan alla mainitut Esrin palvelut ovat FedRAMP Moderate Agency -vaatimusten mukaisia, ja niissä käytetään HIPAA-tietosuojasääntöjen standardien mukaisia NIST 800-53 -tietoturva-asetuksia.”

Soveltamisalaan sisältyvät Esrin palvelut

  • ArcGIS Onlinen HIPAA-lain ehdot täyttävät palvelut
  • Esri Managed Cloud Services (EMCS) Advanced Plus

ArcGIS Onlinen HIPAA-palvelut

Esrin ensimmäinen HIPAA-lain ehdot täyttävä ArcGIS Online -palvelu on geokoodauspalvelu, joka on saatavilla osoitteessa geocode.arcgis.com. Esri ilmoittaa muut HIPAA-lain ehdot täyttävät palvelut tässä asiakaskysynnän perusteella sitä mukaan kuin niiden vastaavuus on tarkistettu. Nykyiset HIPAA-lain ehdot täyttävään geokoodauspalveluun liittyvät rajoitukset ja vaatimukset sisältävät vain Yhdysvaltojen kansalaisten tuen ylläpidon, geokoodauksen vain yhdysvaltalaisille osoitteille ja Ei API-avainta -kutsut (vain sovelluskirjautumiset tai käyttäjätilit hyväksytään). Esri ei muokkaa ArcGIS Onlinen HIPAA BAA -sopimusta yksilöllisten asiakastarpeiden täyttämiseksi, koska se on multiitenanttinen SaaS-ratkaisu, joka on yhdenmukainen kaikille asiakkaille.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus on yhden haltijan ArcGIS Enterprise -palvelu, joka tarjotaan Esrin ammattilaispalvelujen kautta. EMCS Advanced Plus tarjoaa mahdollisuuden neuvotella organisaation BAA-ehdoista, mutta se myös käyttää oletusarvoisesti Esrin HIPAA BAA -sopimusta.

ArcGISia ja HIPAA-lakia koskevat usein kysytyt kysymykset

Seuraavassa on ArcGISia ja HIPAA-lakia koskevia usein kysyttyjä kysymyksiä:

Voiko organisaatio solmia Esrin kanssa tiettyä ArcGIS Online -tilausta koskevan HIPAA BAA -sopimuksen?

Kyllä. Esri tarjoaa hyväksytyille yrityksille tai niiden toimittajille BAA-sopimuksen, joka kattaa HIPAA-lain ehdot täyttävät ArcGIS Online- ja/tai EMCS Advanced Plus -palvelut ja niihin liittyvän ylläpidon. Organisaation asiakasvastaava voi pyytää Esrin BAA-sopimusta. Tämä koskee useimpia julkisen terveydenhuollon organisaatioita, sairaaloita ja sairausvakuutusyrityksiä. Yhdysvaltain valtion virastot ja Yhdysvaltain puolustusorganisaatio eivät kuitenkaan voi solmia Esri BAA -sopimusta, ennen kuin ArcGIS Onlinella on FedRAMP Moderate -hyväksyntä, joka on tarkoitus saada vuonna 2022.

Mitä palveluita voin käyttää ArcGIS Online -organisaatiossani, jos olen solminut BAA-sopimuksen Esrin kanssa?

Voit käyttää kaikkia ArcGIS Online -palveluita, jotka on nimetty osaksi HIPAA-organisaatiotiliä, mutta niiden tulee kuitenkin vain käsitellä, säilyttää ja lähettää suojattuja terveystietoja BAA-sopimuksessa määritetyissä HIPAA-lain ehdot täyttävissä palveluissa.

Suostuuko Esri käyttämään oman organisaationi BAA-sopimusta?

ArcGIS Onlinen osalta ei. Esri ei voi muokata HIPAA BAA -sopimusta, koska ArcGIS Online on monitenanttinen SaaS-ratkaisu, joka on yhdenmukainen kaikille asiakkaille. Esrin on noudatettava samaa menettelyä kaikkien asiakkaiden kanssa. Ongelmien minimoimiseksi Esri on jo tarkistanut ja sisällyttänyt syötteen asiakkaiden ja kumppanina toimivien keskisuurten ja suurten SaaS-toimittajien BAA-sopimuksista.

EMCS Advanced Plus tarjoaa mahdollisuuden neuvotella organisaation BAA-ehdoista, mutta se myös käyttää oletusarvoisesti Esrin HIPAA BAA -sopimusta.

Jos asiakkaan on käytettävä omaa BAA-sopimustaan tai asiakas haluaa muokata merkittävästi Esrin BAA-sopimusta, asiakkaan on suositeltavaa ottaa yhteyttä ammattilaispalvelutiimiin ja harkittava erityistarpeidensa täyttämistä käyttämällä jotakin muuta kuin ArcGIS Onlinea, kuten ArcGIS Enterprisen paikallista versiota tai EMCS Advanced Plus -käyttöönottoa.

Tarkoittaako BAA-sopimuksen solmiminen Esrin kanssa sitä, että organisaatio täyttää HIPAA- ja HITECH-lakien vaatimukset?

Ei, ei yksinään. HIPAA-lain noudattamiseen liityy useita eri velvollisuuksia, jotka lain piiriin kuuluvan yhteisön (arkaluontoisia tietoja käsittelevän terveydenhuollon organisaation) on täytettävä. Tarjoamalla BAA-sopimuksen Esri tukee HIPAA-lain noudattamista, mutta Esrin palveluiden käyttäminen ei yksinään tarkoita sitä, että lain vaatimukset täyttyvät. Asiakkaiden vastuulla on varmistaa, että heillä on käytössä riittävä lainmukaisuusohjelma ja tarvittavat sisäiset prosessit. Lisäksi heidän on varmistettava, että se, miten he käyttävät Esrin palveluita, vastaa HIPAA- ja HITECH-lakien vaatimuksia. Kyse ei ole ainoastaan ohjelmistosta ja palveluista vaan kokonaisvaltaisesta prosessista, jolla pyritään estämään tietosuojarikkomukset.

Miten organisaatio voi arvioida sen ArcGIS Online -määrityksen riskejä?

Asiakkaat voivat hankkia Esrin kolmannen osapuolen vuosittaisen FedRAMP-arviointiraportin salassapitosopimuksen (NDA) mukaisesti tai käyttämällä sivustosta connect.gov saatavia FedRAMP-valtuutuspaketteja. Asiakkaat voivat myös toteuttaa suojauksen testauksen Esrin SAA (Security Assessment Agreement) -sopimuksen ehtojen mukaisesti ja suorittaa valikoimansa teknisen validoinnin. Esri on kehittänyt ArcGIS Security Advisor -työkalun, jolla organisaation järjestelmänvalvoja voi milloin tahansa arvioida punainen-keltainen-vihreä-yhteenvedon.

Mitä tukea tai ylläpitoa Esrin online BAA sisältää?

Yhdysvaltojen sähköisiä suojattuja terveystietoja koskevien vaatimusten mukaan BAA-sopimuksen allekirjoittavat asiakkaat käyttävät Esrin Yhdysvaltojen Person-only-tukea. Tämä voidaan tarvittaessa laajentaa kansainväliseksi vakiotueksi tulevaisuudessa. Tavallisissa olosuhteissa toiminto- ja asiakastuki ei tarkastele ArcGIS Online -asiakkaan aineistoryhmiä. Jos asiakas mielestään tarvitsee Esri-tuen apua voidakseen käyttää, ladata tai tarkastella BAA-sopimuksen piiriin kuuluvaan ArcGIS Online -tilaukseen liittyviä aineistoryhmiä, Esri ottaa yhteyttä ennalta määritettyyn asiakkaan tietosuojavastaavaan, jotta pääsy aineistoryhmiin voidaan hyväksyä.

Mitä, jos haluamani palvelut eivät tällä hetkellä täytä HIPAA-lain ehtoja?

Esri lisää jatkossa HIPAA-lain ehdot täyttäviä palveluja, ja tämä sivu päivittyy sitä mukaan kun näitä palveluita tulee saataville. On suositeltavaa, että asiakkaat, jotka tarvitsevat välittömästi joitakin muita kuin HIPAA-lain ehdot täyttäviä palveluita, käyttävät ArcGIS Enterprise -valikoimaa verkkopalvelutarpeidensa täyttämiseen.

Resurssit

  • GIS-terveydenhuoltotietojen hallinta (julkinen)
  • Parhaiden käytäntöjen tarkistaminen Security Advisor -työkalulla (julkinen Luottamuskeskus-työkalu)
  • HIPAA-yksityisyydensuojasääntöjen yhteenveto (julkinen)

Haluatko antaa palautetta tästä aiheesta?

Tässä aiheessa
  1. Soveltamisalaan sisältyvät Esrin palvelut
  2. ArcGIS Onlinen HIPAA-palvelut
  3. EMCS Advanced Plus
  4. ArcGISia ja HIPAA-lakia koskevat usein kysytyt kysymykset
  5. Resurssit