Skip To Content

HIPAA

Logo HIPAA

Il regolamento sulla privacy Health Insurance Portability and Accountability Act (HIPAA) prevede la protezione a livello federale delle informazioni sulla salute (PHI) detenute dalle entità coperte e offre ai pazienti una serie di diritti in relazione a tali informazioni.

Il regolamento HIPAA richiede che le entità coperte e i loro associati, in questo caso Esri mentre fornisce i servizi, inclusi i servizi cloud, alle entità coperte, stipulino contratti per garantire che gli associati tutelino adeguatamente le informazioni personali sulla salute. Questi contratti, chiamati Business Associate Agreement (BAA), chiarificano e delimitano i metodi con cui gli associati possono gestire le PHI e stabiliscono l'adesione di ciascuna parte alle disposizioni in materia di sicurezza e privacy stabilite nell'HIPAA e nell'HITECH Act.

Attualmente non esiste alcuna certificazione per la conformità a HIPAA o HITECH Act. Invece, i seguenti servizi Esri sono autorizzati dalla FedRAMP Moderate Agency utilizzando i controlli di sicurezza NIST 800-53, che mappano gli standard HIPAA sulle regole di sicurezza.

Servizi Esri in-campo

Servizi HIPAA in ArcGIS Online

Il servizio Esri iniziale di ArcGIS Online idoneo a HIPAA è specificatamente il suo servizio di geocodifica, disponibile a geocode.arcgis.com. Esri elencherà gli ulteriori servizi idonei a HIPAA qui man mano che vengono convalidati per l'idoneità in base alle richieste dei clienti. Le attuali limitazioni e requisiti associati con il servizio di geocodifica idoneo a HIPAA includono solo la manutenzione di supporto per i cittadini degli Stati Uniti, solo geocodifica per indirizzi negli Stati Uniti e chiamate senza chiave API (solo i login nelle app o negli account utente sono accettati). In qualità di offerta Software as a Service (SaaS) multitenant uguale per tutti gli utenti, Esri non modifica il BAA HIPAA di ArcGIS Online in base alle singole richieste degli utenti.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus è un'offerta ArcGIS Enterprise a tenant singolo tramite Esri Professional Services. EMCS Advanced Plus offre la possibilità di negoziare con i termini BAA di un'organizzazione, ma per impostazione predefinita utilizza il BAA HIPAA di Esri.

Domande frequenti sull'HIPAA di ArcGIS

Di seguito sono riportate le domande frequenti riguardo ArcGIS e HIPAA:

Un'organizzazione è in grado di stipulare un contratto Business Associate Agreement (BAA) HIPAA con Esri per uno specifico abbonamento ArcGIS Online?

Sì. Esri offre alle aziende qualificate o ai loro fornitori un BAA che copre i servizi idonei a HIPAA di ArcGIS Online e la relativa manutenzione. e/o EMCS Advanced Plus. Il BAA potrebbe essere richiesto tramite il gestore degli account. Ciò si applica alla maggior parte degli enti di salute pubblica, ospedali e compagnie di assicurazione sanitaria; tuttavia, le agenzie federali e della difesa degli Stati Uniti non sono qualificate per i BAA di Esri fino a che ArcGIS Online non otterrà l'autorizzazione FedRAMP Moderate, prevista per il 2022.

Quali servizi posso usare nella mia organizzazione ArcGIS Online se dispongo di un BAA con Esri?

È possibile utilizzare qualsiasi servizio ArcGIS Online designato come parte di un account HIPAA dell'organizzazione, ma esso può solo elaborare, memorizzare e trasmettere informazioni sanitarie protette (PHI) nei servizi idonei a HIPAA definiti nel BAA.

Esri accetterà di utilizzare il BAA della mia organizzazione?

Per ArcGIS Online, no. Esri non può modificare il BAA HIPAA, poiché ArcGIS Online è un Software as a Service (SaaS) multitenant uguale per tutti gli utenti. Esri è obbligata a seguire le stesse procedure per tutti. Per ridurre i problemi, Esri ha già valutato e incorporato gli input provenienti dai BAA dei clienti e dei fornitori di servizi SaaS di medie e grandi dimensioni associati.

EMCS Advanced Plus offre la possibilità di negoziare con i termini BAA di un'organizzazione, ma per impostazione predefinita utilizza il BAA HIPAA di Esri.

Se un cliente è costretto a utilizzare il proprio BAA, oppure necessita una personalizzazione radicale del BAA di Esri, si raccomanda al cliente di contattare il team dei servizi professionali per considerare le loro richieste all'esterno di ArcGIS Online, come ad esempio un'installazione in loco di ArcGIS Enterprise o EMCS Advanced Plus.

Stipulare un BAA con Esri indica che un'organizzazione è conforme a HIPAA e HITECH Act?

No, non basta. La conformità a HIPAA implica diverse responsabilità per l'entità coperta (l'organizzazione sanitaria che lavora con i dati sensibili). Offrendo un BAA, Esri aiuta a supportare la conformità a HIPAA, ma utilizzare i servizi Esri non indica la conformità in sé. I clienti sono responsabili per garantire di possedere un programma di conformità e processi interni adeguati e che il loro particolare utilizzo dei servizi Esri si allinea con HIPAA e con HITECH Act. È un concetto che va oltre al software e ai servizi; è un processo olistico per prevenire una violazione della privacy.

Come un'organizzazione è in grado di valutare il rischio della sua configurazione di ArcGIS Online?

Come prima cosa, i clienti possono ottenere il report di valutazione annuale FedRAMP di Esri svolto da terze parti previo accordo di non divulgazione (NDA) o accedendo ai pacchetti di autorizzazione FedRAMP disponibile a connect.gov. In secondo luogo, i clienti possono implementare i test di sicurezza entro i termini di un accordo di valutazione della sicurezza (SAA) con Esri per eseguire validazioni tecniche dei suoi prodotti. Infine, Esri ha creato lo strumento ArcGIS Security Advisor che un amministratore dell'organizzazione può utilizzare per accedere a un riepilogo rosso, giallo o verde in qualsiasi momento.

Che tipo di supporto o manutenzione è disponibile con il BAA online di Esri?

In quanto requisito normativo degli Stati Uniti per le informazioni sanitarie private elettroniche (ePHI), i clienti che firmano un BAA utilizzeranno inizialmente il supporto Esri dedicato alle persone negli Stati Uniti. Questo potrebbe essere esteso al supporto globale standard in futuro in base alla domanda. In condizioni standard, le risorse di supporto dei clienti e delle operazioni non visualizzano i dataset dei clienti ArcGIS Online. Se un cliente determina di aver bisogno del supporto di Esri per accedere, scaricare o visualizzare il dataset correlato a un abbonamento ArcGIS Online coperto da un BAA, la risorsa pre-identificata sulla privacy del cliente verrà contattata da Esri per autorizzare l'accesso.

Cosa fare in caso i servizi desiderati non sono attualmente idonei a HIPAA?

Esri continuerà ad aggiungere servizi idonei a HIPAA e questa pagina verrà aggiornata man mano che l'elenco dei servizi idonei a HIPAA si espande. Si consiglia ai clienti con necessità urgenti per servizi non idonei a HIPAA di utilizzare l'offerta ArcGIS Enterprise come supplemento alle loro necessità di servizi online.

Risorse