Il regolamento sulla privacy dell'Health Insurance Portability and Accountability Act (HIPAA) protegge le informazioni sanitarie protette (PHI) detenute dalle entità coperte e offre ai pazienti una serie di diritti in merito a tali informazioni.
Il regolamento HIPAA richiede che le entità coperte e i loro associati, in questo caso Esri mentre fornisce i servizi, inclusi i servizi cloud, alle entità coperte, stipulino contratti per garantire che gli associati tutelino adeguatamente le informazioni personali sulla salute. Questi contratti, chiamati Business Associate Agreement (BAA), chiarificano e delimitano i metodi con cui gli associati possono gestire le PHI e stabiliscono l'adesione di ciascuna parte alle disposizioni in materia di sicurezza e privacy stabilite nell'HIPAA e nell'HITECH Act.
Ad oggi non esiste una certificazione ufficiale per la conformità all'HIPAA o all'HITECH Act, ma i servizi Esri di seguito elencati sono allineati ai controlli di sicurezza NIST 800-53 che corrispondono agli standard HIPAA Security Rule". ArcGIS Online e EMCS Advanced Plus sono autorizzati ufficialmente da FedRAMP.
Servizi Esri in-campo
- Servizi ArcGIS Online idonei a HIPAA
- Esri Managed Cloud Service (EMCS) Advanced
- Esri Managed Cloud Services (EMCS) Advanced Plus
Servizi HIPAA in ArcGIS Online
Il servizio Esri iniziale di ArcGIS Online idoneo a HIPAA è specificatamente il suo servizio di geocodifica, disponibile a geocode.arcgis.com. Esri elencherà gli ulteriori servizi idonei a HIPAA qui man mano che vengono convalidati per l'idoneità in base alle richieste dei clienti. Le attuali limitazioni e requisiti associati con il servizio di geocodifica idoneo a HIPAA includono solo la manutenzione di supporto per i cittadini degli Stati Uniti, solo geocodifica per indirizzi negli Stati Uniti e chiamate senza chiave API (solo i login nelle app o negli account utente sono accettati). In qualità di offerta Software as a Service (SaaS) multitenant uguale per tutti gli utenti, Esri non modifica il BAA HIPAA di ArcGIS Online in base alle singole richieste degli utenti.
EMCS Advanced e Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced e Advanced Plus sono un'offerta di ArcGIS Enterprise single tenant attraverso Esri Professional Services. EMCS Advanced e Advanced Plus offrono la possibilità di negoziare con i termini BAA di un'organizzazione, ma per impostazione predefinita utilizzano anche il BAA HIPAA di Esri.
Domande frequenti sull'HIPAA di ArcGIS
Di seguito sono riportate le domande frequenti riguardo ArcGIS e HIPAA:
Un'organizzazione è in grado di stipulare un contratto Business Associate Agreement (BAA) HIPAA con Esri per uno specifico abbonamento ArcGIS Online?
Sì. Esri offre alle aziende qualificate o ai loro fornitori un BAA che copre i servizi HIPAA Eligible ArcGIS Online e/o EMCS Advanced e Advanced Plus e la relativa manutenzione. Il BAA potrebbe essere richiesto tramite il gestore degli account.
Quali servizi posso usare nella mia organizzazione ArcGIS Online se dispongo di un BAA con Esri?
È possibile utilizzare qualsiasi servizio ArcGIS Online designato come parte di un account HIPAA dell'organizzazione, ma esso può solo elaborare, memorizzare e trasmettere informazioni sanitarie protette (PHI) nei servizi idonei a HIPAA definiti nel BAA.
Esri accetterà di utilizzare il BAA della mia organizzazione?
Per ArcGIS Online, no. Esri non può modificare il BAA HIPAA, poiché ArcGIS Online è un Software as a Service (SaaS) multitenant uguale per tutti gli utenti. Esri è obbligata a seguire le stesse procedure per tutti. Per ridurre i problemi, Esri ha già valutato e incorporato gli input provenienti dai BAA dei clienti e dei fornitori di servizi SaaS di medie e grandi dimensioni associati.
EMCS Advanced e Advanced Plus offrono la possibilità di negoziare con i termini BAA di un'organizzazione, ma per impostazione predefinita utilizzano anche il BAA HIPAA di Esri.
Se un cliente deve utilizzare un proprio BAA o richiede una personalizzazione significativa del BAA di Esri, si consiglia al cliente di contattare il proprio account manager per valutare le proprie esigenze specifiche al di fuori di ArcGIS Online, ad esempio con un'installazione on-premise o EMCS Advanced e Advanced Plus di ArcGIS Enterprise.
Stipulare un BAA con Esri indica che un'organizzazione è conforme a HIPAA e HITECH Act?
No, non basta. La conformità a HIPAA implica diverse responsabilità per l'entità coperta (l'organizzazione sanitaria che lavora con i dati sensibili). Offrendo un BAA, Esri aiuta a supportare la conformità a HIPAA, ma utilizzare i servizi Esri non indica la conformità in sé. I clienti sono responsabili per garantire di possedere un programma di conformità e processi interni adeguati e che il loro particolare utilizzo dei servizi Esri si allinea con HIPAA e con HITECH Act. È un concetto che va oltre al software e ai servizi; è un processo olistico per prevenire una violazione della privacy.
Come un'organizzazione è in grado di valutare il rischio della sua configurazione di ArcGIS Online?
Le organizzazioni possono valutare il rischio della propria configurazione di ArcGIS Online sfruttando diverse risorse e strumenti forniti da Esri. Esri offre risorse come il questionario CAIQ (Consensus Assessments Initiative Questionnaire) della Cloud Security Alliance (CSA) e informazioni dettagliate disponibili sull'Esri Trust Center, che forniscono approfondimenti sulle pratiche e sui controlli di sicurezza di Esri. Per convalidare la conformità di Esri, le organizzazioni possono esaminare l'autorizzazione FedRAMP disponibile sul mercato FedRAMP. Le organizzazioni possono inoltre condurre i propri test di sicurezza secondo i termini di un accordo di valutazione della sicurezza (SAA) di Esri, che consente la validazione tecnica della configurazione di ArcGIS Online. Per un continuo approfondimento sulla sicurezza e sulla privacy, Esri mette a disposizione lo strumento ArcGIS Security Adviser, che consente agli amministratori dell'organizzazione di eseguire valutazioni in tempo reale della postura di sicurezza di ArcGIS Online, aiutando gli amministratori a identificare e risolvere rapidamente potenziali problemi di sicurezza.
Che tipo di supporto o manutenzione è disponibile con il BAA online di Esri?
Come requisito normativo per le informazioni sanitarie elettroniche protette (ePHI), i clienti che firmano un BAA utilizzeranno inizialmente il supporto di Esri solo per le persone negli Stati Uniti. Questo potrebbe essere esteso al supporto globale standard in futuro in base alla domanda. In condizioni standard, le risorse di supporto dei clienti e delle operazioni non visualizzano i dataset dei clienti ArcGIS Online. Se un cliente determina di aver bisogno del supporto di Esri per accedere, scaricare o visualizzare il dataset correlato a un abbonamento ArcGIS Online coperto da un BAA, la risorsa pre-identificata sulla privacy del cliente verrà contattata da Esri per autorizzare l'accesso.
Cosa fare in caso i servizi desiderati non sono attualmente idonei a HIPAA?
Esri continuerà ad aggiungere servizi idonei a HIPAA e questa pagina verrà aggiornata man mano che l'elenco dei servizi idonei a HIPAA si espande. Si consiglia ai clienti con necessità urgenti per servizi non idonei a HIPAA di utilizzare l'offerta ArcGIS Enterprise come supplemento alle loro necessità di servizi online.
Risorse
- Gestire le informazioni sanitarie nel GIS (Pubblico)
- Convalidare le migliori pratiche con lo strumento Security Advisor (Strumento pubblico del Centro di trust)
- Riepilogo della normativa sulla privacy HIPAA (Pubblico)