Zasada Prywatności określona w ustawie Health Insurance Portability and Accountability Act (HIPAA) zapewnia federalną ochronę osobistych informacji zdrowotnych (Personal Health Information — PHI) przechowywanych przez podmioty objęte tą ustawą i daje pacjentom szereg praw w odniesieniu do tych informacji.
Przepisy ustawy HIPAA wymagają, aby podmioty nią objęte oraz ich partnerzy biznesowi, w tym przypadku firma Esri, jeśli świadczy tym podmiotom usługi, w tym usługi przetwarzania w chmurze, zawierały odpowiednie umowy zapewniające, że będą odpowiednio chronić informacje PHI. Umowy te lub umowy Business Associate Agreement (BAA) wyjaśniają i ograniczają możliwości obsługi informacji PHI przez partnerów biznesowych oraz określają obowiązek przestrzegania przez każdy podmiot przepisów bezpieczeństwa i prywatności określonych w ustawach HIPAA i HITECH.
Obecnie nie ma oficjalnej certyfikacji zgodności z HIPAA lub HITECH Act. Poniższe usługi Esri są natomiast autoryzowane przez FedRAMP Moderate Agency z wykorzystaniem elementów sterujących zabezpieczeniami wg standardu NIST 800-53, które są odwzorowywane na standardy HIPAA Security Rule.
Usługi Esri objęte zakresem
Usługi ArcGIS Online podlegające ustawie HIPAA
Pierwszą usługą ArcGIS Online firmy Esri, do której ma zastosowanie ustawa HIPAA, jest usługa geokodowania dostępna pod adresem geocode.arcgis.com. Firma Esri będzie umieszczać w tym miejscu wszystkie dodatkowe usługi, do których będzie mieć zastosowanie ustawa HIPAA, w miarę jak będą one zatwierdzane do dostosowania w oparciu o zapotrzebowanie klientów. Bieżące ograniczenia i wymagania związane z usługą geokodowania podlegającą wymogom ustawy HIPAA obejmują tylko wsparcie techniczne dla obywateli Stanów Zjednoczonych, geokodowanie wyłącznie adresów w USA oraz wywołania bez użycia klucza API (akceptowalne są tylko logowania do aplikacji lub konta użytkowników). Firma Esri nie modyfikuje umowy HIPAA BAA dla ArcGIS Online pod kątem unikalnych wymagań klientów, ponieważ usługa jest wielodostępnym oprogramowaniem dostępnym jako usługa (Software as a Service — SaaS), która jest taka sama dla wszystkich klientów.
EMCS Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced Plus to jednodostępna oferta oprogramowania ArcGIS Enterprise realizowana w ramach usług Esri Professional Services. EMCS Advanced Plus umożliwia negocjowanie warunków umowy BAA instytucji, ale domyślnie wykorzystuje również umowę HIPAA BAA firmy Esri.
ArcGIS a umowa HIPAA — często zadawane pytania
Poniżej wymieniono często zadawane pytania dotyczące oprogramowania ArcGIS i ustawy HIPAA:
Czy instytucja może zawrzeć z firmą Esri umowę HIPAA Business Associate Agreement (BAA) dotyczącą konkretnej subskrypcji usługi ArcGIS Online?
Tak. Firma Esri oferuje uprawnionym firmom lub ich dostawcom umowę BAA obejmującą usługi ArcGIS Online i/lub EMCS Advanced Plus podlegające wymogom ustawy HIPAA wraz z usługami utrzymania. O zawarcie z Esri umowy BAA może poprosić opiekun klienta. Dotyczy to większości instytucji zdrowia publicznego, szpitali i zakładów ubezpieczeń zdrowotnych, jednak agencje federalne USA i instytucje działające na rzecz obronności USA nie kwalifikują się do zawarcia z Esri umowy BAA, dopóki usługa ArcGIS Online nie uzyska autoryzacji na poziomie FedRAMP Moderate, co jest planowane na rok 2022.
Z jakich usług mogę korzystać w mojej instytucji ArcGIS Online, jeśli mam umowę BAA z firmą Esri?
Możesz korzystać z dowolnych usług ArcGIS Online wskazanych w ramach konta instytucji HIPAA, ale powinny one przetwarzać, przechowywać i przesyłać chronione informacje o stanie zdrowia (PHI) jedynie z użyciem kwalifikujących się usług określonych w umowie BAA.
Czy firma Esri zgodzi się w zamian na użycie umowy BAA mojej instytucji?
W przypadku usługi ArcGIS Online — nie. Firma Esri nie może zmodyfikować umowy HIPAA BAA, ponieważ usługa ArcGIS Online jest wielodostępnym oprogramowaniem dostępnym jako usługa (Software as a Service — SaaS), która jest taka sama dla wszystkich klientów. Firma Esri musi stosować takie same procedury wobec wszystkich. W celu ograniczenia problemów firma Esri przejrzała i uwzględniła uwagi dotyczące umów BAA z klientami oraz innymi średnimi i dużymi dostawcami oprogramowania SaaS.
EMCS Advanced Plus umożliwia negocjowanie warunków umowy BAA instytucji, ale domyślnie wykorzystuje również umowę HIPAA BAA firmy Esri.
Jeśli klient musi korzystać z własnej umowy BAA lub wymaga znacznego dostosowania umowy BAA firmy Esri, zaleca się, by skontaktował się z zespołem usług profesjonalnych w sprawie uwzględnienia jego specjalnych potrzeb poza usługą ArcGIS Online, na przykład przez wdrożenie lokalne lub w ramach EMCS Advanced Plus oprogramowania ArcGIS Enterprise.
Czy posiadanie umowy BAA z firmą Esri oznacza, że instytucja spełnia wymogi ustaw HIPAA i HITECH?
Samo w sobie nie jest to wystarczające. Zgodność z ustawą HIPAA wiąże się z kilkoma obowiązkami objętego nią podmiotu, czyli instytucji opieki zdrowotnej pracującej z danymi poufnymi. Oferując umowę BAA, firma Esri ułatwia uzyskanie zgodności z ustawą HIPAA, ale korzystanie z usług Esri samo w sobie nie zapewnia tej zgodności. Klienci są odpowiedzialni za zapewnienie, że obowiązuje u nich odpowiedni program i wewnętrzne procesy zgodności oraz że korzystają oni z usług Esri w sposób zgodny z wymogami ustaw HIPAA i HITECH. To coś więcej niż oprogramowanie i usługi; to ogólny proces zapobiegania przypadkom naruszenia ochrony prywatności.
Jak instytucja może ocenić ryzyko swojej konfiguracji usługi ArcGIS Online?
Po pierwsze, klienci mogą uzyskać roczny raport z oceny firmy Esri pod względem zgodności z FedRAMP wykonany przez podmiot zewnętrzny w ramach umowy o zachowaniu poufności (Non-Disclosure Agreement — NDA) lub przez dostęp do pakietów autoryzacyjnych FedRAMP dostępnych w serwisie connect.gov. Po drugie, klienci mogą wdrożyć testowanie zabezpieczeń zgodnie z warunkami zawartej z firmą Esri umowy o ocenie bezpieczeństwa (Security Assessment Agreement — SAA) w celu przeprowadzenia technicznej weryfikacji oferty. Na koniec, firma Esri opracowała narzędzie ArcGIS Security Advisor, które umożliwia administratorowi instytucji dostęp w dowolnym momencie do czerwonego, żółtego i zielonego podsumowania.
Jakie możliwości wsparcia lub utrzymania są dostępne w ramach umowy BAA online z firmą Esri?
Ponieważ jest to obowiązujący w USA wymóg prawny dotyczący prywatnych informacji elektronicznych o stanie zdrowia (ePHI), klienci podpisujący umowę BAA będą początkowo korzystać ze wsparcia firmy Esri świadczonego wyłącznie przez osobę mieszkającą w Stanach Zjednoczonych. Na żądanie może to w przyszłości zostać rozszerzone do standardowego wsparcia globalnego. W warunkach standardowych pracownicy operacyjni ani działu obsługi klienta nie mogą wyświetlać zestawów danych klientów usługi ArcGIS Online. Jeśli klient stwierdzi, że potrzebuje wsparcia ze strony działu pomocy technicznej firmy Esri w zakresie dostępu do zestawu danych związanego z subskrypcją usługi ArcGIS Online objętą umową BAA, jego pobrania lub wyświetlenia, firma Esri skontaktuje się ze wskazaną osobą odpowiedzialną za prywatność klienta w celu autoryzacji dostępu.
Co zrobić, jeśli potrzebne mi usługi nie podlegają ustawie HIPAA?
Firma Esri będzie kontynuować dodawanie usług podlegających wymogom ustawy HIPAA i będzie zaktualizować tę stronę w miarę wydłużania listy usług podlegających wymogom ustawy HIPAA. Zaleca się, aby klienci wymagający usług, które nie podlegają wymogom ustawy HIPAA, korzystali z oprogramowania ArcGIS Enterprise w celu uzupełnienia używanych przez nich usług online.
Zasoby
- Zarządzanie informacjami GIS dotyczącymi ochrony zdrowia (zasób dostępny publicznie)
- Weryfikacja najważniejszych wskazówek za pomocą narzędzia Security Advisor (narzędzie dostępne publicznie w Trust Center)
- Podsumowanie Zasady Prywatności w ustawie HIPAA (zasób dostępny publicznie)