Skip To Content

HIPAA

Logotipo da HIPAA

A Regra de Privacidade do Health Insurance Portability and Accountability Act (HIPAA) fornece proteções federais para informações pessoais de saúde (PHI) mantidas por entidades cobertas e concede aos pacientes uma série de direitos em relação a essas informações.

Os regulamentos da HIPAA exigem que as entidades cobertas e seus parceiros de negócios, neste caso, a Esri quando fornece serviços, incluindo serviços na nuvem, para entidades cobertas celebrem contratos para garantir que esses parceiros de negócios protejam adequadamente as PHI. Esses contratos, ou Acordo de Associado Comercial (BAAs), esclarecem e limitam como o associado comercial pode lidar com PHI e estabelecem a adesão de cada parte às disposições de segurança e privacidade estabelecidas na HIPAA e na Lei HITECH.

Atualmente, não há certificação oficial para conformidade com HIPAA ou HITECH Act; em vez disso, os serviços Esri abaixo são autorizados pela Agência Moderada FedRAMP, utilizando Controles de segurança NIST 800-53 que mapeiam os padrões de regras de segurança HIPAA."

Serviços no escopo da Esri

Serviços HIPAA do ArcGIS Online

O serviço inicial elegível para HIPAA do ArcGIS Online da Esri é especificamente seu serviço de geocodificação, disponível em geocode.arcgis.com. A Esri listará aqui serviços adicionais elegíveis para HIPAA, à medida que são validados para alinhamento com base na demanda do cliente. As restrições e requisitos atuais associados ao serviço de geocodificação elegível para HIPAA incluem apenas manutenção de suporte ao cidadão dos Estados Unidos, geocodificação apenas para endereços baseados nos Estados Unidos e nenhuma chamada de chave de API (somente logins de aplicativos ou contas de usuário são aceitáveis). Como uma oferta de software como serviço (SaaS) multilocatário que é consistente para todos os clientes, a Esri não modifica o ArcGIS Online HIPAA BAA para requisitos únicos do cliente.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus é uma oferta ArcGIS Enterprise de locatário único por meio de Esri Professional Services. O EMCS Advanced Plus oferece a capacidade de negociar os termos BAA de uma organização, mas por padrão também utiliza o Esri HIPAA BAA.

Perguntas frequentes sobre HIPAA do ArcGIS

A seguir estão perguntas mais frequentes sobre ArcGIS e HIPAA:

Uma organização pode celebrar um Acordo de Associado Comercial da HIPAA (BAA) com a Esri para uma assinatura do ArcGIS Online específica?

Sim. A Esri oferece às empresas qualificadas ou aos seus fornecedores um BAA que cobre serviços ArcGIS Online elegíveis para HIPAA e/ou EMCS Advanced Plus e manutenção associada. O BAA da Esri pode ser solicitado através do seu gerente de conta. Isso se aplicará à maioria das organizações de saúde pública, hospitais e companhias de seguro de saúde; no entanto, as agências federais dos EUA e as organizações de defesa dos EUA não estão qualificadas para o BAA da Esri até que o ArcGIS Online tenha uma autorização FedRAMP Moderate, que está no roteiro para 2022.

Quais serviços posso usar em minha organização do ArcGIS Online se tiver um BAA com a Esri?

Você pode usar qualquer serviço do ArcGIS Online designado como parte de uma conta de organização HIPAA, mas eles só devem processar, armazenar e transmitir informações de saúde protegidas (PHI) nos serviços elegíveis para HIPAA definidos no BAA.

A Esri concordará em usar o BAA da minha organização?

Para ArcGIS Online, não. A Esri não pode modificar o HIPAA BAA, pois o ArcGIS Online é uma oferta de software como serviço (SaaS) multilocatário que é consistente para todos os clientes. A Esri deve seguir os mesmos procedimentos para todos. Para minimizar problemas, a Esri já revisou e incorporou informações de BAAs de clientes e fornecedores de SaaS de médio a grande porte.

O EMCS Advanced Plus oferece a capacidade de negociar os termos BAA de uma organização, mas por padrão também utiliza o Esri HIPAA BAA.

Se um cliente precisar usar seu próprio BAA ou precisar de personalização significativa do BAA da Esri, é recomendado que o cliente entre em contato com a equipe de Serviços Profissionais considerar suas necessidades especializadas fora do ArcGIS Online, como com uma implantação local ou EMCS Advanced Plus do ArcGIS Enterprise.

Ter um BAA com a Esri indica que uma organização está alinhada com a HIPAA e a Lei HITECH?

Não, não propriamente. A conformidade com HIPAA envolve várias responsabilidades para a entidade coberta–a organização de saúde que trabalha com dados confidenciais. Ao oferecer um BAA, a Esri ajuda a oferecer suporte à sua conformidade com HIPAA, mas o uso dos serviços da Esri não alcança a conformidade propriamente. Os clientes são responsáveis por garantir que tenham um programa de conformidade adequado e processos internos implementados, e que seu uso específico dos serviços da Esri esteja alinhado com a HIPAA e a Lei HITECH. É mais do que software e serviços; é um processo holístico para evitar uma violação de privacidade.

Como uma organização pode avaliar o risco de sua configuração do ArcGIS Online?

Primeiro, os clientes podem obter o relatório anual de avaliação de terceiros do FedRAMP da Esri sob um Acordo de Não Divulgação (NDA) ou acessando os pacotes de autorização do FedRAMP disponíveis em connect.gov. Em segundo lugar, os clientes podem implementar testes de segurança sob os termos de um Acordo de Avaliação de Segurança (SAA) da Esri para realizar a validação técnica de sua oferta. Por último, a Esri criou a ferramenta ArcGIS Security Advisor que um administrador de organização pode usar para acessar um resumo vermelho, amarelo e verde a qualquer momento.

Que suporte ou manutenção está disponível com o BAA online da Esri?

Como um requisito regulatório baseado nos EUA para informações eletrônicas de saúde privada (ePHI), os clientes que assinam um BAA usarão inicialmente o suporte somente para pessoas nos Estados Unidos da Esri. Isso pode ser expandido para suporte global padrão no futuro com base na demanda. Sob condições padrão, tanto as operações quanto os recursos de suporte ao cliente não visualizam os conjuntos de dados de cliente do ArcGIS Online. Se um cliente determinar que precisa de assistência do Suporte da Esri para acessar, baixar ou visualizar o conjunto de dados relacionado a uma assinatura do ArcGIS Online coberta por um BAA, o recurso de privacidade do cliente pré-identificado será contatado pela Esri para autorização do acesso.

E se os serviços que eu quero não estiverem atualmente Qualificados para HIPAA?

A Esri continuará a adicionar serviços Qualificados para HIPAA e esta página será atualizada à medida que a lista de serviços Qualificados para HIPAA aumentar. É recomendado que os clientes com necessidades imediatas de serviço que não sejam Qualificados para HIPAA usem a oferta do ArcGIS Enterprise para complementar suas necessidades de serviço online.

Recursos