Regula de confidențialitate în legătură cu Legea privind portabilitatea asigurărilor de sănătate și responsabilitatea (HIPAA) prevede protecții federale pentru informațiile medicale protejate (IMP) deținute de entitățile acoperite și le oferă pacienților o serie de drepturi în legătură cu informațiile respective.
Regula de confidențialitate în legătură cu Legea privind portabilitatea asigurărilor de sănătate și responsabilitatea (HIPAA) prevede protecții federale pentru informațiile medicale cu caracter personal (IMP) deținute de entitățile acoperite și le oferă pacienților o serie de drepturi în legătură cu informațiile respective. Aceste contracte, sau Acorduri cu asociații de afaceri (AAA), clarifică și limitează modul în care asociatul de afaceri poate manipula IMP și stabilește respectarea de către fiecare parte a dispozițiilor privind securitatea și confidențialitatea stabilite în HIPAA și Legea HITECH.
Momentan, nu există o certificare oficială pentru HIPAA sau conformitatea cu Legea HITECH, în schimb, serviciile Esri de mai jos sunt conforme cu controalele de securitate NIST 800-53, care cartografiază standardele pentru regula de securitate HIPAA.” ArcGIS Online și EMCS Advanced Plus au autorizații FedRAMP oficiale.
Servicii Esri incluse
- Servicii eligibile HIPAA ArcGIS Online
- Esrii Managed Cloud Services EMCS Advanced
- Esri Managed Cloud Services (EMCS) Advanced Plus
Servicii HIPAA ArcGIS Online
Serviciul eligibil HIPAA ArcGIS Online inițial al Esri este mai exact serviciul de geocodificare, disponibil la geocode.arcgis.com. Esri va lista servicii eligibile HIPAA eligibile aici pe măsură ce sunt validate pentru aliniere pe baza cererii clienților. Restricțiile și cerințele actuale asociate cu serviciul de geocodificare eligibil HIPAA includ numai Întreținerea asistenței pentru cetățenii Statelor Unite, geocodificarea numai pentru adresele aflate în Statele Unite și apelurile fără cheie API (numai datele de autentificare în aplicații sau conturi de utilizator sunt acceptabile). Fiind un software cu mai mulți chiriași ca serviciu (SaaS) a cărui ofertă este consecventă pentru toți clienții, Esri nu modifică AAA HIPAA ArcGIS Online pentru cerințele utilizatorilor unici.
EMCS Advanced și Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced și Advanced Plus sunt oferte pentru o singură entitate ArcGIS Enterprise prin Esri Professional Services. EMCS Advanced și Advanced Plus oferă posibilitatea de a negocia cu termenii BAA ai unei organizații, dar implicit utilizează tot BAA HIPAA Esri.
Întrebări frecvente HIPAA ArcGIS
Următoarele sunt întrebări frecvente referitoare la ArcGIS și HIPAA:
O organizație poate încheia un Acord de asociat de afaceri HIPAA (AAA) cu Esri pentru un anumit abonament ArcGIS Online?
Da. Esri le oferă companiilor calificate sau furnizorilor lor un AAA care acoperă HIPAA eligibile pentru ArcGIS Online și/sau servicii și întreținere asociate cu EMCS Advanced și Advanced Plus. AAA Esri poate fi solicitat de la managerul dvs. de cont.
Ce servicii pot utiliza în organizația mea ArcGIS Online dacă am un AAA încheiat cu Esri?
Puteți utiliza orice servicii ArcGIS Online concepute în cadrul unui cont al organizației HIPAA, dar trebuie să se refere doar la procesarea, stocarea și transmiterea de informații medicale protejate (IMP) în cadrul serviciilor HIPAA eligibile definite în AAA.
Va fi de acord Esri să utilizeze în schimb AAA al organizației mele?
Pentru ArcGIS Online, nu. Esri nu poate modifica AAA HIPAA deoarece ArcGIS Online este un software cu mai mulți chiriași ca serviciu (SaaS), care este consecvent pentru toți clienții. Esri trebuie să urmeze aceleași proceduri pentru toată lumea. Pentru a minimiza problemele, Esri a examinat deja și a integrat rezultatele AAA ale clienților și furnizorilor parteneri SaaS medii și mari.
EMCS Advanced și Advanced Plus oferă posibilitatea de a negocia cu termenii BAA ai unei organizații, dar implicit utilizează tot BAA HIPAA Esri.
Dacă un client trebuie să utilizeze propriul AAA sau solicită o particularizare semnificativă a AAA al Esri, se recomandă ca clientul să contacteze administratorul de cont pentru a analiza nevoile sale specializate în afara ArcGIS Online, cum ar fi o implementare în localuri sau EMCS Advanced sau Advanced Plus a ArcGIS Enterprise.
Existența unui AAA încheiat cu Esri indică faptul că o organizație respectă HIPAA și Legea HITECH?
Nu, nu în sine. Conformitatea cu HIPAA implică mai multe responsabilități pentru entitatea acoperită, organizația de sănătate care lucrează cu datele sensibile. Oferind un AAA, Esri susține conformitatea dvs. cu HIPAA, dar utilizarea serviciilor Esri nu este în sine o dovadă de conformitate. Clienții sunt responsabili pentru asigurarea faptului că au un program de conformitate adecvat și procese interne funcționale și că utilizarea de către ei a serviciilor Esri este conformă cu HIPAA și Legea HITECH. Este vorba de mai mult decât software și servicii; este un proces holistic pentru a preveni încălcarea confidențialității.
Cum poate o organizație să evalueze riscul configurației sale ArcGIS Online?
Organizațiile pot evalua riscul configurației lor ArcGIS Online prin exploatarea mai multor resurse și instrumente furnizate de Esri. Esri oferă resurse cum ar fi Chestionarul de inițiativă privind evaluările de consens (Consensus Assessments Initiative Questionnaire – CAIQ) al Alianței pentru securitate în cloud (CSA) și informații detaliate disponibile la Esri Trust Center, care oferă informații despre practicile și controalele de securitate ale Esri. Pentru a valida conformitatea Esri, organizațiile pot consulta autorizația FedRAMP disponibilă pe piața FedRAMP. În plus, organizațiile pot realiza propria testare de securitate în baza termenilor unui Acord de evaluare a securității Esri (AES), permițând validarea tehnică a configurației ArcGIS Online. Pentru informații permanente de securitate și confidențialitate, Esri oferă instrumentul ArcGIS Security Adviser, care permite administratorilor organizației să realizeze evaluări în timp real ale poziției lor de securitate ArcGIS Online, ajutându-i să identifice rapid și să rezolve problemele de securitate potențiale.
Ce asistență sau întreținere este disponibilă pentru AAA online al Esri?
O cerință de reglementare pentru SUA în legătură cu informațiile medicale protejate electronice (eIMP), clienții care semnează un AAA vor utiliza inițial asistența exclusivă pentru persoane din Statele Unite a Esri. Aceasta poate fi extinsă la o asistență standard globală în viitor, în funcție de cerere. În condiții standard, nici personalul de operațiuni, nici personalul de asistență clienți nu vede seturile de date despre clienți ArcGIS Online. În cazul în care clientul stabilește că are nevoie de asistență Esri pentru accesarea, descărcarea sau vizualizarea setului de date legat de un abonament ArcGIS Online acoperit de un AAA, resursa de confidențialitate a clienților preidentificată va fi contactată de Esri pentru autorizarea accesului.
Ce se întâmplă dacă serviciile pe care le doresc nu sunt eligibile momentan în baza HIPAA?
Esri va continua să adauge servicii care sunt eligibile în baza HIPAA și această pagină va fi actualizată pe măsură ce lista de servicii eligibile în baza HIPAA crește. Se recomandă ca clienții cu nevoi de servicii imediate care nu sunt eligibile în baza HIPAA să utilizeze oferta ArcGIS Enterprise pentru a suplimenta nevoile lor de servicii online.
Resurse
- Gestionarea informațiilor medicale GIS (public)
- Validarea bunelor practici cu instrumentul de consiliere în securitate (Instrument Public Trust Center)
- Rezumatul Regulii de confidențialitate HIPAA (public)