Правило конфиденциальности Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule дает защиту персональной информации о здоровье (PHI), хранящейся в охваченных структурах, и предоставляет пациентам набор прав с учетом этой информации.
Регламенты HIPAA требуют, чтобы закрытые структуры и их бизнес-партнеры - в нашем случае, Esri при предоставлении сервисов, включая облачные сервисы, к охваченным структурам - включались в контракты, чтобы гарантировать, что эти бизнес-партнеры будут защищать PHI. Эти контракты, или соглашения о сотрудничестве (BAA), разъясняют и ограничивают то, как бизнес-партнер может обрабатывать PHI, и задают дальнейшее строгое соблюдение каждой стороной регламента по защите и конфиденциальности, заданного в HIPAA и в HITECH Act. Когда BAA есть, клиенты ArcGIS Online - охваченные структуры - могут использовать сервисы HIPAA Eligible для обработки и хранения PHI.
Сейчас нет официальной сертификации по соответствию требованиям HIPAA или HITECH Act. Однако, для этих сервисов ArcGIS Online, охваченных BAA (сервисы HIPAA Eligible) выполняются проверки независимыми аудиторами для авторизации ArcGIS Online FedRAMP Tailored Low. Оценивание FedRAMP основано на обзоре управления безопасностью NIST 800-53, который соответствует HIPAA Security Rule.
Сервисы, подходящие HIPAA
Начальный сервис Esri ArcGIS Online HIPAA Eligible - это его сервис геокодирования, доступный на geocode.arcgis.com. Esri дает список дополнительных сервисов HIPAA Eligible здесь, чтобы их можно было проверить на согласованность, основанной на требованиях клиента. Текущие ограничения и требования, связанные с сервисом геокодирования HIPAA Eligible, включают только United States Citizen Support Maintenance, Геокодирование для адресов США и вызовы No API-key (принимаются логины приложения и учетные записи пользователей).
ArcGIS HIPAA: часто задаваемые вопросы
Здесь приведены часто задаваемые вопросы, касающиеся ArcGIS и HIPAA:
Может ли организация войти в соглашение HIPAA Business Associate Agreement (BAA) c Esri для определенной подписки ArcGIS Online?
Да. Esri предлагает квалифицированным компаниями или их поставщикам BAA, которое покрывает сервисы HIPAA Eligible ArcGIS Online и соответствующую поддержку. BAA от Esri можно запросить через менеджер учетной записи. Это применимо для большинства общественных организации здравоохранения, больниц и компаний медицинского страхования; однако, федеральные агентства США и оборонные организации не включены в Esri BAA до тех пор, пока у ArcGIS Online не будет авторизации FedRAMP Moderate, что включено в дорожную карту 2022.
Какие сервисы я могу использовать в моей организации ArcGISOnline, если у меня есть BAA c Esri?
Вы можете использовать любые сервисы ArcGIS Online, разработанные как часть учетной записи организации HIPAA, но они должны обрабатывать, хранить и передавать защищенную информацию о здоровье (PHI) только в сервисы HIPAA Eligible, заданные в BAA.
Не согласится ли Esri использовать BAA моей организации вместо этого?
Нет. Esri не может изменить HIPAA BAA, потому что ArcGIS Online - это многопользовательское программное обеспечение Software as a Service (SaaS), согласованное для всех потребителей. Esri должны следовать тем же процедурам для всех. Чтобы минимизировать проблемы, Esri уже просмотрел и внедрил данные от BAA потребителей и общими провайдерами SaaS. Если потребителей должен использовать свой собственный BAA или требует значительной настройки Esri BAA, рекомендуется, что потребитель обратился к команде профессионального сервиса, чтобы рассмотреть специализированные потребности ArcGIS Online, так как с дополнительным развертыванием ArcGIS Enterprise.
Наличие BAA с Esri показывает, что организация работает согласно HIPAA и HITECH Act?
Нет, не только это. Соответствие HIPAA включает несколько видов ответственности для охваченной структуры - организации здравоохранения, работающей с уязвимыми данными. Предлагая BAA, Esri помогает поддерживать соответствие HIPAA, но использование сервисов Esri само по себе не дает соответствие. Потребители ответственны за то, чтобы у них была адекватная программа соответствия и внутренние процессы и за специальное использование сервисов Esri вместе с HIPAA и HITECH Act. Это больше, чем просто программное обеспечение или сервисы; это единый процесс для предотвращения нарушения конфиденциальности.
Как организации узнают об уязвимости их настроек ArcGIS Online?
Сначала пользователи могут получить ежегодный отчет об активах Esri FedRAMP в Non-Disclosure Agreement (NDA). Далее пользователи могут применить тестирование безопасности в условиях Esri Security Assessment Agreement (SAA), чтобы выполнить техническую проверку его предложения. И, наконец, Esri создал инструмент ArcGIS Security Advisor, который администратор организации может использовать, чтобы получить доступ к красной, желтой и зеленой итоговой информации в любое время.
Какая поддержка доступна с онлайн BAA от Esri.
В соответствии с требованиями регулятора США для электронной конфиденциальной информации о здоровье (ePHI), потребители, подписывая BAA, будут изначально использовать поддержку Esri только для граждан США. Она может быть расширена до стандартной глобальной поддержки в будущем по требованию. В стандартных условиях ресурсы поддержки как операций, так и клиента не просматривают наборы данных клиента ArcGIS Online. Если клиент решает, что ему нужна помощью Esri Support для доступа, скачивания или просмотра набора данных, относящегося к подписке ArcGIS Online, охваченной BAA, Esri может связаться с определенным заранее конфиденциальным ресурсом клиента для авторизации доступа.
Что, если сервисы, которые мне нужны, не HIPAA Eligible?
Esri продолжает добавлять сервисы, которые HIPAA Eligible, и эта страница будет обновляться по мере увеличения списка сервисов HIPAA Eligible. Рекомендуется, что клиенты с срочными потребностями сервисов, которые не являются сервисами HIPAA Eligible, использовали предложение ArcGIS Enterprise для удовлетворения своих потребностей в онлайн сервисах.