Skip To Content

HIPAA

HIPAA logosu

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) Gizlilik Kuralı, kapsam dahilindeki kuruluşlar tarafından tutulan kişisel sağlık bilgileri (PHI) için federal koruma sağlar ve hastalara bu bilgilerle ilgili bir takım haklar sağlar.

HIPAA düzenlemeleri, kapsam dahilindeki kuruluşların ve iş ortaklarının, (bu durumda Esri kapsam dahilindeki kuruluşlara bulut hizmetleri de dahil olmak üzere hizmetler sunduğunda), PHI'nın yeterince korunmasını sağlamak için sözleşmeler imzalamasını gerektirir. Bu sözleşmeler veya İş Ortağı Sözleşmesi (BAA), iş ortağının PHI'yı nasıl ele alacağını açıklar, sınırlandırır ve her bir tarafın HIPAA ve HITECH Yasası'nda belirtilen güvenlik ve gizlilik hükümlerine bağlılığını ortaya koyar.

Şu anda, HIPAA veya HITECH Yasası uyumluluğu için resmi bir sertifika bulunmamaktadır; bunun yerine aşağıdaki Esri servisleri, HIPAA Güvenlik Kuralı standartlarıyla uyumlu NIST 800-53 güvenlik denetimlerini kullanan FedRAMP Moderate Agency tarafından yetkilendirilmiştir.

Esri kapsam içi Servisleri

ArcGIS Online HIPAA Servisleri

Esri'nin ilk ArcGIS Online HIPAA Hak Sahibi servisi, özellikle geocode.arcgis.com adresinde bulunan coğrafi kodlama servisidir. Esri burada, müşterinin talebi üzerine uyumluluk için doğrulanmış olduklarından ek HIPAA Hak Sahibi servislerini listeleyecektir. HIPAA Hak Sahibi coğrafi kodlama servisiyle ilgili mevcut kısıtlamalar ve gereksinimler arasında, yalnızca ABD Vatandaş Destek Bakımı, yalnızca ABD merkezli adresler için Coğrafi Kodlama ve API-anahtar çağrısı yok (yalnızca uygulama oturumları veya kullanıcı hesapları kabul edilebilir) bulunur. Tüm müşteriler için tutarlı olan çok kullanıcılı bir Hizmet Olarak Yazılım (SaaS) teklifi olduğundan Esri, benzersiz müşteri gereksinimleri için ArcGIS Online HIPAA BAA'yı değiştirmez.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus, Esri Professional Services üzerinden tek kullanıcılı bir ArcGIS Enterprise teklifidir. Varsayılan olarak Esri HIPAA BAA'yı kullanan EMCS Advanced Plus, bir kuruluşun BAA koşullarıyla uzlaşma olanağı sunar.

ArcGIS HIPAA SSS

ArcGIS ve HIPAA ile ilgili sık sorulan sorular şunlardır:

Bir kuruluş, belirli bir ArcGIS Online aboneliği için Esri ile HIPAA İş Ortağı Sözleşmesi (BAA) yapabilir mi?

Evet. Esri, uygun şirketlere veya tedarikçilerine HIPAA Hak sahibi ArcGIS Online ve/veya EMCS Advanced Plus servislerini ve ilgili bakımı kapsayan bir BAA sunar. Esri'nin BAA'sını hesap yöneticiniz aracılığıyla talep edebilirsiniz. Bu, çoğu halk sağlığı kuruluşu, hastane ve sağlık sigortası şirketi için geçerli olmakla birlikte ABD federal kurumları ve ABD savunma kuruluşları, ArcGIS Online FedRAMP Moderate yetkilendirmesine sahip olana kadar (2022 yol haritasında yer almaktadır) Esri BAA için kalifiye değildir.

Esri ile bir BAA'ya sahipsem, ArcGIS Online kuruluşumda hangi servisleri kullanabilirim?

Bir HIPAA kuruluş hesabının parçası olarak belirlenmiş herhangi bir ArcGIS Online servisi kullanabilirsiniz ancak bunlar, yalnızca BAA'da tanımlanan HIPAA Hak Sahibi hizmetlerinde korunan sağlık bilgilerini (PHI) işliyor, depoluyor ve aktarıyor olmalıdır.

Esri bunun yerine kuruluşumun BAA'sını kullanmayı kabul edecek mi?

ArcGIS Online için hayır. ArcGIS Online, tüm müşteriler için tutarlı olan çok kullanıcılı bir Hizmet Olarak Yazılım (SaaS) teklifi olduğundan Esri, HIPAA BAA'yı değiştiremez. Esri, herkes için aynı prosedürleri izlemelidir. Sorunları en aza indirmek amacıyla Esri, müşterilerin BAA'ları ve orta ölçekli-büyük SaaS sağlayıcılarından gelen girdileri halihazırda gözden geçirmiş ve birleştirmiştir.

Varsayılan olarak Esri HIPAA BAA'yı kullanan EMCS Advanced Plus, bir kuruluşun BAA koşullarıyla uzlaşma olanağı sunar.

Bir müşterinin kendi BAA'sını kullanması veya Esri'nin BAA'sının büyük ölçüde özelleştirilmesi gerekiyorsa, ArcGIS Enterprise'ın şirket içi veya EMCS Advanced Plus dağıtımı gibi ArcGIS Online dışındaki özel ihtiyaçlarını değerlendirmek için müşterinin Profesyonel Hizmetler ekibi ile iletişime geçmesi tavsiye edilir.

Esri ile bir BAA'ya sahip olmak, bir kuruluşun HIPAA ve HITECH Yasası ile uyumlu olduğu anlamına gelir mi?

Hayır, doğrudan bu anlama gelmez. HIPAA uyumluluğu, kapsam altındaki kuruluş (hassas verilerle çalışan sağlık kuruluşu) için çeşitli sorumluluklar içerir. Esri, bir BAA sunarak HIPAA uyumluluğunuzu desteklemeye yardımcı olur ancak Esri servislerini kullanıyor olmak, kendi başına bu uyumluluğu sağlamaz. Müşteriler, yeterli bir uyumluluk programına ve şirket içi süreçlere sahip olduklarından ve Esri servislerinin özel kullanımlarının HIPAA ve HITECH Yasası ile uyumlu olduğundan emin olmaktan sorumludur. Yazılım ve servislerden daha fazlasıdır; gizlilik ihlalini önleyen bütünsel bir süreçtir.

Bir kuruluş ArcGIS Online yapılandırmasının riskini nasıl değerlendirebilir?

İlk olarak müşteriler, Gizlilik Sözleşmesi (NDA) kapsamında veya connect.gov adresinde bulunan FedRAMP yetkilendirme paketlerine erişerek Esri'nin FedRAMP yıllık üçüncü şahıs değerlendirme raporunu alabilirler. İkincisi müşteriler, tekliflerinin teknik doğrulamasını gerçekleştirmek için Esri Güvenlik Değerlendirme Sözleşmesi (SAA) koşulları altında bir güvenlik testi uygulayabilir. Son olarak Esri, bir kuruluş yöneticisinin istediği zaman kırmızı, sarı ve yeşil bir özete erişim sağlamak için kullanabileceği ArcGIS Security Advisor aracını tasarlamıştır.

Esri'nin çevrim içi BAA'sında hangi destek veya bakım var?

Elektronik özel sağlık bilgileri (ePHI) için ABD merkezli bir düzenleyici gereksinim olarak bir BAA imzalayan müşteriler, başlangıçta yalnızca Esri'nin ABD-yalnızca Kişi desteğini kullanır. Bu destek, gelecekte talep üzerine standart küresel destek olarak genişletilebilir. Standart koşullar altında ArcGIS Online müşteri veri kümelerini, ne operasyon ne de müşteri destek kaynakları görüntüler. Bir müşteri, BAA kapsamındaki bir ArcGIS Online aboneliğiyle ilgili veri kümesine erişim sağlamak, indirmek veya görüntülemek için Esri Destek yardımına ihtiyacı olduğunu görürse, erişimin yetkilendirilmesi için Esri, önceden tanımlanmış müşteri gizlilik kaynağıyla iletişime geçecektir.

İstediğim servisler güncel olarak HIPAA Hak Sahibi servisleri değilse?

Esri, HIPAA Hak Sahibi hizmetlerini eklemeye devam ederken bu sayfa, HIPAA Hak Sahibi hizmetleri listesi büyüdükçe güncellenecektir. HIPAA Hak Sahibi dışı acil servis ihtiyaçları olan müşterilerin, çevrim içi servis ihtiyaçlarını desteklemek için ArcGIS Enterprise teklifini kullanmaları tavsiye edilir.

Kaynaklar