Skip To Content

HIPAA

HIPAA 徽标

《健康保险可携性和责任法案》(HIPAA) 隐私规则为涵盖实体持有的个人健康信息 (PHI) 提供联邦保护,并赋予患者一系列与该信息相关的权利。

HIPAA 法规要求涵盖实体及其业务伙伴(在本例中为 Esri,当其向涵盖实体提供服务(包括云服务)时)签订合同,以确保这些业务伙伴能够充分保护 PHI。 这些合同或业务伙伴协议 (BAA) 阐明并限制了业务伙伴处理 PHI 的方式,并规定了各方应遵守 HIPAA 和 HITECH 法案中规定的安全和隐私条款。

目前,没有 HIPAA 或 HITECH 法案合规性的官方认证,但是,以下 Esri 服务使用符合 HIPAA 安全规则标准的 NIST 800-53 安全控制,且已获得 FedRAMP 中等机构授权。

Esri 服务范围

ArcGIS Online HIPAA 服务

Esri 最初的 ArcGIS Online HIPAA 合格服务是其地理编码服务,可从 geocode.arcgis.com 获取。Esri 将在此处列出其他 HIPAA 合格服务,因为已根据客户需求对其是否合规进行了验证。 与 HIPAA 合格地理编码服务相关的当前限制和要求包括仅限美国公民支持维护、仅限美国地址的地理编码以及无 API 密钥调用(仅可接受应用程序登录帐户或用户帐户)。 作为多租户软件即服务 (SaaS) 产品,对所有客户都是一致的,Esri 不会因为个别客户要求修改 ArcGIS Online HIPAA BAA。

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus 是通过 Esri 专业服务提供的单租户 ArcGIS Enterprise。 EMCS Advanced Plus 可以与组织 BAA 条款进行协商,但默认情况下,也使用 Esri 的 HIPAA BAA。

ArcGIS HIPAA 常见问题解答

以下是有关 ArcGIS 和 HIPAA 的常见问题解答:

组织是否可以针对特定 ArcGIS Online 订阅与 Esri 签订 HIPAA 商业伙伴协议 (BAA)?

是。 Esri 将为合格的公司或其供应商提供 BAA,涵盖 HIPAA 合格 ArcGIS Online 和/或 EMCS Advanced Plus 服务和相关维护。 可以通过您的客户经理请求 Esri 的 BAA。 这将适用于大多数公共卫生组织、医院和健康保险公司;但是,在 ArcGIS Online 获得 FedRAMP 中等认证授权(该授权已在 2022 年的路线图上)之前,美国联邦机构和美国国防组织将不具备使用 Esri BAA 的资格。

如果我拥有 Esri 的 BAA,那么我可以在我的 ArcGIS Online 组织中使用哪些服务?

您可以使用指定为 HIPAA 组织帐户的一部分的任何 ArcGIS Online 服务,但它们只能在 BAA 中定义的 HIPAA 合格服务中处理、存储和传输受保护的健康信息 (PHI)。

Esri 是否将会同意使用我组织的 BAA?

对于 ArcGIS Online,不可以。Esri 无法修改 HIPAA BAA,因为 ArcGIS Online 是一种多租户软件即服务 (SaaS) 产品,对所有客户都是一致的。 针对每个人,Esri 都必须遵循相同的程序。 为了最大限度地减少问题,Esri 已经审查并整合了客户 BAA 和其他大中型 SaaS 提供商的意见。

EMCS Advanced Plus 可以与组织 BAA 条款进行协商,但默认情况下,也使用 Esri 的 HIPAA BAA。

如果客户必须使用自己的 BAA,或者需要对 Esri 的 BAA 进行大量自定义,建议客户联系专业服务团队以考虑其在 ArcGIS Online 之外的特殊需求,例如 ArcGIS Enterprise 的本地或 EMCS Advanced Plus 部署。

与 Esri 签订 BAA 是否表明组织符合 HIPAA 和 HITECH 法案?

否,并非单凭这一项。 HIPAA 合规性涉及涵盖实体(处理敏感数据的卫生组织)的多项责任。 通过提供 BAA,Esri 有助于支持您的 HIPAA 合规性,但使用 Esri 服务本身并不能实现合规性。 客户有责任确保其拥有适当的合规计划和内部流程,并且其对 Esri 服务的特定使用符合 HIPAA 和 HITECH 法案。 不仅仅是软件和服务;这是一个防止侵犯隐私的整体过程。

组织如何评估其 ArcGIS Online 配置的风险?

首先,根据保密协议 (NDA) 或通过访问 connect.gov 上提供的 FedRAMP 授权文件包,客户可以获得 Esri 的 FedRAMP 年度第三方评估报告。 其次,客户可以根据 Esri 安全评估协议 (SAA) 的条款实施安全测试,以对其产品进行技术验证。 最后,Esri 创建了 ArcGIS Security Advisor 工具,组织管理员可以使用该工具随时访问红色、黄色和绿色摘要。

Esri 的在线 BAA 提供哪些支持或维护?

根据美国对电子私人健康信息 (ePHI) 的监管要求,签约 BAA 的客户最初将使用 Esri 的仅限美国个人支持。 未来,这可能会根据需求扩展到标准的全球支持。 在标准条件下,运营和客户支持资源都不会查看 ArcGIS Online 客户数据集。 如果客户确定自己需要 Esri 支持帮助来访问、下载或查看与 BAA 涵盖的 ArcGIS Online 订阅相关的数据集,则 Esri 将联系预先确定的客户隐私资源以获得访问授权。

如果我需要的服务目前不符合 HIPAA 资格怎么办?

Esri 将继续添加 HIPAA 合格服务,此页面将随着 HIPAA 合格服务列表的增加而更新。 建议有即时服务需求但并非 HIPAA 合格的客户使用 ArcGIS Enterprise 产品来补充其在线服务需求。

资源