我想了解有关云中的 HIPAA 的信息

 

 

AWS HIPAA

目前有大批医疗保健服务提供商、付款人和 IT 专业人士都在使用 AWS 基于效用的云服务来处理、存储和传输 PHI,且这一群体还在不断增大。

AWS 让受美国健康保险流通与责任法案 (HIPAA) 约束的实体及其商业伙伴可以利用安全的 AWS 环境来处理、维护和存储受保护的健康信息。

AWS 提供了一份以 HIPAA 为主题的白皮书,供想要详细了解如何利用 AWS 处理和存储健康信息的客户查阅。“利用 AWS 创建符合 HIPAA 要求的医疗数据应用程序”白皮书概述了公司如何利用 AWS 来处理可促进 HIPAA 和 HITECH 合规性的系统。

希望开始使用 AWS Artifact?阅读分步书面说明 » 

无法访问您的账户?请向您的管理员申请免费 IAM 账户并请求访问 Artifact IAM 策略

分步视频 (2:15)

Security-Identity-Compliance_AWS Artifact

离线 BAA (1:45)

Security-Identity-Compliance_AWS Artifact

查看错误消息? (0:55)

Security-Identity-Compliance_AWS Artifact

终止在线 BAA (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

美国健康保险流通与责任法案 (HIPAA) 于 1996 年通过。这项立法的目的在于使工人在跳槽或失业后更容易继续享受健康保险。该法案还力图推动电子健康记录的采用,以便通过加强信息共享来提高美国医疗保健系统的效率和质量。

在推动采用电子病历的同时,该法案还加入了相关规定来保障受保护健康信息 (PHI) 的安全性和隐私性。PHI 包含一系列非常广泛的可识别个人身份的健康数据和健康相关数据,例如,保险和账单信息、诊断数据、临床护理数据、影像等实验室结果以及测试结果。法案的条例适用于“所涉实体”,其中包括直接接触病人并处理病人数据的医院、医疗服务提供商、由雇主赞助的健康计划、研究机构和保险公司。该法案还将保护 PHI 这一要求的适用范围扩大到了“商业伙伴”。

随着 2009 年经济与临床健康信息技术法案的颁布,HIPPA 得到了进一步的扩充。HIPAA 和 HITECH 共同建立起了一套联邦标准,意在保障 PHI 的安全性和隐私性。这些条款包含在称为“简化管理”的规则中。HIPAA 和 HITECH 强制推行使用和披露 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。有关 HIPAA 和 HITECH 如何保护健康信息的其他信息,请访问:http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

健康信息信任联盟 (简称 HITRUST) 自身对其共同安全框架 (CSF) 的解释是,“是一个可认证的框架,为各企业提供了一种全面、灵活、高效的法律合规和风险管理方法。HITRUST CSF 由医疗保健和信息安全专业人士协作开发,将医疗保健相关法规和标准合理地整合至单个包罗万象的安全框架之中。”

HITRUST CSF 有助于统一联邦法律 (如 HIPAA/HITECH)、州法律 (如马萨诸塞州法律) 和非政府框架 (如 COBIT PCI-DSS) 的诸多安全控制条例,形成针对医疗保健需求和使用情况专门设计的单个框架。

AWS 提供一个可扩展且成本较低的可靠计算平台,能够以符合 HIPAA、HITECH 和 HITRUST CSF 要求的方式为医疗保健客户的应用程序提供支持。例如,我们的一位客户在 AWS 中创建了一个环境,该环境成功通过了 HIPAA/HITECH 合规性审计并获得 HITRUST 认证。

根据美国健康保险流通与责任法案 (HIPAA),“商业伙伴”是指代表所涉实体执行某些职能或活动,或为所涉实体提供某些服务,但与所涉实体没有雇佣关系的个人或实体。“商业伙伴”还包括代表其他商业伙伴创建、接收、维护或传输受保护健康信息的转包商,根据 HIPAA 法规的规定,AWS 等云服务提供商也被视作商业伙伴。HIPAA 条例通常要求所涉实体与商业伙伴签订合同,以确保商业伙伴以适当方式保护受保护健康信息。此外,商业伙伴合同还会根据双方之间的关系以及商业伙伴所执行的活动或提供的服务,恰当地阐明和限制商业伙伴对受保护健康信息的使用和披露权限。AWS 将这些合同称为商业伙伴增订合约。

是。我们会将 AWS 的标准商业伙伴增订合约提供给客户让他们签署。该增订合约涵盖 AWS 提供的特色服务,并采用 AWS 责任共担模式

您可以使用 AWS Artifact 来查看、接受和管理您账户的商业伙伴增订合约 (BAA) 的状态。

没有面向 AWS 等云服务提供商的 HIPAA 认证。为了满足适用于我们的运营模型的 HIPAA 要求,AWS 根据 FedRAMP 和 NIST 800-53 调整了 HIPAA 风险管理计划,后者是与 HIPAA 安全规则相对应的更高安全性标准。NIST 支持这种对应,并发布了 SP 800-66,这是一个“实施 HIPAA 安全规则的介绍性资源指南”,说明了如何将 NIST 800-53 与 HIPAA 安全规则对应。

客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务,但他们只能通过 BAA 中规定的符合 HIPAA 要求的服务处理、存储和传输 PHI。符合 HIPAA 要求的服务参考页面中列出了最新的符合 HIPAA 要求的服务。

AWS 采用基于标准的风险管理计划来确保符合 HIPAA 要求的服务明确支持 HIPAA 法案要求的安全、控制和管理程序。如果使用这些服务来存储和处理 PHI,客户和 AWS 就能成功满足适用于我们基于效用的运营模型的 HIPAA 要求。AWS 优先考量客户需求,并据此增加新的合格服务。

若欲了解有关商业伙伴计划的更多信息,或申请新的合格服务,请联系我们

不需要。这种情况很常见,有很多富于创新的 HIPAA 解决方案合作伙伴在 AWS 中运行他们的 SaaS 产品。在这种情况下,每个医疗保健服务提供商或所涉实体只需与 SaaS 合作伙伴签订 BAA,再由 SaaS 合作伙伴与 AWS 签订 BAA。如果通过 SaaS 合作伙伴购买 SaaS 解决方案的所涉实体同时也是 HIPAA AWS 相关系统的直接客户,那么,该实体可能需要分别与 SaaS 合作伙伴和 AWS 签订 BAA。

从 2017 年 5 月 15 日起,与 AWS 签订了业务合作附录 (BAA) 的 AWS 客户和 APN 合作伙伴不再需要使用 Amazon EC2 专用实例或专用主机来处理受保护的健康信息 (PHI)。AWS HIPAA 合规计划以前要求使用 Amazon EC2 来处理受保护的健康信息 (PHI) 的客户必须使用专用实例或专用主机。我们取消了这项要求。

AWS 提供了一份以 HIPAA 为主题的白皮书,供想要详细了解如何利用 AWS 处理和存储健康信息的客户查阅。Creating HIPAA-Compliant Medical Data Applications with AWS 白皮书概述了公司如何使用 AWS 来处理促进 HIPAA 和 HITECH 合规性的系统。

HIPAA 资源

 

联系我们