HIPAA

Gambaran Umum

Sejumlah penyedia layanan kesehatan, pembayar, dan ahli IT menggunakan layanan cloud berbasis utilitas AWS untuk memproses, menyimpan, dan menyiarkan informasi kesehatan yang dilindungi (PHI).

AWS memungkinkan entitas yang tercakup dan rekanan bisnisnya tunduk pada Health Insurance Portability and Accountability ACT (HIPAA) AS tahun 1996 untuk menggunakan lingkungan AWS yang aman guna memproses, memelihara, dan menyimpan informasi kesehatan yang dilindungi.

Untuk informasi mendetail tentang bagaimana Anda dapat menggunakan AWS untuk memproses dan menyimpan informasi kesehatan, lihat laporan resmi Merancang untuk Kepatuhan dan Keamanan HIPAA di Amazon Web Services.

Pelanggan Life Sciences dan Layanan Kesehatan AWS

  • Health Insurance Portability and Accountability Act tahun 1996 (HIPAA) adalah legislasi yang dirancang untuk mempermudah pekerja AS untuk tetap mendapatkan perlindungan jaminan kesehatan saat mereka berganti atau kehilangan pekerjaan. Legislasi tersebut bertujuan untuk mendorong catatan kesehatan elektronik agar meningkatkan efisiensi dan kualitas sistem layanan kesehatan AS melalui penyebaran informasi yang lebih baik.

    Seiring dengan meningkatnya penggunaan catatan kesehatan elektronik, HIPAA mencantumkan ketentuan untuk melindungi keamanan dan privasi informasi kesehatan yang dilindungi (PHI). PHI mencakup rangkaian besar data kesehatan yang dapat diidentifikasi secara personal dan data terkait kesehatan, termasuk informasi penagihan dan asuransi, data diagnosis, data perawatan klinis, dan hasil laboratorium seperti gambar dan hasil tes. Peraturan HIPAA berlaku untuk melindungi entitas, termasuk rumah sakit, penyedia layanan kesehatan, rencana kesehatan yang disponsori perusahaan, fasilitas penelitian, dan perusahaan asuransi yang menangani pasien dan data pasien secara langsung. Persyaratan HIPAA untuk melindungi PHI juga meluas hingga ke mitra bisnis.

    Health Information Technology for Economic and Clinical Health Act (HITECH) memperluas aturan HIPAA di tahun 2009. Bersama-sama, HIPAA dan HITECH menetapkan serangkaian standar federal yang bertujuan untuk melindungi privasi dan keamanan PHI. Ketentuan ini tercakup dalam apa yang kita kenal sebagai aturan "Penyederhanaan Administratif". HIPAA dan HITECH menentukan persyaratan terkait penggunaan serta pengungkapan PHI, pengamanan yang tepat untuk melindungi PHI, hak-hak individu, dan tanggung jawab administratif.

    Untuk informasi lebih lanjut tentang cara HIPAA dan HITECH melindungi informasi kesehatan, kunjungi halaman web Privasi Informasi Kesehatan dari Department of Health and Human Services Amerika Serikat.

  • Common Security Framework (CSF) Health Information Trust Alliance (HITRUST), dalam bahasanya sendiri, "merupakan kerangka kerja yang dapat disertifikasi yang menyajikan pendekatan yang efisien, fleksibel, dan komprehensif untuk kepatuhan peraturan dan manajemen risiko bagi organisasi. Dikembangkan dalam kerja sama dengan para profesional keamanan informasi serta layanan kesehatan, CSF HITRUST merasionalisasi standar dan peraturan terkait layanan kesehatan ke dalam sebuah kerangka kerja keamanan yang menyeluruh."

    CSF HITRUST bertugas untuk menggabungkan kontrol keamanan dari hukum federal (seperti HIPAA dan HITECH), undang-undang negara bagian (seperti Standards for the Protection of Personal Information of Residents of the Commonwealth Massachusetts), dan kerangka kerja non-pemerintah (seperti PCI Security Standards Council) ke dalam sebuah kerangka kerja yang disesuaikan untuk kebutuhan layanan kesehatan.

    AWS menyediakan platform komputasi yang andal, terukur, serta terjangkau yang mampu mendukung penerapan pelanggan layanan kesehatan secara konsisten dengan HIPAA, HITECH, dan CSF HITRUST.

  • Dalam regulasi HIPAA, penyedia layanan cloud (CSP) seperti AWS dianggap sebagai mitra bisnis. Business Associate Addendum (BAA) merupakan kontrak AWS yang diwajibkan menurut aturan HIPAA untuk memastikan bahwa AWS menjaga informasi kesehatan yang dilindungi (PHI) dengan sebagaimana mestinya. BAA juga bertujuan untuk mengklarifikasi dan membatasi, sesuai keperluan, pengungkapan dan penggunaan PHI yang diizinkan kepada AWS, berdasarkan hubungan antara AWS dan pelanggan kami, serta aktivitas atau layanan yang diberikan oleh AWS.

  • Ya. AWS memiliki Business Associate Addendum (BAA) standar yang kami berikan kepada pelanggan untuk ditandatangani. BAA AWS memperhitungkan layanan khusus yang diberikan AWS dan mengakomodasi Model Berbagi Tanggung Jawab AWS.

    Untuk meninjau, menerima, dan mengelola status BAA akun Anda, masuk ke AWS Artifact dalam AWS Management Console. Jika Anda tidak memiliki akses ke akun, dapatkan akun IAM gratis dari administrator dan minta akses ke kebijakan Artifact IAM.

    Langkah demi langkah: Pelajari tentang cara menggunakan AWS Artifact untuk menyetujui perjanjian untuk beberapa akun di organisasi Anda. (2:07)

    Lihat cara menggunakan AWS Artifact untuk menyetujui perjanjian untuk akun Anda. (1:39)

  • Tidak ada sertifikasi HIPAA untuk penyedia layanan cloud (CSP) seperti AWS. Agar dapat memenuhi persyaratan HIPAA yang berlaku untuk model operasi kami, AWS menyelaraskan program manajemen risiko HIPAA dengan FedRAMP dan NIST 800-53, yang merupakan standar keamanan yang lebih tinggi yang mengarah ke Aturan Keamanan HIPAA. NIST mendukung penyelarasan ini dan telah mengeluarkan SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule, yang mendokumentasikan keselarasan NIST 800-53 dengan Aturan Keamanan HIPAA.

  • Pelanggan dapat menggunakan layanan AWS dalam akun yang dikhususkan sebagai akun HIPAA, tapi mereka hanya boleh memproses, menyimpan, dan mentransmisikan informasi kesehatan yang dilindungi (PHI) dalam layanan yang memenuhi syarat HIPAA yang ditentukan dalam Business Associate Addendum (BAA). Untuk daftar terbaru layanan AWS yang memenuhi syarat HIPAA, kunjungi halaman web Rujukan Layanan yang Memenuhi Syarat HIPAA.

    AWS mengikuti program manajemen risiko berbasis standar untuk memastikan bahwa layanan yang memenuhi syarat HIPAA secara khusus mendukung proses keamanan, kontrol, dan administratif yang diwajibkan berdasarkan HIPAA. Menggunakan layanan ini untuk menyimpan dan memproses PHI memungkinkan pelanggan kami serta AWS memenuhi persyaratan HIPAA yang berlaku untuk model operasi berbasis utilitas kami. AWS memprioritaskan dan menambahkan layanan baru yang memenuhi syarat berdasarkan permintaan pelanggan.

    Untuk informasi lebih lanjut tentang program mitra bisnis kami, atau untuk meminta layanan baru yang memenuhi syarat, silakan hubungi kami.

  • Tidak. Ini adalah skenario yang paling umum dan banyak mitra solusi HIPAA menjalankan penawaran Software as a Service (SaaS) mereka di AWS. Anda sebagai mitra SaaS AWS menandatangani Business Associate Addendum (BAA) dengan AWS. Kemudian, setiap penyedia layanan kesehatan atau entitas yang tercakup menandatangani BAA hanya dengan Anda, mitra SaaS AWS. Jika entitas yang tercakup menggunakan solusi SaaS Anda juga merupakan pelanggan langsung AWS untuk sistem terkait HIPAA, maka entitas yang tercakup tersebut mungkin memerlukan dua BAA, satu dengan Anda dan satu lagi dengan AWS.

  • Pelanggan AWS dan Mitra Amazon Partner Network (APN) yang telah menandatangani Business Associate Addendum (BAA) dengan AWS tidak perlu menggunakan Host Khusus atau Instans Khusus Amazon Elastic Compute Cloud (EC2) atau untuk memproses informasi kesehatan yang dilindungi (PHI). Sebelum 15 Mei 2017, program kepatuhan HIPAA AWS mewajibkan pelanggan yang memproses PHI menggunakan Amazon EC2 harus menggunakan Instans Khusus atau Host Khusus terlebih dahulu, namun persyaratan ini telah dihapus.

Sumber Daya HIPAA

Merancang untuk Kepatuhan dan Keamanan HIPAA di Whitepaper AWS
Mulai Cepat: Kepatuhan HIPAA di AWS
Penyedia dan Penanggung Pemeliharaan Kesehatan di Cloud
Layanan Jaminan Keamanan AWS
Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »