Соответствие требованиям HIPAA

Обзор

HIPAA-sized

Все больше и больше поставщиков медицинских услуг, плательщиков и ИТ-специалистов используют облачные сервисы с оплатой по факту использования для обработки, хранения и передачи закрытой медицинской информации.

AWS позволяет организациям, на которые распространяется действие Акта США о передаче и защите данных учреждений здравоохранения (HIPAA), и их бизнес-партнерам использовать безопасную среду AWS для обработки, обслуживания и хранения закрытой медицинской информации.

Для клиентов, которым требуются более подробные сведения об использовании платформы AWS для обработки и хранения медицинской информации, AWS предоставляет техническое описание по HIPAA. В техническом описании «Создание медицинских приложений, отвечающих требованиям HIPAA, с помощью AWS» содержится информация о том, как можно использовать AWS для построения систем, которые обеспечивают соответствие требованиям HIPAA и HITECH.

Клиенты AWS в области здравоохранения и медико-биологических разработок

  • Что такое HIPAA и HITECH?

    Акт о передаче и защите данных учреждений здравоохранения (HIPAA) был принят в 1996 г. Этот закон был разработан для того, чтобы работники могли сохранять медицинскую страховку, когда они меняют место работы или теряют таковую. Еще одной целью было стимулирование использования электронных медицинских картотек, которые облегчают обмен информацией и, как следствие, повышают эффективность и качество американской системы здравоохранения.

    Помимо этого закон содержит положения, предусматривающие защиту и сохранение конфиденциальности закрытой медицинской информации (ЗМИ). ЗМИ включает широкий спектр персональной медицинской информации: от данных страховки и информации об оплате до информации о диагнозе, клиническом обслуживании и результатах обследований, например снимках и анализах. Данные правила применяются к учреждениям, попадающим под действие закона, таким как больницы, поставщики медицинских услуг, корпоративные организации здравоохранения, научно-исследовательские учреждения и страховые компании, которые работают непосредственно с пациентами и их данными. Требования данного закона по защите ЗМИ также распространяются на деловых партнеров этих учреждений.

    В 2009 году HIPAA был дополнен Законом о применении медицинских информационных технологий в экономической деятельности и клинической практике (HITECH). HIPAA и HITECH устанавливают набор государственных стандартов, обеспечивающих защиту и сохранение конфиденциальности ЗМИ. Эти положения включены в так называемые правила по упрощению административных процедур. HIPAA и HITECH определяют требования по использованию и раскрытию ЗМИ, соответствующие меры по защите ЗМИ, отдельные права и административные обязанности. Дополнительную информацию о том, какие меры по защите закрытой медицинской информации предусмотрены законами HIPAA и HITECH, см. на странице http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html.

  • Что такое HITRUST?

    Организация The Health Information Trust Alliance, или HITRUST Common Security Framework (CSF), описывает себя как «авторитетную структуру, которая предоставляет организациям комплексный, гибкий и эффективный подход к обеспечению соответствия и управлению рисками. HITRUST CSF была создана в сотрудничестве с экспертами в области здравоохранения и информационной безопасности, ее целью является создание единой всеобъемлющей системы безопасности для исполнения требований нормативных актов и стандартов в области здравоохранения».

    HITRUST CSF стремится унифицировать контроль над безопасностью на уровне государственных законов, таких как HIPAA/HITECH, законодательства штатов, в частности Массачусетс, и негосударственных систем, например COBIT и PCI-DSS, в единую систему, ориентированную на использование в области здравоохранения.

    AWS предоставляет надежную, масштабируемую и недорогую вычислительную платформу для поддержки медицинских приложений, совместимую с требованиями HIPAA, HITECH и HITRUST CSF.

  • Что такое договор делового партнерства?

    HIPAA определяет делового партнера как лицо или организацию, которая выполняет функции или виды деятельности от имени организации, попадающей под действие закона, или предоставляет ей определенные услуги, при этом не попадая непосредственно под действие закона. Понятие делового партнера также распространяется на субподрядчиков, которые создают, получают, хранят и передают закрытую медицинскую информацию от лица другого делового партнера. В соответствии с требованиями HIPAA поставщики облачных сервисов, такие как AWS, являются деловыми партнерами. Правила HIPAA требуют, чтобы организации, попадающие под действие закона, и их деловые партнеры заключали соглашение, предусматривающее надлежащую защиту закрытой медицинской информации со стороны деловых партнеров. Договор с деловым партнером уточняет и ограничивает допустимое использование и раскрытие деловым партнером закрытой медицинской информации на основании взаимоотношений между сторонами и выполняемой деловым партнером деятельности (или предоставляемых услуг). AWS рассматривает такие договоры как договоры делового партнерства.

  • Подписывает ли AWS договор делового партнерства, описанный в положениях и правилах HIPAA?

    Да. У AWS есть стандартный договор делового партнерства, который мы предлагаем на подпись клиентам. В нем приняты во внимание особенности сервисов AWS, а также учитывается модель общей ответственности AWS.

    AWS Artifact можно использовать для просмотра и принятия Договора делового партнерства (BAA) для своего аккаунта, а также управления статусом этого договора.

    Пошаговая видеоинструкция
    Получили сообщение об ошибке?
    Офлайн-договор BAA
    Расторжение онлайн-договора BAA
  • Получила ли AWS сертификацию HIPAA?

    Для поставщиков облачных сервисов, таких как AWS, сертификация HIPAA не предусмотрена. Для того чтобы обеспечить соответствие требованиям HIPAA, применимым к нашей операционной модели, AWS подстраивает свою модель управления рисками HIPAA под стандарт FedRAMP, а также NIST 800-53, который является более строгим стандартом безопасности, охватывающим правила безопасности HIPAA. Данное объединение поддерживается институтом NIST, который выпустил «Вводный справочник по ресурсам для реализации правил безопасности HIPAA, SP 800-66», содержащий информацию о соответствии NIST 800-53 и правилам безопасности HIPAA.

  • Какими сервисами я могу пользоваться в своем аккаунте AWS, если у меня заключен с AWS договор делового партнерства?

    Клиенты вправе использовать любые сервисы AWS в рамках аккаунта, ориентированного на соблюдение требований HIPAA, но закрытую медицинскую информацию разрешается обрабатывать, хранить и передавать только с помощью сервисов, соответствующих требованиям HIPAA и перечисленных в договоре делового партнерства. На странице Справочник по сервисам, соответствующим требованиям HIPAA приведен актуальный список сервисов, соответствующих требованиям HIPAA.

    AWS придерживается программы управления рисками, основанной на стандартах, чтобы обеспечить в сервисах поддержку безопасности, управления и административных процессов, которые предусмотрены требованиями HIPAA. При использовании перечисленных сервисов для хранения и обработки ЗМИ наши клиенты и AWS обеспечивают соответствие требованиям HIPAA, применимым к нашей операционной модели с оплатой по факту использования. На основании запросов клиентов AWS определяет приоритеты и добавляет в список новые сервисы.

    Для получения дополнительной информации о программе делового партнерства, а также для отправки запроса на добавление необходимого сервиса свяжитесь с нами.

  • Если вы являетесь партнером AWS SaaS с договором делового партнерства и продаете свои решения поставщику медицинских услуг или другим организациям, попадающим под действие закона, нужно ли этим организациям заключать с AWS свои договоры делового партнерства?

    Нет. Это весьма распространенный сценарий, по которому уже работает несколько инновационных партнеров, предоставляющих решения HIPAA по модели SaaS в AWS. В этом случае каждый поставщик медицинских услуг или организация, попадающая под действие закона, заключает договор делового партнерства (ДДП) только с партнером SaaS, а партнер SaaS заключает соглашение с AWS. Если организация, попадающая под действие закона, использует решения партнера SaaS и является непосредственным клиентом AWS в области разработки систем HIPAA, то, возможно, потребуется заключить один ДДП с партнером SaaS и еще один ДДП с AWS.

  • Что изменилось в программе обеспечения соответствия сервисов AWS требованиям HIPAA?

    Начиная с 15 мая 2017 года клиенты AWS и участники партнерской сети APN, подписавшие с AWS соглашение Business Associate Addendum (BAA), освобождаются от обязательного использования выделенных инстансов или выделенного хостинга Amazon EC2 для обработки закрытой медицинской информации (PHI). Прежде программа обеспечения соответствия требованиям HIPAA требовала, чтобы клиенты, которые обрабатывают закрытую медицинскую информацию (PHI) с применением Amazon EC2, использовали выделенные инстансы или выделенный хостинг. Эти требования теперь не актуальны.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »