Я хочу получать информацию о HIPAA в облаке

 

 

AWS HIPAA

Все больше и больше поставщиков медицинских услуг, плательщиков и ИТ-специалистов используют облачные сервисы с оплатой по факту использования для обработки, хранения и передачи закрытой медицинской информации.

AWS позволяет организациям, на которые распространяется действие Акта США о передаче и защите данных учреждений здравоохранения (HIPAA), и их бизнес-партнерам использовать безопасную среду AWS для обработки, обслуживания и хранения закрытой медицинской информации.

Для клиентов, которым требуются более подробные сведения об использовании платформы AWS для обработки и хранения медицинской информации, AWS предоставляет техническое описание по HIPAA. В техническом описании «Создание медицинских приложений, отвечающих требованиям HIPAA, с помощью AWS» содержится информация о том, как можно использовать AWS для построения систем, которые обеспечивают соответствие требованиям HIPAA и HITECH.

Хотите начать работу с AWS Artifact? Прочтите пошаговые инструкции »

Нет доступа к аккаунту? Попросите администратора создать бесплатный аккаунт IAM и предоставить вам доступ к политикам Artifact IAM.

Пошаговая видеоинструкция (2:15)

Security-Identity-Compliance_AWS Artifact

Офлайн-договор BAA (1:45)

Security-Identity-Compliance_AWS Artifact

Получили сообщение об ошибке? (0:55)

Security-Identity-Compliance_AWS Artifact

Расторжение онлайн-договора BAA (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

Акт о передаче и защите данных учреждений здравоохранения (HIPAA) был принят в 1996 г. Этот закон был разработан для того, чтобы работники могли сохранять медицинскую страховку, когда они меняют место работы или теряют таковую. Еще одной целью было стимулирование использования электронных медицинских картотек, которые облегчают обмен информацией и, как следствие, повышают эффективность и качество американской системы здравоохранения.

Помимо этого закон содержит положения, предусматривающие защиту и сохранение конфиденциальности закрытой медицинской информации (ЗМИ). ЗМИ включает широкий спектр персональной медицинской информации: от данных страховки и информации об оплате до информации о диагнозе, клиническом обслуживании и результатах обследований, например снимках и анализах. Данные правила применяются к учреждениям, попадающим под действие закона, таким как больницы, поставщики медицинских услуг, корпоративные организации здравоохранения, научно-исследовательские учреждения и страховые компании, которые работают непосредственно с пациентами и их данными. Требования данного закона по защите ЗМИ также распространяются на деловых партнеров этих учреждений.

В 2009 году HIPAA был дополнен Законом о применении медицинских информационных технологий в экономической деятельности и клинической практике (HITECH). HIPAA и HITECH устанавливают набор государственных стандартов, обеспечивающих защиту и сохранение конфиденциальности ЗМИ. Эти положения включены в так называемые правила по упрощению административных процедур. HIPAA и HITECH определяют требования по использованию и раскрытию ЗМИ, соответствующие меры по защите ЗМИ, отдельные права и административные обязанности. Дополнительную информацию о том, какие меры по защите закрытой медицинской информации предусмотрены законами HIPAA и HITECH, см. на странице http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html.

Организация The Health Information Trust Alliance, или HITRUST Common Security Framework (CSF), описывает себя как «авторитетную структуру, которая предоставляет организациям комплексный, гибкий и эффективный подход к обеспечению соответствия и управлению рисками. HITRUST CSF была создана в сотрудничестве с экспертами в области здравоохранения и информационной безопасности, ее целью является создание единой всеобъемлющей системы безопасности для исполнения требований нормативных актов и стандартов в области здравоохранения».

HITRUST CSF стремится унифицировать контроль над безопасностью на уровне государственных законов, таких как HIPAA/HITECH, законодательства штатов, в частности Массачусетс, и негосударственных систем, например COBIT и PCI-DSS, в единую систему, ориентированную на использование в области здравоохранения.

AWS предоставляет надежную, масштабируемую и недорогую вычислительную платформу для поддержки медицинских приложений, совместимую с требованиями HIPAA, HITECH и HITRUST CSF. К примеру, один из наших клиентов создал на платформе AWS среду, которая была проверена на соответствие требованиям HIPAA/HITECH, а также получила сертификат HITRUST.

HIPAA определяет делового партнера как лицо или организацию, которая выполняет функции или виды деятельности от имени организации, попадающей под действие закона, или предоставляет ей определенные услуги, при этом не попадая непосредственно под действие закона. Понятие делового партнера также распространяется на субподрядчиков, которые создают, получают, хранят и передают закрытую медицинскую информацию от лица другого делового партнера. В соответствии с требованиями HIPAA поставщики облачных сервисов, такие как AWS, являются деловыми партнерами. Правила HIPAA требуют, чтобы организации, попадающие под действие закона, и их деловые партнеры заключали соглашение, предусматривающее надлежащую защиту закрытой медицинской информации со стороны деловых партнеров. Договор с деловым партнером уточняет и ограничивает допустимое использование и раскрытие деловым партнером закрытой медицинской информации на основании взаимоотношений между сторонами и выполняемой деловым партнером деятельности (или предоставляемых услуг). AWS рассматривает такие договоры как договоры делового партнерства.

Да. У AWS есть стандартный договор делового партнерства, который мы предлагаем на подпись клиентам. В нем приняты во внимание особенности сервисов AWS, а также учитывается модель общей ответственности AWS.

AWS Artifact можно использовать для просмотра и принятия Договора делового партнерства (BAA) для своего аккаунта, а также управления статусом этого договора.

Для поставщиков облачных сервисов, таких как AWS, сертификация HIPAA не предусмотрена. Для того чтобы обеспечить соответствие требованиям HIPAA, применимым к нашей операционной модели, AWS подстраивает свою модель управления рисками HIPAA под стандарт FedRAMP, а также NIST 800-53, который является более строгим стандартом безопасности, охватывающим правила безопасности HIPAA. Данное объединение поддерживается институтом NIST, который выпустил «Вводный справочник по ресурсам для реализации правил безопасности HIPAA, SP 800-66», содержащий информацию о соответствии NIST 800-53 и правилам безопасности HIPAA.

Клиенты вправе использовать любые сервисы AWS в рамках аккаунта, ориентированного на соблюдение требований HIPAA, но закрытую медицинскую информацию разрешается обрабатывать, хранить и передавать только с помощью сервисов, соответствующих требованиям HIPAA и перечисленных в договоре делового партнерства. На странице Справочник по сервисам, соответствующим требованиям HIPAA приведен актуальный список сервисов, соответствующих требованиям HIPAA.

AWS придерживается программы управления рисками, основанной на стандартах, чтобы обеспечить в сервисах поддержку безопасности, управления и административных процессов, которые предусмотрены требованиями HIPAA. При использовании перечисленных сервисов для хранения и обработки ЗМИ наши клиенты и AWS обеспечивают соответствие требованиям HIPAA, применимым к нашей операционной модели с оплатой по факту использования. На основании запросов клиентов AWS определяет приоритеты и добавляет в список новые сервисы.

Для получения дополнительной информации о программе делового партнерства, а также для отправки запроса на добавление необходимого сервиса свяжитесь с нами.

Нет. Это весьма распространенный сценарий, по которому уже работает несколько инновационных партнеров, предоставляющих решения HIPAA по модели SaaS в AWS. В этом случае каждый поставщик медицинских услуг или организация, попадающая под действие закона, заключает договор делового партнерства (ДДП) только с партнером SaaS, а партнер SaaS заключает соглашение с AWS. Если организация, попадающая под действие закона, использует решения партнера SaaS и является непосредственным клиентом AWS в области разработки систем HIPAA, то, возможно, потребуется заключить один ДДП с партнером SaaS и еще один ДДП с AWS.

Начиная с 15 мая 2017 года клиенты AWS и участники партнерской сети APN, подписавшие с AWS соглашение Business Associate Addendum (BAA), освобождаются от обязательного использования выделенных инстансов или выделенного хостинга Amazon EC2 для обработки закрытой медицинской информации (PHI). Прежде программа обеспечения соответствия требованиям HIPAA требовала, чтобы клиенты, которые обрабатывают закрытую медицинскую информацию (PHI) с применением Amazon EC2, использовали выделенные инстансы или выделенный хостинг. Эти требования теперь не актуальны.

Для клиентов, которым требуются более подробные сведения об использовании платформы AWS для обработки и хранения медицинской информации, AWS предоставляет техническое описание по HIPAA. В техническом описании «Создание медицинских приложений, отвечающих требованиям HIPAA, с помощью AWS» содержится информация о том, как можно использовать AWS для построения систем, которые обеспечивают соответствие требованиям HIPAA и HITECH.

Ресурсы по HIPAA

 

Свяжитесь с нами