HIPAA

ภาพรวม

มีผู้ให้บริการด้านการดูแลสุขภาพ ผู้จ่าย และผู้เชี่ยวชาญด้านไอทีจำนวนมากหันมาใช้บริการระบบคลาวด์ที่ใช้ยูทิลิตีของ AWS เพื่อประมวลผล จัดเก็บ และโอนถ่ายข้อมูลด้านสุขภาพที่ได้รับการปกป้อง (PHI)

ซึ่ง AWS ช่วยให้หน่วยงานต่างๆ ที่ได้รับการคุ้มครองและผู้ร่วมธุรกิจของพวกเขาที่ต้องปฏิบัติตาม Health Insurance Portability and Accountability Act of 1996 (HIPAA) ของสหรัฐฯ สามารถใช้สภาพแวดล้อม AWS ที่ปลอดภัยในการประมวลผล รักษา และจัดเก็บข้อมูลด้านสุขภาพที่ได้รับการปกป้อง

สามารถศึกษารายละเอียดเกี่ยวกับวิธีใช้ AWS เพื่อประมวลผลและจัดเก็บข้อมูลด้านสุขภาพได้ในเอกสารรายงานการวางสถาปัตยกรรมเพื่อความปลอดภัยและการปฏิบัติตามข้อกำหนดของ HIPAA บน Amazon Web Services

ลูกค้าด้านการดูแลสุขภาพและวิทยาศาสตร์ชีวภาพของ AWS

• HIPAA และ HITECH คืออะไร

  Health Insurance Portability and Accountability Act of 1996 (HIPAA) เป็นกฎหมายซึ่งออกแบบมาเพื่ออำนวยความสะดวกให้แก่แรงงานชาวสหรัฐอเมริกาในการต่ออายุความคุ้มครองประกันสุขภาพของตนเองได้แม้จะเปลี่ยนงานหรือตกงาน กฎหมายนี้ยังส่งเสริมให้ใช้งานข้อมูลบันทึกสุขภาพแบบอิเล็กทรอนิกส์เพื่อพัฒนาประสิทธิภาพและคุณภาพของระบบดูแลสุขภาพของสหรัฐอเมริกาผ่านการแชร์ข้อมูลที่พัฒนาขึ้น

  ตลอดจนเพิ่มการใช้งานบันทึกการแพทย์แบบอิเล็กทรอนิกส์ โดย HIPAA มีบทบัญญัติด้านการปกป้องความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพที่ได้รับการปกป้อง (PHI) PHI ครอบคลุมถึงชุดข้อมูลสุขภาพและชุดข้อมูลที่เกี่ยวเนื่องกับสุขภาพแบบระบุตัวตนได้ ซึ่งรวมถึงประกันภัยและข้อมูลการเรียกเก็บเงิน ข้อมูลการวินิจฉัยโรค ข้อมูลการเข้ารับการรักษากับคลินิก และผลแล็บ เช่น รูปภาพ และ ผลการทดสอบ กฎของ HIPAA มีผลบังคับใช้กับหน่วยงานต่างๆ ที่ได้รับการคุ้มครอง ซึ่งรวมถึงโรงพยาบาล ผู้ให้บริการด้านการแพทย์ แผนสุขภาพของลูกจ้างซึ่งสนับสนุนโดยนายจ้าง สถานวิจัย และบริษัทประกันภัยซึ่งจัดการกับผู้ป่วยและข้อมูลของผู้ป่วยโดยตรง ข้อกำหนดของ HIPAA ในการปกป้อง PHI ครอบคลุมถึงผู้ร่วมธุรกิจด้วยเช่นกัน

  Health Information Technology for Economic and Clinical Health Act (HITECH) ได้ขยายกฎของ HIPAA ในปี 2009 ทั้ง HIPAA และ HITECH ร่วมกันสร้างมาตรฐานระดับรัฐโดยมีจุดมุ่งหมายเพื่อปกป้องความปลอดภัยและความเป็นส่วนตัวของ PHI บทบัญญัตินี้เป็นส่วนหนึ่งของกฎที่รู้จักกันในชื่อ “การลดความซับซ้อนในการบริหารจัดการ” HIPAA และ HITECH ระบุข้อกำหนดเกี่ยวกับการใช้และเปิดเผย PHI, การรักษาความปลอดภัยที่เหมาะสมสำหรับปกป้อง PHI, สิทธิส่วนบุคคล และความรับผิดชอบต่อการบริหารจัดการ

  คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ HIPAA และ HITECH ใช้ในการปกป้องข้อมูลด้านสุขภาพได้ที่หน้าเว็บความเป็นส่วนตัวของข้อมูลสุขภาพของกระทรวงสุขภาพและบริการมนุษย์ประจำสหรัฐอเมริกา
  

• HITRUST คืออะไร

  The Health Information Trust Alliance (HITRUST) Common Security Framework (CSF) กล่าวว่าตนเอง "คือมาตรฐานการควบคุมซึ่งมอบวิธีที่ครอบคลุม ยืดหยุ่น และมีประสิทธิภาพในการจัดการความเสี่ยงและปฏิบัติตามข้อกำหนดให้แก่องค์กรต่างๆ HITRUST CSF พัฒนามาจากการประสานงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและการดูแลสุขภาพ โดยจัดข้อกำหนดและมาตรฐานที่เกี่ยวข้องกับการดูแลสุขภาพให้เป็นกรอบการทำงานด้านความปลอดภัยที่ครอบคลุมทุกสิ่งในกรอบเดียว"

  HITRUST CSF ทำหน้าที่รวมการควบคุมความปลอดภัยจากกฎหมายของรัฐบาลกลาง (เช่น HIPAA และ HITECH), กฎหมายระดับรัฐ (เช่น มาตรฐานสำหรับการปกป้องข้อมูลส่วนบุคคลของผู้มีถิ่นพำนักอยู่ภายในรัฐ ของแมสซาชูเซตส์) และเกรอบการทำงานขององค์กรนอกภาครัฐ (เช่น สภามาตรฐานด้านความมั่นคงปลอดภัย PCI) ให้กลายเป็นกรอบการทำงานเดียวซึ่งปรับแต่งมาให้รับกับความต้องการด้านการดูแลสุขภาพ

  AWS มอบแพลตฟอร์มการประมวลผลที่เชื่อถือได้ ปรับขนาดได้ และมีราคาย่อมเยาซึ่งสามารถรองรับแอปพลิเคชันด้านการดูแลสุขภาพของลูกค้าในลักษณะที่สอดคล้องกับ HIPAA HITECH และ HITRUST CSF
  

• Business Associate Addendum คืออะไร

  ภายใต้ข้อกำหนดของ HIPAA จะถือว่าผู้ให้บริการระบบคลาวด์ (CSP) อย่าง AWS เป็น ผู้ร่วมธุรกิจ Business Associate Addendum (BAA) คือสัญญาของ AWS ที่จัดทำขึ้นตามกฎของ HIPAA เพื่อให้แน่ใจว่า AWS มอบการรักษาความปลอดภัยที่เหมาะสมแก่ข้อมูลด้านสุขภาพที่ได้รับการปกป้อง (PHI) นอกจากนี้ BAA ยังทำหน้าที่ชี้แจงและจำกัดการใช้งานและการเปิดเผย PHI ที่อนุญาตโดย AWS ตามความเหมาะสม โดยอิงตามความสัมพันธ์ระหว่าง AWS กับลูกค้าของเรา และกิจกรรมหรือบริการที่ดำเนินการโดย AWS
  

• AWS จะลงนามใน Business Associate Addendum ตามที่อธิบายไว้ในกฎและข้อกำหนดของ HIPAA หรือไม่

  ใช่ AWS มี Business Associate Addendum (BAA) มาตรฐานซึ่งเรายื่นให้ลูกค้าลงนาม โดยคำนึงถึงบริการที่ไม่เหมือนใครที่ AWS มอบให้และสอดรับกับโมเดลความรับผิดชอบร่วมกันของ AWS

  หากต้องการตรวจสอบ ยืนยัน และจัดการสถานะของ BAA สำหรับบัญชีของคุณ ให้ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หากคุณไม่สามารถเข้าถึงบัญชีของตนเองได้ ให้ยื่นขอบัญชี IAM ฟรีจากผู้ดูแลระบบของคุณและขอรับการเข้าถึง นโยบาย Artifact IAM
  

  ทีละขั้นตอน:เรียนรู้วิธีใช้ AWS Artifact เพื่อยอมรับข้อตกลงสำหรับหลายบัญชีในองค์กรของคุณ (2:07)
  

  ดูวิธีใช้ AWS Artifact เพื่อยอมรับข้อตกลงสำหรับบัญชีของคุณ (1:39)
  

• AWS ได้รับการรับรองจาก HIPAA หรือไม่

  ทาง HIPAA ไม่มีการออกการรับรองสำหรับผู้ให้บริการระบบคลาวด์ (CSP) อย่าง AWS ดังนั้นเพื่อให้ตรงตามข้อกำหนดของ HIPAA ที่มีผลบังคับใช้กับรูปแบบการดำเนินงานของเรา ทาง AWS จึงปรับโปรแกรมการจัดการความเสี่ยง HIPAA ของเราให้สอดคล้องกับ FedRAMP และ NIST 800-53 ซึ่งมีมาตรฐานด้านความปลอดภัยที่สูงกว่า ซึ่งสามารถวางแผนให้สอดคล้องกับกฎความปลอดภัยของ HIPAA ได้ NIST รองรับการดำเนินการสอดคล้องนี้และได้ออก SP 800-66 คู่มือทรัพยากรเบื้องต้นสำหรับการปรับใช้กฎความปลอดภัยของ HIPAA ซึ่งระบุว่า NIST 800-53 สอดคล้องกับกฎความปลอดภัยของ HIPAA อย่างไร

• ฉันสามารถใช้บริการใดในบัญชี AWS ได้บ้างหากฉันมี Business Associate Addendum กับ AWS

  ลูกค้าสามารถใช้บริการใดก็ได้ของ AWS ในบัญชีที่กำหนดให้เป็นบัญชี HIPAA แต่บัญชีนั้นควรใช้ประมวลผล จัดเก็บ และถ่ายโอนเฉพาะข้อมูลสุขภาพที่ได้รับการปกป้อง (PHI) ในบริการที่ผ่านเกณฑ์ของ HIPAA ตามที่ระบุไว้ใน Business Associate Addendum (BAA) คุณสามารถดูรายชื่อล่าสุดของบริการ AWS ที่ผ่านเกณฑ์ของ HIPAA ได้ที่หน้าเว็บข้อมูลอ้างอิงเกี่ยวกับบริการที่่ผ่านเกณฑ์ HIPAA

  AWS ดำเนินการตามโปรแกรมการจัดการความเสี่ยงตามมาตรฐานเพื่อให้แน่ใจว่าบริการที่ผ่านเกณฑ์ของ HIPAA จะรองรับความปลอดภัย การควบคุม และกระบวนการจัดการเป็นพิเศษตามที่กำหนดโดย HIPAA การใช้บริการเหล่านี้เพื่อจัดเก็บและประมวลผล PHI ช่วยให้ลูกค้าของเราและ AWS สามารถจัดการกับข้อกำหนด HIPAA ที่บังคับใช้กับรูปแบบการทำงานที่อิงจากยูทิลิตีของเราได้ AWS ให้ความสำคัญและเพิ่มบริการที่ผ่านเกณฑ์ใหม่ๆ ตามความต้องการของลูกค้า

  หากต้องการรับข้อมูลเกี่ยวกับโปรแกรมผู้ร่วมธุรกิจ หรือแจ้งขอบริการที่ผ่านเกณฑ์ใหม่ๆ โปรด ติดต่อเรา
  

• ฉันเป็นคู่ค้า AWS SaaS ที่มี BAA และฉันขายโซลูชัน SaaS ของฉันให้แก่ผู้ให้บริการด้านการดูแลสุขภาพหรือหน่วยงานอื่นที่ได้รับการคุ้มครอง หน่วยงานอื่นที่ได้รับการคุ้มครองดังกล่าวจำเป็นต้องลงนามใน BAA กับ AWS ด้วยหรือไม่

  ไม่ นี่คือสถานการณ์ที่พบได้ตามปกติและคู่ค้าโซลูชัน HIPAA หลายรายต่างใช้ซอฟต์แวร์เป็นบริการ (SaaS) ของพวกเขาที่มีให้ใน AWS คุณลงนาม Business Associate Addendum (BAA) กับ AWS ในฐานะคู่ค้า SaaS ของ AWS จากนั้นผู้ให้บริการด้านการดูแลสุขภาพหรือหน่วยงานที่ได้รับการคุ้มครองแต่ละรายจะลงนาม BAA เฉพาะกับคุณซึ่งเป็นคู่ค้า SaaS ของ AWS หากหน่วยงานที่ได้รับการคุ้มครองซึ่งกำลังใช้โซลูชัน SaaS ของคุณอยู่เป็นลูกค้าโดยตรงของระบบที่เกี่ยวข้องกับ HIPAA ของ AWS ด้วย กรณีนี้ หน่วยงานที่ได้รับการคุ้มครองดังกล่าวจะต้องลงนาม BAA ร่วมกับคุณหนึ่งฉบับและลงนาม BAA ร่วมกับ AWS อีกหนึ่งฉบับ
  

• โปรแกรมการปฏิบัติตามข้อกำหนดของ HIPAA ของ AWS กำหนดให้ฉันต้องใช้ Amazon EC2 Dedicated Instances หรือ Dedicated Hosts เพื่อประมวลผลข้อมูลด้านสุขภาพที่ได้รับการปกป้องใช่หรือไม่

  ลูกค้า AWS และคู่ค้า Amazon Partner Network (APN) ที่ได้ลงนามใน Business Associate Addendum (BAA) ไม่จำเป็นต้องใช้ Amazon Elastic Compute Cloud (EC2) Dedicated Instances หรือ Dedicated Hosts เพื่อประมวลผลข้อมูลสุขภาพที่ได้รับการปกป้อง (PHI) ก่อนวันที่ 15 พฤษภาคม 2017 โปรแกรมการปฏิบัติตามข้อกำหนดของ HIPAA ของ AWS ออกกฏให้ลูกค้าที่ประมวลผล PHI โดยใช้ Amazon EC2 ต้องใช้ Dedicated Instances หรือ Dedicated Hosts ด้วย แต่กฏได้ถูกยกเลิกแล้ว