HIPAA

Genel Bakış

Korumalı sağlık bilgilerini (PHI) işlemek, depolamak ve aktarmak için AWS'nin yardımcı program tabanlı bulut hizmetlerini kullanan sağlık hizmeti sağlayıcıları, ödeme yapanlar ve BT uzmanlarının sayısı giderek artıyor.

AWS, 1996 tarihli ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'na (HIPAA) tabi korunan kurumlar ve iş ortaklarının, korunan sağlık bilgilerini işlemek, sürdürmek ve depolamak amacıyla güvenli AWS ortamını kullanmalarını sağlar.

AWS'yi sağlık bilgilerini işlemek ve depolamak amacıyla nasıl kullanabileceğiniz hakkında ayrıntılı bilgi için Amazon Web Services'ta HIPAA Güvenliğine ve Uyumluluğuna Yönelik Mimari başlıklı teknik incelemeye bakın.

AWS Sağlık Hizmetleri ve Yaşam Bilimleri Müşterileri

• HIPAA ve HITECH nedir?

  1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Amerikalı çalışanların işlerini değiştirdiklerinde veya kaybettiklerinde sağlık sigortası teminatlarını korumalarını kolaylaştırmak için tasarlanan bir düzenlemedir. Bu düzenleme aynı zamanda, gelişmiş bilgi paylaşımı aracılığıyla ABD sağlık hizmetleri sisteminin etkinliğini ve kalitesini iyileştirmek için elektronik sağlık kayıtlarının kullanılmasını teşvik etmektedir.

  HIPAA, elektronik tıbbi kayıtların kullanımını artırmanın yanı sıra korumalı sağlık bilgilerinin (PHI) güvenliğini ve gizliliğini sağlayan hükümler de içerir. PHI sigorta ve fatura bilgileri, tanı verileri, klinik bakım verileri ve görüntüler ile test sonuçları gibi laboratuvar sonuçları dahil olmak üzere kapsamlı kişisel sağlık bilgilerini ve sağlıkla ilgili verileri içerir. HIPAA kuralları doğrudan hastalar ve hasta verileriyle uğraşan hastaneler, tıbbi hizmet sağlayıcıları, işveren destekli sağlık planları, araştırma tesisleri ve sigorta şirketleri dahil olmak üzere kapsam içindeki kuruluşlar için geçerlidir. PHI koruması sağlayan HIPAA gereksinimi iş ortaklarını da kapsar.

  Ekonomik ve Klinik Sağlık İçin Sağlık Bilgileri Teknolojisi Yasası (HITECH), 2009 yılında HIPAA kurallarını genişletmiştir. HIPAA ve HITECH birlikte, PHI'nın güvenliğini ve gizliliğini koruma amaçlı bir dizi federal standart belirler. Bu hükümler, "Yönetimi Sadeleştirme" kuralları olarak bilinen hükümlerde yer almaktadır. HIPAA ve HITECH, PHI'nın kullanımı ve ifşasıyla ilgili gereksinimler, PHI'yı korumaya yönelik uygun önlemler, kişisel haklar ve yönetimle ilgili sorumluluklar getirir.

  Sağlık bilgilerinin HIPAA ve HITECH ile nasıl korunduğu hakkında daha fazla bilgi için, ABD Sağlık ve İnsani Hizmetler Bakanlığı'nın Sağlık Bilgilerinin Gizliliği web sayfasına bakın.
  

• HITRUST nedir?

  Health Information Trust Alliance (HITRUST), kendi kelimeleriyle şunu ifade ediyor: "Common Security Framework (CSF), kuruluşların mevzuata uyumluluk ve risk yönetimi için kapsamlı, esnek ve etkili bir yaklaşım sağlayan belgelenebilir bir entegrasyondur. Sağlık ve bilgi güvenliği uzmanlarıyla iş birliği yapılarak geliştirilen HITRUST CSF, sağlık hizmetleriyle ilgili yönetmelikleri düzenler ve tek bir kapsayıcı güvenlik entegrasyonu halinde standartlaştırır.

  HITRUST CSF, federal yasalar (HIPAA ve HITECH gibi), eyalet yasaları (Massachusetts Milletler Topluluğu Sakinlerinin Kişisel Bilgilerini Koruma Standartları) ve hükümet dışı yapılara (PCI Güvenlik Standartları Konseyi gibi) ait güvenlik denetimlerinin sağlık hizmeti ihtiyaçları için özelleştirilen tek bir çerçevede birleştirilmesini sağlar.

  AWS, sağlık hizmetleri müşterilerinin uygulamalarını HIPAA, HITECH ve HITRUST CSF ile uyumlu bir şekilde destekleyen güvenilir, ölçeklenebilir ve makul fiyatlı bir bilişim platformu sunar.
  

• İş Ortağı Eki nedir?

  HIPAA yönetmeliğine göre AWS gibi bulut hizmeti sağlayıcıları (CSP'ler) iş ortakları olarak kabul edilir. İş Ortağı Eki (BAA), AWS'nin korumalı sağlık bilgilerini (PHI) uygun şekilde korumasını sağlamak için HIPAA kuralları uyarınca gerekli olan bir AWS sözleşmesidir. BAA ayrıca, AWS ile müşterilerimiz arasındaki ilişkiye bağlı olarak, AWS tarafından izin verilen PHI kullanımı ile ifşalarının ve AWS tarafından gerçekleştirilen etkinlikler ile hizmetlerin uygun şekilde açıklığa kavuşturulmasını ve sınırlandırılmasını sağlar.
  

• AWS, HIPAA kuralları ve yönetmeliklerinde belirtildiği gibi bir İş Ortağı Eki imzalayacak mı?

  Evet. AWS'de, imzalamaları için müşterilere sunduğumuz standart bir İş Ortağı Eki (BAA) yer alır. Bu ek, AWS'nin sunduğu benzersiz hizmetleri hesaba katar ve AWS Paylaşılan Sorumluluk Modeli'ne uyum sağlar.

  Hesabınız için BAA'yı incelemek, kabul etmek veya durumunu yönetmek için AWS Management Console'daki AWS Artifact'te oturum açın. Hesabınıza erişiminiz yoksa yöneticinizden ücretsiz IAM hesabı ve Artifact IAM politikalarına erişim isteyin.
  

  Adım adım: Kuruluşunuzda birden fazla hesap i̇çin anlaşmaları kabul etmek üzere AWS Artifact'i kullanmayı öğrenin. (2:07)
  

  Hesabınız i̇çin bir anlaşmayı kabul etmek üzere AWS Artifact'i nasıl kullanacağınızı görün. (1:39)
  

• AWS, HIPAA sertifikalı mı?

  AWS gibi bulut hizmeti sağlayıcıları (CSP) için HIPAA sertifikası yoktur. AWS, işletme modeliniz için geçerli olan HIPAA gereksinimlerini karşılamak amacıyla HIPAA risk yönetimi programımızı HIPAA Güvenlik Kuralını karşılayan daha yüksek güvenlik standartları olan FedRAMP ve NIST 800-53 ile uyumlu hale getirmektedir. NIST, bu uyumluluğu desteklemekte olup NIST 800-53'ün HIPAA Güvenlik Kuralı'na nasıl uyumlu hale geldiğini belgeleyen SP 800-66 HIPAA Güvenlik Kuralını Uygulamak İçin Tanıtıcı Kaynak Kılavuzu'nu yayınlamıştır.

• AWS ile bir İş Ortağı Ekine sahipsem AWS hesabımda hangi hizmetleri kullanabilirim?

  Müşteriler, HIPAA hesabı olarak atanmış olan bir hesapta AWS hizmetini kullanabilir ancak yalnızca İş Ortağı Ekinde (BAA) tanımlanan HIPAA uyumlu hizmetlerde korumalı sağlık bilgilerini (PHI) işlemek, depolamak ve iletmek için kullanmalıdır. Güncel HIPAA'ya uygun AWS hizmetleri listesi için HIPAA'ya Uygun Hizmetler Referansı web sayfasına bakın.

  AWS, HIPAA uyumlu hizmetlerin özellikle HIPAA'nın gerektirdiği güvenlik, denetim ve yönetim süreçlerini desteklediğinden emin olmak için standartlara dayanan bir risk yönetimi programını takip eder. PHI'yı depolamak ve işlemek için bu hizmetlerin kullanılması, müşterilerimizin ve AWS'nin yardımcı program tabanlı işletme modelimize uygulanabilen HIPAA gereksinimlerini karşılamalarını sağlar. AWS, müşteri talebine bağlı olarak öncelik sıralaması yapar ve yeni uygun hizmetler ekler.

  İş ortağı programımız hakkında daha fazla bilgi veya yeni uygun hizmetler talep etmek için bize ulaşın.
  

• BAA'ya sahip bir AWS SaaS çözüm ortağıyım ve SaaS çözümlerimi sağlık hizmeti sağlayıcıları ile kapsam dahilindeki diğer kuruluşlara satıyorum. Kapsam dahilindeki bu kuruluşların da AWS ile BAA imzalaması gerekiyor mu?

  Hayır. Bu oldukça yaygın bir durumdur ve birçok HIPAA çözümü iş ortağı, Hizmet Olarak Yazılım (SaaS) tekliflerini AWS'de çalıştırır. AWS SaaS çözüm ortağı olarak AWS ile bir İş Ortağı Eki (BAA) imzalarsınız. Ardından, her sağlık hizmeti sağlayıcısı veya kapsam dahilindeki kuruluş AWS SaaS çözüm ortağı olarak yalnızca sizinle BAA imzalar. SaaS çözümlerinizi kullanan kapsam dahilindeki kuruluş, HIPAA ile ilgili sistemler konusunda AWS'nin doğrudan müşterisiyse kapsam dahilindeki kuruluşun sizinle ve AWS ile farklı BAA imzalaması gerekebilir.
  

• AWS HIPAA uyumluluğu programına göre, korumalı sağlık bilgilerini işlemek için Amazon EC2 Tahsis Edilmiş Bulut Sunucuları veya Tahsis Edilmiş Konakları kullanmam gerekli mi?

  AWS müşterileri ve AWS ile İş Ortağı Eki (BAA) imzalamış olan Amazon Çözüm Ortağı Ağı (APN) Çözüm Ortaklarının, korumalı sağlık bilgilerini (PHI) işlemek için Amazon Elastic Compute Cloud (EC2) Tahsis Edilmiş Bulut Sunucularını ve Tahsis Edilmiş Konakları kullanmasına gerek yoktur. 15 Mayıs 2017 tarihinden önce AWS HIPAA uyumluluğu programı, Amazon EC2 kullanarak PHI işleyen müşterilerin Tahsis Edilmiş Bulut Sunucuları veya Tahsis Edilmiş Konaklar kullanmasını gerektiriyordu ancak bu gereksinim kaldırıldı.