健康保险可移植性和责任法案 (HIPAA) & 健康信息技术经济和临床健康 (HITECH) 法案
HIPAA 和 HITECH 法案概述
1996年《健康保险可移植性和责任法案》 (HIPAA) 以及根据 HIPAA 颁布的法规是一套美国医疗保健法,它们规定了使用、披露和保护个人可识别健康信息的要求。 2009年颁布了《经济和临床卫生信息技术 (HITECH) 法》,扩大了HIPAA的范围。
HIPAA 适用于涵盖的实体,具体 (医疗保健提供者、健康计划和医疗保健信息交换所,) 创建、接收、维护、传输或访问患者受保护的健康信息 (PHI) 。 HIPAA 还适用于涵盖实体的业务伙伴,这些实体在向涵盖实体提供服务或代表涵盖实体提供服务时执行涉及 PHI 的某些功能或活动。
当涵盖实体使用云服务提供商的服务(例如Microsoft)时,云服务提供商将成为 HIPAA 下的业务伙伴。 此外,当业务伙伴与云服务提供商分包以创建、接收、维护或传输 PHI 时,云服务提供商也会成为业务伙伴。
Microsoft、HIPAA 和 HITECH 法案
HIPAA 法规要求根据规则 (定义的涵盖实体) 与业务伙伴签订协议,以确保 PHI 得到充分保护。 此协议称为业务合作伙伴协议。 除其他事项外,业务伙伴协议根据双方之间的关系以及业务伙伴正在执行的活动或服务,确定业务伙伴对 PHI 的允许和必需的使用和披露。 为了支持客户在使用Microsoft企业产品和服务时遵守 HIPAA,Microsoft将与涵盖的实体和业务关联客户签订业务关联协议。
目前没有经卫生和公众服务部批准的认证标准,以证明业务伙伴遵守 HIPAA 或 HITECH 法案。 但是,Microsoft使客户能够遵守 HIPAA 和 HITECH 法案,并以其业务伙伴的身份遵守 HIPAA 的安全规则要求。 此外,Microsoft会与其涵盖的实体和业务伙伴客户签订业务关联协议,以支持其履行 HIPAA 义务。
第三方认证
BAA 涵盖的Microsoft服务都经过了由经认证的独立审核员对Microsoft ISO/IEC 27001 认证和 HITRUST 通用安全框架 (CSF) 认证的审核。
Microsoft企业云服务也包含在 FedRAMP 评估中。 Microsoft Azure 和Microsoft Azure 政府收到了 FedRAMP 联合授权委员会的临时授权:Microsoft Dynamics 365美国政府从美国住房和城市发展部获得机构授权,美国政府也从美国卫生和公众服务部获得Microsoft Office 365。
若要了解 Microsoft 云如何帮助客户支持 HIPAA 和 HITECH 要求,请访问 Microsoft Customer Stories。
Microsoft 范围内的云平台和云服务
- Azure 与 Azure 政府
- Azure DevOps Services
- Dynamics 365 和 Dynamics 365 美国政府
- Intune
- Microsoft 安全 Copilot
- Microsoft Defender for Cloud Apps
- Microsoft Defender 搜寻专家
- Microsoft Defender XDR 专家
- Microsoft医疗保健机器人服务
- Microsoft 托管桌面
- Microsoft 专业服务:针对 Azure、Dynamics 365、Intune 及 Microsoft 365 商业版中型企业客户的高级和本地支持。
- Office 365,Office 365美国政府
- Power Automate (以前称为 Microsoft Flow) 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- PowerApps 云服务,作为独立服务提供,后者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- Power BI 云服务作为独立服务或包含在Office 365或Dynamics 365品牌计划或套件中
- Windows 365
Azure、Dynamics 365和 HIPAA
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure HIPAA 产品/服务。
Office 365和 HIPAA
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online、Forms、Griffin、Identity Manager、密码箱 (Torus) 、智能 Microsoft 365 Copilot 副驾驶®Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户Office 365微服务 (包括但不限于 Kaizala、ObjectStore Sway、Power Automate、PowerPoint Online 文档服务、查询注释服务、学校数据同步、虹吸、语音、StaffHub、可扩展的 Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、使用 Microsoft Purview 客户密钥的服务加密、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics Office 365 高级合规版 加载项、Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
常见问题解答
我的组织是否可以使用Microsoft进入 BAA?
是。 Microsoft为其涵盖的实体和业务关联客户提供涵盖范围内Microsoft服务的业务合作伙伴协议。
默认情况下, MICROSOFT HIPAA 业务助理协议 通过 Microsoft Online Services 数据保护附录提供给属于 HIPAA 下涵盖的实体或业务伙伴的所有客户。 有关此 BAA 涵盖的云服务列表,请参阅此网页上的“Microsoft范围内的云服务”。
HIPAA 业务助理协议也可用于范围内Microsoft专业服务。 有关详细信息,请联系Microsoft服务代表。
与Microsoft签订业务关联协议是否确保我的组织符合 HIPAA 和 HITECH 法案?
不正确。 通过提供业务助理协议,Microsoft有助于支持 HIPAA 合规性。 但是,使用Microsoft服务本身并不能实现 HIPAA 合规性。 你的组织负责确保你有足够的合规性计划和内部流程,并且你对Microsoft服务的特定使用符合你根据 HIPAA 和 HITECH 法案承担的义务。
Microsoft是否可以使用组织的业务助理协议?
否,Microsoft无法使用客户的业务助理协议。 因为我们为所有客户提供标准化的超大规模多租户服务,因此我们必须以一致的方式运营。 Microsoft HIPAA 商业伙伴协议密切反映了我们的运营方式。 因此,为了满足医疗保健行业的需求,Microsoft与学术医疗中心以及医疗保健领域其他公共和私营部门实体的联盟合作,创建了一项业务伙伴协议,该协议与我们的规模服务产品保持一致,并满足客户的需求。
如何获取第三方审核报告的副本?
服务信任门户提供独立审核的合规性报告。 可以使用门户请求审核报告,以便审核员可以将Microsoft的云服务结果与你自己的法律和法规要求进行比较。 Azure 客户还可以通过 Microsoft Defender for Cloud 中的“审核报告”边栏选项卡在 Azure 门户 中检索 Azure 证书和审核报告。
如何详细了解Microsoft如何支持符合 HIPAA 和 HITECH 法案?
为了帮助客户完成此任务,Microsoft发布了本指南:
- 适用于 Azure 的 HIPAA/HITECH 法案实施指南,适用于隐私、安全性和合规性官员以及负责 HIPAA 和 HITECH 法案实施的其他人员,介绍了组织为保持合规性可以采取的具体步骤。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。