Je Microsoft 365 HIPAA kompatibilní?

Office 365 dodržování HIPAA je naléhavým problémem pro rostoucí počet zdravotnických společností. Robustní cloudové řešení společnosti Microsoft umožňuje poskytovatelům vést záznamy a snadno komunikovat — ale je to příliš snadné? Mohou být citlivé informace skutečně chráněny, pokud jsou uloženy v cloudu?

Cloud computing již několik let proniká do zdravotnictví. Nabízí řadu výhod jako strategie, umožňující organizacím a poskytovatelům péče rozšířit, kde a jak mohou používat technologii. Tím, že poskytovatelům usnadňuje vedení a odkazování na záznamy o pacientech, i když jsou na cestách, cloud computing zlepšuje a zjednodušuje zážitek pacienta.

tento krok do cloudu je pozitivní pro zdravotní péči jako celek, ale klade další odpovědnost na odborníky na dodržování předpisů a bezpečnost. Naštěstí je úkol najít cloudový software kompatibilní s HIPAA stále snazší, protože více dodavatelů a vývojářů rozpoznává poptávku na trhu. Mnoho poskytovatelů řešení nyní přizpůsobilo své nabídky tak, aby vyhovovaly potřebám HIPAA zdravotnických organizací.

Microsoft 365, pravděpodobně nejpoužívanější cloudová služba, je výjimečným příkladem. Nabízí dodržování HIPAA pro všechny zdravotnické organizace, které mají a správně používají dohodu o obchodním partnerovi (BAA). V tomto článku se dozvíte více o tom, co společnost Microsoft udělala, aby umožnila své sadě 365 splnit požadavky HIPAA a za které aspekty ochrany dat zůstávají odpovědní poskytovatelé.

HIPAA BAA a Microsoft 365
co je BAA?
jak funguje BAA společnosti Microsoft?
Microsoft 365 bezpečnostní kontroly a požadavky HIPAA
Microsoft Compliance Center
bezpečnostní funkce Microsoft 365 pro HIPAA
jak Microsoft zachází s porušením zabezpečení
Office 365 HIPAA Compliance Configuration: Best Practices
Zkontrolujte podrobnosti o službě.
nastavte postupy řízení přístupu.
poskytovat školení o vyloučení PHI.
zavést postupy pro kontrolu přístupu.
jak Netwrix pomáhá zákazníkům Microsoft 365
přesně vědět, kam ukládáte ePHI
Zmenšete plochu povrchu útoku minimalizací oprávnění
Identifikujte a reagujte na hrozby
Microsoft 365 a HIPAA Compliance FAQ

HIPAA BAA a Microsoft 365

úroveň dodržování HIPAA jakéhokoli cloudového řešení závisí na BAA uživatelské organizace. Jednou z nejpohodlnějších funkcí Microsoft 365 pro klienta zdravotní péče je, že poskytuje BAA jako standardní prvek služby.

co je BAA?

dohoda o obchodním partnerovi je smlouva mezi subjektem pokrytým HIPAA (jako je lékařská ordinace nebo nemocnice) a přidruženým podnikem. Jakmile se do cloudu nahrají všechny chráněné zdravotní informace (PHI), obě strany automaticky podléhají předpisům HIPAA. Z tohoto důvodu musíte mít k dispozici BAA u dodavatele cloudu, než implementujete jakékoli řešení týkající se údajů o pacientech.

jak funguje BAA společnosti Microsoft?

společnost Microsoft ve výchozím nastavení nabízí své BAA jako součást svých podmínek Online služeb uživatelům, kteří jsou krytými subjekty nebo obchodními partnery podle definice HIPAA. BAA pokrývá Dynamics 365, Office 365 a některé další cloudové služby.

pokud považujete společnost Microsoft za poskytovatele řešení, přečtěte si podrobně BAA, abyste se ujistili, že kryté služby a podmínky BAA vyhovují vašim potřebám. Společnost Microsoft nemění svůj BAA na žádost zákazníka, takže podmínky musí být dostatečné, jak je napsáno.

Microsoft 365 bezpečnostní kontroly a požadavky HIPAA

aby se potvrdilo, že jeho bezpečnostní postupy jsou v souladu s doporučeními oficiálního vydavatele HIPAA, amerického ministerstva zdravotnictví a lidských služeb (HHS), společnost Microsoft prošla audity informační bezpečnosti podle normy ISO 27001 . Tento standard hodnotí několik aspektů IT bezpečnosti organizace, včetně toho, zda se řídí doporučeními HHS.

výsledky potvrzují, že Office 365 zahrnuje všechny kontroly zabezpečení a ochrany osobních údajů HIPAA nezbytné pro dodržování předpisů. K těmto ovládacím prvkům můžete přistupovat prostřednictvím Microsoft 365 Compliance Center.

Microsoft Compliance Center

Microsoft Compliance Center poskytuje zákazníkům přístup k nástrojům a informacím, které potřebují ke správě compliance. Obsahuje funkce jako:

vaše skóre shody, metrika založená na riziku, která měří pokrok směrem ke snížení rizika
aktivní karta upozornění, která uvádí vaše bezpečnostní oznámení a upozorňuje vás na podrobnější informace
sekce klasifikace dat, která vám pomůže správně uspořádat důležitá data
sekce hlášení s informacemi o aplikacích třetích stran, sdílených souborech a dalších
sekce oprávnění, která vám umožní spravovat přístup ve vaší organizaci
sekce řešení s podrobnými informacemi o dodržování předpisů vaší organizace strategie
nástroj pro ochranu proti ztrátě dat, který vám umožní sledovat citlivé informace

centrum shody je robustní zdroj. Je k dispozici všem zákazníkům společnosti Microsoft, ale některé funkce, jako je pokročilá správa hrozeb, štítky citlivosti pro klasifikaci dat, některé funkce DLP, nemusí být k dispozici, pokud nemáte licenci nejvyšší úrovně.

bezpečnostní funkce Microsoft 365 pro HIPAA

společnost Microsoft poskytuje mnoho bezpečnostních funkcí, které pomáhají podnikům udržovat dodržování zvláštních předpisů. Zvláště důležité pro HIPAA jsou:

nejméně privilegovaný přístup: Tato funkce omezuje riziko a dopad narušení dat tím, že poskytuje zvýšený přístup pouze těm, kteří to vyžadují.
čtenáři ochrany osobních údajů: Společnost Microsoft doporučuje, aby zákazníci s BAA jmenovali zástupce jako čtečky ochrany osobních údajů HIPAA, což jim umožňuje přístup k oznámením Centra zpráv o možných porušeních týkajících se elektronických chráněných zdravotnických informací (ePHI).
end-to-end šifrování: společnost Microsoft šifruje všechna data, když jsou nahrána nebo uložena na serverech společnosti. Je také šifrována, když je přenášena mimo zařízení společnosti Microsoft (šifrování v tranzitu); některé informace, včetně dat v řádcích předmětu e-mailu a adresních polích, však nemohou být šifrovány kvůli standardním internetovým protokolům. Společnost Microsoft proto doporučuje, aby všichni uživatelé školili personál, aby nikdy nezahrnul ePHI do řádků komu, od nebo předmětu e-mailu.
prevence ztráty dat: ePHI je chráněn před sdílením neoprávněným divákům.
Vícefaktorová Autentizace: Uživatelé musí poskytnout informace odeslané na jiné zařízení nebo účet, než se mohou přihlásit.
protokoly auditu: Administrátoři mohou zobrazit, kdo viděl, otevřel, sdílené nebo zničené dokumenty.
zálohování dat: Tato funkce je vyžadována pod HIPAA, aby bylo možné v případě potřeby obnovit přesné kopie ePHI.
konfigurace zabezpečení: Společnost Microsoft umožňuje zákazníkům změnit nastavení zabezpečení u mnoha služeb, na které se vztahuje BAA. Pro shodu s HIPAA může být nejbezpečnější strategií nastavení nejpřísnějších možných parametrů. Podrobné pokyny pro konfiguraci jsou k dispozici v příručce implementace HIPAA společnosti Microsoft.

jak Microsoft zachází s porušením zabezpečení

BAA společnosti Microsoft uvádí, že pokud dojde k narušení bezpečnosti, společnost oznámí všem globálním administrátorům vašeho účtu a všem uživatelům, kteří mají označení Privacy Reader, do 30 dnů.

společnost Microsoft neinformuje vaše zákazníky o porušení. Tato odpovědnost spadá na vás v rámci HIPAA, který vyžaduje, aby všechny kryté subjekty informovaly postižené osoby, pokud porušení zahrnuje nezajištěné ePHI. Microsoft také nepředkládá žádná požadovaná oznámení tajemníkovi HHS ani médiím.

v případě porušení potenciálního repozitáře ePHI společnost Microsoft nenese odpovědnost za skenování uložených dat, aby zjistila, zda byl některý ePHI skutečně ohrožen. Obdržíte oznámení, že došlo k porušení. Poté musíte posoudit, zda byl některý ePHI ohrožen a jaký je případný stupeň dopadu.

Office 365 HIPAA Compliance Configuration: Best Practices

Microsoft je zcela jasné, že nakonec odpovědnost za dodržování HIPAA nese zákazník. Prodejce doporučuje, aby všechny společnosti zavedly soubor postupů a zásad, které pomohou jejich zaměstnancům používat Office 365 způsobem, který podporuje dodržování předpisů. Zde jsou některé z nejdůležitějších kroků, které je třeba dodržovat během procesu instalace.

Zkontrolujte podrobnosti o službě.

ujistěte se, že produkty, které plánujete používat, jsou v rámci Služeb společnosti Microsoft HIPAA Compliance.
zkontrolujte BAA a ujistěte se, že zahrnuté postupy zabezpečení a ochrany osobních údajů vyhovují vašim potřebám.

nastavte postupy řízení přístupu.

v centru zpráv Microsoft 365 zadejte své čtečky soukromí.
zapněte sledování přístupu pro správce, abyste viděli, kdy přistupují k uživatelským účtům.

poskytovat školení o vyloučení PHI.

administrativní pracovníci by neměli zadávat ePHI do žádných adresářů, adresářů nebo globálních seznamů adres.
žádný personál by neměl sdílet ePHI při řešení problémů nebo podpoře konverzací se společností Microsoft.
uživatelé by neměli odkazovat na ePHI v názvech souborů, hlavičkách e-mailů nebo veřejně přístupných místech SharePoint.
uživatelé by neměli posílat ePHI e-mailem, s výjimkou výslovně oprávněných uživatelů.

zavést postupy pro kontrolu přístupu.

pravidelně kontrolujte přístup uživatelů ke všem úložištím úložiště ePHI.
pravidelně zkoumejte přístupová oprávnění uživatelů, změny hesla a doplňky ke sdíleným zdrojům.
Vytvořte protokol pro aktualizaci přístupových práv v případě personálních změn.

jak Netwrix pomáhá zákazníkům Microsoft 365

dodržování HIPAA není malý úkol a přidání souladu s cloudovými službami může zdanit zdroje i těch nejsilnějších organizací. Netwrix může velkou část této zátěže sundat z vašich ramen s řešením pro dodržování HIPAA.

přesně vědět, kam ukládáte ePHI

řešení Netwrix může identifikovat konkrétní OneDrive pro obchodní repozitáře, vyměňovat Online poštovní schránky a weby SharePoint Online ve vašem účtu, které obsahují ePHI. Toto je první krok k ochraně tohoto ePHI před vnitřními i vnějšími hrozbami.

Zmenšete plochu povrchu útoku minimalizací oprávnění

řešení Netwrix vám také může pomoci zajistit, že máte správná oprávnění. Může automaticky identifikovat a odstranit nadměrná oprávnění k citlivým datům. Zjednodušuje také proces kontroly přístupu a ověřování oprávnění, čímž se zlepší vaše šance na absolvování auditů shody poprvé.

Identifikujte a reagujte na hrozby

díky podrobné viditelnosti mezi systémy může řešení Netwrix rozpoznat červené vlajky, které by mohly naznačovat hrozby zasvěcených osob, jako jsou neúspěšné pokusy o přístup, eskalace oprávnění a neobvykle vysoký počet čtení,a detekovat známky probíhajícího ransomwaru. To vám umožní snadno vrtat hluboko do podezřelých činností, takže můžete blokovat hrozby dříve, než způsobí vážné škody.

pokud dojde k porušení, bez ohledu na jeho zdroj, Netwrix vám může pomoci určit závažnost incidentu, což vám umožní splnit všechny požadavky pro oznamující orgány a postižené uživatele.

Microsoft 365 a HIPAA Compliance FAQ

existují nějaké HIPAA obavy s použitím Office 365?

pokud pečlivě zkontrolujete BAA společnosti Microsoft a porozumíte rozsahu ochrany zabezpečení a dodržování předpisů, potvrďte, že tyto ochrany splňují vaše požadavky na dodržování předpisů HIPAA a že máte na svém konci všechny požadované bezpečnostní kontroly, měli byste mít jen málo, pokud máte nějaké obavy ohledně dodržování předpisů HIPAA.

ochrana HIPAA sady Office 365 je robustní, ale v konečném důsledku je dodržování předpisů vaší odpovědností jako entity kryté HIPAA.

který plán Microsoft Office 365 je kompatibilní s HIPAA?

Microsoft nabízí svůj HIPAA compliance BAA uživatelům Office 365 Business, Office 365 US Government a Office 365 US Government Defense. Licence těchto služeb na nižší úrovni (například Business Basic, Business Standard a Business Premium) však nemusí mít všechny pokročilé bezpečnostní funkce, které budete chtít použít k udržení souladu.

společnost Microsoft doporučuje uživatelům, kteří hledají shodu s HIPAA, povolit ochranu nejvyšší úrovně zabezpečení. Některé z těchto ochran, včetně průzkumníků hrozeb proti phishingu a prevence ztráty dat, jsou k dispozici pouze pro držitele podnikových licencí vyšší úrovně.

zaručuje BAA se společností Microsoft dodržování HIPAA a zákona HITECH?

ne, BAA nezaručuje shodu. Účelem BAA je objasnit, za jaké požadavky na dodržování předpisů odpovídá obchodní partner HIPAA. Pokud například dojde k porušení účtu Microsoft Office 365, společnost Microsoft vás upozorní, že k němu došlo.

i za těch nejrobustnějších BAA máte vy jako zákazník cloudových služeb stále odpovědnost za dodržování předpisů. Musíte vytvořit a udržovat interní program dodržování předpisů, který řeší vše, co se od vás vyžaduje jako organizace pokrytá HIPAA. Například musíte mít zavedeny interní zásady, postupy a procesy, abyste zajistili, že váš personál bude jednat způsobem, který neporušuje předpisy HIPAA.

Baa společnosti Microsoft vám pomůže dodržovat zásady HIPAA při používání služeb společnosti, ale neudělá vše pro vás. Stále se musíte ujistit, že váš tým používá Office 365 způsobem, který je v souladu s každým pravidlem HIPAA a HITECH Act.

Evangelista produktu ve společnosti Netwrix Corporation, spisovatel, a moderátor. Ryan se specializuje na evangelizaci kybernetické bezpečnosti a podporu důležitosti viditelnosti změn IT a přístupu k datům. Jako Autor, Ryan se zaměřuje na trendy v oblasti bezpečnosti IT, průzkumy, a postřehy z oboru.