Er Microsoft 365 HIPAA kompatibel?

Office 365 HIPAA compliance er et presserende problem for et stigende antal sundhedsvirksomheder. Microsofts robuste cloud-løsning giver udbydere mulighed for at føre poster og kommunikere let — men er det for let? Kan følsomme oplysninger virkelig beskyttes, hvis de er gemt i skyen?

Cloud computing har gjort indhug i sundhedssektoren i flere år. Det giver mange fordele som en strategi, der gør det muligt for organisationer og plejeudbydere at udvide, hvor og hvordan de kan bruge tech. Ved at gøre det lettere for udbydere at føre og henvise til patientjournaler, selv når de er på farten, forbedrer og forenkler cloud computing patientoplevelsen.

denne flytning til skyen er positiv for sundhedsvæsenet som helhed, men den lægger yderligere ansvar på compliance-og sikkerhedsspecialister. Heldigvis bliver opgaven med at finde HIPAA-kompatible cloudprogrammer lettere, da flere leverandører og udviklere anerkender markedets efterspørgsel. Mange løsningsudbydere har nu tilpasset deres tilbud til at imødekomme HIPAA-behovene hos sundhedsorganisationer.

Microsoft 365, der kan diskuteres den mest anvendte skytjeneste, er et standout eksempel. Det tilbyder HIPAA-overholdelse for alle sundhedsorganisationer, der har og korrekt bruger en business associate agreement (BAA). I denne artikel lærer du mere om, hvad Microsoft har gjort for at gøre det muligt for sin 365 suite at opfylde HIPAA-kravene, og hvilke aspekter af databeskyttelse der fortsat er udbydernes ansvar.

HIPAA BAA og Microsoft 365
Hvad er en BAA?
Hvordan fungerer Microsofts BAA?
Microsoft 365 sikkerhedskontrol og HIPAA-krav
Microsoft Compliance Center
Microsoft 365 sikkerhedsfunktioner til HIPAA
hvordan Microsoft håndterer sikkerhedsbrud
konfiguration af overholdelse af Office 365 HIPAA: Bedste praksis
Tjek service detaljer.
Opsæt adgangskontrolprocedurer.
Giv træning i Phi-udelukkelse.
etablere procedurer for adgang gennemgang.
Sådan hjælper Microsoft 365 kunder
ved præcis, hvor du gemmer ePHI
Reducer dit angrebsoverfladeareal ved at minimere tilladelser
Identificer og svar på trusler
Ofte stillede spørgsmål om Microsoft 365 og HIPAA-overholdelse

HIPAA BAA og Microsoft 365

HIPAA-overholdelsesniveauet for enhver cloud-løsning afhænger af brugerorganisationens BAA. En af de mest praktiske funktioner i Microsoft 365 til healthcare-klienten er, at den leverer en BAA som et standardelement af service.

Hvad er en BAA?

en forretningsaftale er en kontrakt mellem en HIPAA-dækket enhed (såsom et lægekontor eller hospital) og en tilknyttet virksomhed. Så snart beskyttede sundhedsoplysninger (PHI) bliver uploadet til skyen, er begge parter automatisk underlagt HIPAA-regler. Af den grund skal du have en BAA på plads med en cloud-leverandør, før du implementerer en løsning relateret til patientdata.

Hvordan fungerer Microsofts BAA?

som standard tilbyder Microsoft sin BAA som en del af sine Onlinetjenestevilkår til brugere, der er omfattet enheder eller forretningsforbindelser som defineret af HIPAA. BAA dækker Dynamics 365, Office 365 og nogle andre cloud-tjenester.

hvis du overvejer Microsoft som en løsningsudbyder, skal du gennemgå BAA i detaljer for at sikre, at de omfattede tjenester og vilkår i BAA opfylder dine behov. Microsoft ændrer ikke sin BAA efter kundeanmodning, så vilkårene skal være tilstrækkelige som skrevet.

Microsoft 365 sikkerhedskontrol og HIPAA-krav

for at bekræfte, at dets sikkerhedspraksis stemmer overens med anbefalinger fra HIPAA ‘ s officielle udgiver, det amerikanske Department of Health and Human Services (HHS), har Microsoft gennemgået informationssikkerhedsrevisioner i henhold til ISO 27001-standarden . Denne standard evaluerer flere aspekter af en organisations IT-sikkerhed, herunder om den følger HHS-anbefalinger.

resultaterne bekræfter, at Office 365 indeholder alle de HIPAA-sikkerheds-og privatlivskontroller, der er nødvendige for overholdelse. Du kan få adgang til disse kontroller via Microsoft 365 Compliance Center.

Microsoft Compliance Center

Microsoft Compliance Center giver kunderne adgang til de værktøjer og oplysninger, de har brug for til at administrere compliance. Det indeholder funktioner som:

din Compliance Score, en risikobaseret metric, der måler fremskridt hen imod risikoreduktion
et aktivt alerts-kort, der viser dine sikkerhedsmeddelelser og peger dig mod mere detaljerede oplysninger
et dataklassificeringsafsnit, der hjælper dig med at organisere vigtige data korrekt
et rapportafsnit med oplysninger om tredjepartsapps, delte filer og mere
et tilladelsesafsnit det giver dig mulighed for at administrere adgang i din organisation
en løsningssektion med detaljerede oplysninger om din organisations overholdelse strategier
et værktøj til beskyttelse af datatab, der giver dig mulighed for at spore følsomme oplysninger

Compliance Center er en robust ressource. Det er tilgængeligt for alle Microsoft-erhvervskunder, men nogle funktioner, f.eks. avanceret trusselstyring, følsomhedsmærker til dataklassificering, nogle DLP-funktioner, er muligvis ikke tilgængelige, medmindre du har en licens på topniveau.

Microsoft 365 sikkerhedsfunktioner til HIPAA

Microsoft leverer mange sikkerhedsfunktioner, der hjælper virksomheder med at opretholde overholdelse af specifikke regler. De, der er særligt relevante for HIPAA, er:

adgang med mindst privilegium: denne funktion begrænser risikoen og virkningen af databrud ved kun at give forhøjet adgang til dem, der har brug for det.
Privatlivslæsere: Microsoft anbefaler, at kunder med en BAA udpeger repræsentanter som HIPAA-Privatlivslæsere, hvilket giver dem adgang til Meddelelsescentermeddelelser om mulige overtrædelser, der involverer elektronisk beskyttet sundhedsinformation (ePHI).
end-to-end-kryptering: Microsoft krypterer alle data, når de uploades til eller gemmes på virksomhedens servere. Det krypteres også, når det overføres uden for Microsoft-faciliteter (kryptering i transit); dog kan nogle oplysninger, herunder data i e-mail-emnelinjer og adressefelter, ikke krypteres på grund af standard internetprotokoller. Derfor anbefaler Microsoft, at alle brugere træner personale til aldrig at inkludere ePHI i Til -, Fra-eller Emnelinjerne i en e-mail.
forebyggelse af datatab: ePHI er beskyttet mod deling til uautoriserede seere.
Multifaktorautentificering: Brugere skal give oplysninger sendt til en anden enhed eller konto, før de får lov til at logge ind.
Revisionslogfiler: administratorer kan se, hvem der har set, åbnet, delt eller ødelagt dokumenter.
sikkerhedskopier af Data: Denne funktion er påkrævet under HIPAA, så nøjagtige kopier af ePHI kan gendannes, når det er nødvendigt.
sikkerhedskonfiguration: Microsoft giver kunderne mulighed for at ændre deres sikkerhedsindstillinger på mange tjenester, der er omfattet af BAA. For HIPAA-overholdelse kan den sikreste strategi være at indstille de strengeste mulige parametre. Detaljerede konfigurationsinstruktioner er tilgængelige i Microsofts HIPAA-implementeringsvejledning.

hvordan Microsoft håndterer sikkerhedsbrud

Microsofts BAA siger, at hvis der opstår et sikkerhedsbrud, vil virksomheden underrette alle din kontos globale administratorer og alle brugere, der har betegnelsen Privacy Reader inden for 30 dage.

Microsoft underretter ikke dine kunder om et brud. Dette ansvar falder til dig under HIPAA, som kræver, at alle dækkede enheder underretter berørte personer, hvis et brud involverer usikret ePHI. Microsoft sender heller ikke nogen nødvendige meddelelser til sekretæren for HHS eller medierne.

i tilfælde af brud på et potentielt ePHI-arkiv er Microsoft ikke ansvarlig for scanning af lagrede data for at afgøre, om nogen ePHI faktisk er blevet kompromitteret. Du vil modtage meddelelse om, at der er sket et brud. Du skal derefter vurdere, om nogen ePHI er blevet kompromitteret, og hvad graden af virkningen er, hvis nogen.

konfiguration af overholdelse af Office 365 HIPAA: Bedste praksis

Microsoft er meget klar over, at ansvaret for HIPAA-overholdelse i sidste ende ligger hos kunden. Forhandleren anbefaler, at alle virksomheder opretter et sæt procedurer og politikker, der hjælper deres personale med at bruge Office 365 på en måde, der understøtter overholdelse. Her er nogle af de vigtigste trin, der skal følges under installationsprocessen.

Tjek service detaljer.

sørg for, at de produkter, du planlægger at bruge, er inden for rammerne af Microsofts HIPAA-Overholdelsestjenester.
gennemgå BAA for at sikre, at de inkluderede sikkerheds-og privatlivspraksis opfylder dine behov.

Opsæt adgangskontrolprocedurer.

Angiv dine Privatlivslæsere i dit Microsoft 365 Message Center.
slå adgangssporing til for dine administratorer, så du kan se, hvornår de får adgang til brugerkonti.

Giv træning i Phi-udelukkelse.

administrativt personale bør ikke indtaste ePHI i nogen mapper, adressebøger eller globale adresselister.
intet personale bør dele ePHI i fejlfinding eller supportsamtaler med Microsoft.
brugere bør ikke henvise til ePHI i nogen filnavne, e-mail-overskrifter eller offentligt tilgængelige SharePoint-placeringer.
brugere bør ikke sende ePHI via e-mail undtagen til udtrykkeligt autoriserede brugere.

etablere procedurer for adgang gennemgang.

gennemgå regelmæssigt brugeradgang til alle ePHI-opbevaringssteder.
Undersøg regelmæssigt brugeradgangstilladelser, adgangskodeændringer og tilføjelser til delte ressourcer.
Opret en protokol til opdatering af adgangsrettigheder i tilfælde af personaleændringer.

Sådan hjælper Microsoft 365 kunder

overholdelse af HIPAA er ingen lille opgave, og tilføjelse af overholdelse relateret til skytjenester kan beskatte ressourcerne i selv den mest robuste organisation. kan tage meget af denne belastning ud af dine skuldre med sin løsning til HIPAA overholdelse.

ved præcis, hvor du gemmer ePHI

løsningen kan identificere de specifikke OneDrive for Business repositories, udveksle online postkasser og SharePoint Online sites på din konto, der indeholder ePHI. Dette er det første skridt i retning af at beskytte denne ePHI fra indvendige og udvendige trusler.

Reducer dit angrebsoverfladeareal ved at minimere tilladelser

løsningen kan også hjælpe dig med at sikre dig, at du har de korrekte privilegier på plads. Det kan automatisk identificere og fjerne overdrevne tilladelser til følsomme data. Det forenkler også adgangsanmeldelses-og privilegiecertificeringsprocessen, hvilket forbedrer dine chancer for at bestå compliance-revisioner første gang.

Identificer og svar på trusler

takket være detaljeret synlighed på tværs af systemet kan løsningen få øje på røde flag, der kan indikere insidertrusler, som mislykkede adgangsforsøg, rettighedsforøgelse og usædvanligt stort antal læsninger, og opdage tegn på løsepenge i gang. Det giver dig mulighed for nemt at bore dybt ind i mistænkelige aktiviteter, så du kan blokere trusler, før de forårsager alvorlig skade.

hvis der er et brud, uanset kilden, kan vi hjælpe dig med at bestemme alvorligheden af hændelsen, så du kan opfylde alle krav til anmeldende myndigheder og berørte brugere.

Ofte stillede spørgsmål om Microsoft 365 og HIPAA-overholdelse

er der HIPAA-problemer med at bruge Office 365?

så længe du omhyggeligt gennemgår Microsofts BAA og forstår omfanget af dets sikkerheds-og overholdelsesbeskyttelse, bekræfter, at disse beskyttelser opfylder dine HIPAA-overholdelsesbehov og har alle nødvendige sikkerhedskontroller på din ende, skal du have få, hvis nogen bekymringer om HIPAA-overholdelse.

Office 365s HIPAA-beskyttelse er robust, men i sidste ende er overholdelse dit ansvar som HIPAA-dækket enhed.

hvilken Microsoft Office 365-plan er HIPAA-kompatibel?

Microsoft tilbyder HIPAA compliance BAA til brugere af Office 365 Business, Office 365 US Government og Office 365 US Government Defense. Licenser på lavere niveau for disse tjenester (Business Basic, Business Standard og Business Premium, for eksempel) har muligvis ikke alle de avancerede sikkerhedsfunktioner, du vil bruge til at opretholde din overholdelse.

Microsoft anbefaler, at brugere, der søger HIPAA-overholdelse, muliggør sikkerhedsbeskyttelse på øverste niveau. Nogle af disse beskyttelser, herunder opdagelsesrejsende mod phishing-trusler og forebyggelse af datatab, er kun tilgængelige for indehavere af virksomhedslicenser med højere niveauer.

garanterer det at have en BAA med Microsoft overholdelse af HIPAA og HITECH Act?

Nej, En BAA garanterer ikke overholdelse. BAA ‘ s formål er at afklare, hvilke overholdelseskrav der er HIPAA-forretningsforbindelsens ansvar. Hvis der f.eks. er et brud på din Microsoft Office 365-konto, giver Microsoft dig besked om, at det er sket.

Under selv den mest robuste BAA har du som cloud service-kunde stadig ansvar for at opretholde overholdelse. Du skal etablere og vedligeholde et internt compliance-program, der adresserer alt, hvad der kræves af dig som en HIPAA-dækket organisation. For eksempel skal du have interne politikker, procedurer og processer på plads for at sikre, at dit personale handler på en måde, der ikke overtræder HIPAA-reglerne.

Microsofts BAA hjælper dig med at overholde HIPAA-principperne, når du bruger virksomhedens tjenester, men det vil ikke gøre alt for dig. Du skal stadig sørge for, at dit team bruger Office 365 på en måde, der stemmer overens med hver regel i HIPAA og HITECH Act.

Product Evangelist hos , forfatter og studievært. Ryan har specialiseret sig i at evangelisere cybersikkerhed og fremme vigtigheden af synlighed i IT-ændringer og dataadgang. Som forfatter fokuserer Ryan på IT-sikkerhedstendenser, undersøgelser og brancheindsigt.