Er Microsoft 365 HIPAA Kompatibel?

Office 365 HIPAA compliance er en presserende bekymring for et økende antall helsetjenester selskaper. Microsofts robuste skyløsning lar leverandører holde oversikt og kommunisere med letthet — men er det for enkelt? Kan sensitiv informasjon virkelig beskyttes hvis den er lagret i skyen?

Cloud computing har gjort innhugg i helsevesenet i flere år. Det gir mange fordeler som en strategi, slik at organisasjoner og omsorgsleverandører kan utvide hvor og hvordan de kan bruke teknologi. Ved å gjøre det enklere for leverandører å oppbevare og referere pasientjournaler, selv når de er på farten, forbedrer og forenkler cloud computing pasientopplevelsen.

denne overgangen til skyen er positiv for helsevesenet som helhet, men det legger ekstra ansvar på compliance og sikkerhetsspesialister. Heldigvis, oppgaven med å finne HIPAA-kompatibel sky programvare blir enklere som flere leverandører og utviklere gjenkjenne markedets etterspørsel. Mange løsningsleverandører har nå tilpasset sine tilbud for Å møte HIPAA behovene til helseorganisasjoner.

Microsoft 365, arguable den mest brukte skytjenesten, er et standout eksempel. DET tilbyr HIPAA samsvar for alle helseorganisasjoner som har og riktig bruker en business associate agreement (BAA). I denne artikkelen lærer Du mer om Hva Microsoft har gjort For å gjøre det mulig for 365-pakken å oppfylle HIPAA-krav, og hvilke aspekter av databeskyttelse som fortsatt er leverandørens ansvar.

HIPAA BAA og Microsoft 365
Hva ER EN BAA?
Hvordan Fungerer Microsofts BAA?
Microsoft 365 Sikkerhetskontroller Og HIPAA-Krav
Microsoft Compliance Center
Microsoft 365 Sikkerhetsfunksjoner for HIPAA
Hvordan Microsoft Håndterer Sikkerhetsbrudd
KONFIGURASJON Av HIPAA-Samsvar For Office 365: Best Practices
Sjekk servicedetaljer.
Konfigurer tilgangskontrollprosedyrer.
Gi opplæring PÅ PHI utelukkelse.
Opprett prosedyrer for tilgangsgjennomgang.
Hvordan Netwrix Hjelper Microsoft 365-Kunder
Vet nøyaktig hvor du lagrer ePHI
Reduser angrepsoverflaten ved å minimere tillatelser
Identifiser og svar på trusler
VANLIGE Spørsmål Om Microsoft 365 Og HIPAA-Samsvar

HIPAA BAA og Microsoft 365

HIPAA-samsvarsnivået for enhver skyløsning avhenger av brukerorganisasjonens BAA. En Av De mest praktiske funksjonene I Microsoft 365 for helsevesenet klient er at det gir EN BAA som en standard element av tjenesten.

Hva ER EN BAA?

en forretningsforbindelsesavtale er en kontrakt mellom EN HIPAA-dekket enhet (for eksempel et legekontor eller sykehus) og en tilknyttet virksomhet. Så snart beskyttet helseinformasjon (PHI) blir lastet opp til skyen, er begge parter automatisk underlagt HIPAA-forskrifter. Derfor må DU ha EN BAA på plass hos en skyleverandør før du implementerer en løsning relatert til pasientdata.

Hvordan Fungerer Microsofts BAA?

Microsoft tilbyr SOM standard BAA Som en del av Vilkårene For Elektroniske Tjenester til brukere som er dekket enheter eller forretningsforbindelser som definert AV HIPAA. BAA dekker Dynamics 365, Office 365 og noen andre skytjenester.

hvis Du vurderer Microsoft som løsningsleverandør, må DU gjennomgå BAA i detalj for å sikre at de dekkede tjenestene og vilkårene i BAA oppfyller dine behov. Microsoft endrer IKKE BAA etter kundeforespørsel, så vilkårene må være tilstrekkelige som skrevet.

Microsoft 365 Sikkerhetskontroller Og HIPAA-Krav

For å bekrefte at sikkerhetspraksis samsvarer med anbefalinger FRA HIPAAS offisielle utgiver, DET amerikanske Helse-Og Omsorgsdepartementet (HHS), Har Microsoft gjennomgått revisjon av informasjonssikkerhet i HENHOLD TIL ISO 27001-standarden . Denne standarden evaluerer flere aspekter av en organisasjons IT-sikkerhet, inkludert om DEN følger HHS-anbefalinger.

resultatene bekrefter At Office 365 inneholder ALLE HIPAA-sikkerhets-og personvernkontrollene som er nødvendige for samsvar. Du kan få tilgang til disse kontrollene via Microsoft 365 Compliance Center.

Microsoft Compliance Center

Microsoft Compliance Center gir kundene tilgang til verktøyene og informasjonen de trenger for å administrere compliance. Det inkluderer funksjoner som:

Din Samsvarsscore, en risikobasert beregning som måler fremdriften mot risikoreduksjon
et aktivt varslingskort, som viser sikkerhetsvarsler og peker deg mot mer detaljert informasjon
en dataklassifiseringsseksjon som hjelper deg med å organisere viktige data på riktig måte
en rapportseksjon med informasjon om tredjepartsapper, delte filer og mer
en tillatelsesseksjon som lar deg administrere tilgang i organisasjonen
en løsningsdel med detaljert informasjon om organisasjonens samsvar strategier
et verktøy for beskyttelse mot datatap som lar deg spore sensitiv informasjon

Samsvarssenteret er en robust ressurs. Den er tilgjengelig for Alle Microsoft-bedriftskunder, men enkelte funksjoner, som avansert trusselbehandling, følsomhetsetiketter for dataklassifisering og ENKELTE DLP-funksjoner, er kanskje ikke tilgjengelige med mindre du har en lisens på øverste nivå.

Microsoft 365 Sikkerhetsfunksjoner for HIPAA

Microsoft har mange sikkerhetsfunksjoner som hjelper bedrifter med å overholde bestemte forskrifter. De som er spesielt relevante FOR HIPAA er:

tilgang Med Minst privilegier: denne funksjonen begrenser risikoen og virkningen av databrudd ved å gi økt tilgang til bare de som trenger det.
Personvernlesere: Microsoft anbefaler at kunder MED BAA skal utpeke representanter SOM Hipaa-Personvernlesere, noe som gir dem tilgang Til Meldingssentervarsler om mulige brudd som involverer elektronisk beskyttet helseinformasjon (ePHI).
Ende-til-ende-kryptering: Microsoft krypterer alle data når de lastes opp til eller lagres på selskapets servere. Det krypteres også når Det overføres utenfor microsoft-fasiliteter (kryptering under overføring); imidlertid kan noe informasjon, inkludert data i emnelinjer og adressefelt, ikke krypteres på grunn av standard internett-protokoller. Derfor anbefaler Microsoft at alle brukere lærer opp personell til aldri å inkludere ePHI i Til -, Fra – eller Emnelinjene i en e-post.
Forebygging Av Datatap: ePHI er beskyttet mot deling til uautoriserte seere.
Flerfaktorautentisering: Brukere må oppgi informasjon som sendes til en annen enhet eller konto før de får lov til å logge inn.
Overvåkingslogger: Administratorer kan se hvem som har sett, åpnet, delt eller kastet dokumenter.
sikkerhetskopiering av Data: DENNE funksjonen kreves under HIPAA, slik at eksakte kopier av ePHI kan gjenopprettes når det er nødvendig.
Sikkerhetskonfigurasjon: Microsoft tillater kunder å endre sikkerhetsinnstillingene på mange tjenester som DEKKES AV BAA. FOR HIPAA-overholdelse kan den sikreste strategien være å sette de strengeste mulige parametrene. Detaljerte konfigurasjonsinstruksjoner er tilgjengelige I Microsofts HIPAA implementeringsguide.

Hvordan Microsoft Håndterer Sikkerhetsbrudd

Microsofts BAA sier At Dersom et sikkerhetsbrudd skulle oppstå, vil selskapet varsle alle kontoens globale administratorer og alle brukere som har Betegnelsen Privacy Reader innen 30 dager.

Microsoft varsler ikke kundene dine om brudd. Det ansvaret faller til DEG under HIPAA, som krever at alle dekkede enheter skal varsle berørte personer dersom et brudd innebærer usikret ePHI. Microsoft sender heller ikke noen nødvendige varsler til Sekretæren FOR HHS eller media.

I tilfelle brudd på et potensielt ePHI-depot, Er Microsoft ikke ansvarlig for å skanne lagrede data for å avgjøre om noen ePHI faktisk har blitt kompromittert. Du vil motta varsel om at et brudd har skjedd. Du må da vurdere om noen ePHI har blitt kompromittert og hva graden av virkningen er hvis noen.

KONFIGURASJON Av HIPAA-Samsvar For Office 365: Best Practices

Microsoft er helt klart at ansvaret for HIPAA-overholdelse til slutt ligger hos kunden. Leverandøren anbefaler at alle selskaper etablerer et sett med prosedyrer og policyer for å hjelpe personalet med Å bruke Office 365 på en måte som støtter samsvar. Her er noen av de viktigste trinnene for å følge under installasjonsprosessen.

Sjekk servicedetaljer.

Kontroller at produktene du planlegger å bruke, er innenfor Rammen Av Microsofts HIPAA-Samsvarstjenester.
Gjennomgå BAA for å sikre at de inkluderte sikkerhets-og personvernpraksisene oppfyller dine behov.

Konfigurer tilgangskontrollprosedyrer.

angi Personvernleserne I Microsoft 365-Meldingssenteret.
Slå på tilgangssporing for administratorer, slik at du kan se når de får tilgang til brukerkontoer.

Gi opplæring PÅ PHI utelukkelse.

Administrativt personell skal ikke oppgi ePHI i noen kataloger, adressebøker eller globale adresselister.
ingen personell skal dele ePHI i feilsøkings-eller støttesamtaler Med Microsoft.
Brukere bør ikke referere til ePHI i filnavn, e-postoverskrifter eller Offentlig tilgjengelige SharePoint-steder.
Brukere skal ikke sende ePHI via e-post unntatt til eksplisitt autoriserte brukere.

Opprett prosedyrer for tilgangsgjennomgang.

gjennomgå regelmessig brukertilgang til alle ePHI storage repositories.
undersøk regelmessig brukertillatelser, passordendringer Og tillegg til delte ressurser.
Opprett en protokoll for oppdatering av tilgangsrettigheter ved personellendringer.

Hvordan Netwrix Hjelper Microsoft 365-Kunder

Å Overholde HIPAA er ingen liten oppgave, og å legge til overholdelse relatert til skytjenester kan beskatte ressursene til Selv den mest robuste organisasjonen. Netwrix kan ta mye av den belastningen av skuldrene dine med løsningen FOR HIPAA-overholdelse.

Vet nøyaktig hvor du lagrer ePHI

Netwrix-løsningen kan identifisere Bestemte OneDrive For Business-programdatabaser, Exchange Online-postbokser og SharePoint online-områder i kontoen som inneholder ePHI. Dette er det første skrittet mot å beskytte den ePHI fra innsiden og utsiden trusler.

Reduser angrepsoverflaten ved å minimere tillatelser

Netwrix-løsningen kan også hjelpe deg med å sørge for at du har de riktige rettighetene på plass. Det kan automatisk identifisere og fjerne overdreven tillatelser til sensitive data. Det forenkler også tilgangsgjennomgangen og rettighetsattesteringsprosessen, og forbedrer dermed sjansene dine for å bestå samsvarsrevisjoner første gang.

Identifiser og svar på trusler

Takket være detaljert synlighet på tvers av systemer, Kan Netwrix-løsningen oppdage røde flagg som kan indikere innsidetrusler, som mislykkede tilgangsforsøk, opptrapping av privilegier og uvanlig høyt antall leser, og oppdage tegn på ransomware som pågår. Det gjør at du enkelt kan bore dypt inn i mistenkelige aktiviteter, slik at du kan blokkere trusler før de forårsaker alvorlig skade.

Hvis det er et brudd, uansett kilde, Kan Netwrix hjelpe deg med å fastslå alvorlighetsgraden av hendelsen, slik at du kan oppfylle alle krav til å varsle myndigheter og berørte brukere.

VANLIGE Spørsmål Om Microsoft 365 Og HIPAA-Samsvar

ER DET NOEN HIPAA-bekymringer med Bruk Av Office 365?

så lenge Du går Nøye Gjennom Microsofts BAA og forstår omfanget av dets sikkerhets-og samsvarsbeskyttelse, bekrefter at disse beskyttelsene oppfyller DINE HIPAA-samsvarsbehov, og har alle nødvendige sikkerhetskontroller på slutten, bør du ha få om noen bekymringer OM HIPAA-overholdelse.

Office 365S HIPAA-beskyttelse er robust, men til slutt er overholdelse ditt ansvar som HIPAA-dekket enhet.

Hvilken Microsoft Office 365-plan er HIPAA-kompatibel?

Microsoft tilbyr SINE HIPAA samsvar BAA til brukere Av Office 365 Business, Office 365 US Government og Office 365 US Government Defense. Lisenser på lavere nivå for disse tjenestene (For Eksempel Business Basic, Business Standard og Business Premium) har kanskje ikke alle de avanserte sikkerhetsfunksjonene du vil bruke for å opprettholde samsvar.

Microsoft anbefaler at brukere som søker HIPAA-samsvar, aktiverer sikkerhetsbeskyttelse på toppnivå. Noen av disse beskyttelsene, inkludert anti-phishing threat explorers og data loss prevention, er bare tilgjengelige for innehavere av Enterprise-lisenser på høyere Nivå.

har EN BAA med Microsoft garanti samsvar MED HIPAA Og HITECH Act?

nei, EN BAA garanterer ikke samsvar. BAAS formål er å klargjøre hvilke samsvarskrav HIPAA business associates har. Hvis Det for eksempel er et brudd På Microsoft Office 365-kontoen, vil Microsoft varsle deg om at det har skjedd.

under selv den mest robuste BAA har du som skytjenestekunde fortsatt ansvar for å opprettholde samsvar. Du må etablere og vedlikeholde et internt compliance-program som adresserer alt som kreves av DEG som EN HIPAA-dekket organisasjon. For eksempel, du må ha interne retningslinjer, prosedyrer og prosesser på plass for å sikre at personell handle på en måte som ikke bryter HIPAA regler.

Microsofts BAA hjelper deg med Å overholde HIPAA-prinsippene når du bruker selskapets tjenester, men Det vil ikke gjøre alt for deg. Du må fortsatt sørge For At gruppen bruker Office 365 på en måte som samsvarer med HVER REGEL I HIPAA Og HITECH-Loven.

Produktevangelist Hos Netwrix Corporation, forfatter og presentatør. Ryan spesialiserer seg på å evangelisere cybersikkerhet og fremme viktigheten av synlighet I IT-endringer og datatilgang. Som forfatter fokuserer Ryan på IT – sikkerhetstrender, undersøkelser og bransjeinnsikt.