Onko Microsoft 365 HIPAA yhteensopiva?

Office 365 HIPAA compliance on kiireellinen huolenaihe yhä useammalle terveydenhuollon yritykselle. Microsoftin vankka pilviratkaisu antaa palveluntarjoajien pitää kirjaa ja kommunikoida helposti-mutta onko se liian helppoa? Voiko arkaluontoista tietoa todella suojata, jos se on tallennettu pilveen?

pilvilaskenta on tehnyt jalansijaa terveydenhoitoalalla jo useiden vuosien ajan. Se tarjoaa lukuisia etuja strategiana, jonka avulla organisaatiot ja hoitajat voivat laajentaa missä ja miten he voivat käyttää teknologiaa. Pilvilaskenta parantaa ja yksinkertaistaa potilaskokemusta helpottamalla potilastietojen säilyttämistä ja vertailua myös silloin, kun potilas on liikkeellä.

siirtyminen pilvipalveluun on myönteinen asia koko terveydenhuollolle, mutta se tuo lisävastuuta Vaatimustenmukaisuus-ja tietoturva-asiantuntijoille. Onneksi HIPAA-yhteensopivien pilviohjelmistojen löytäminen helpottuu, kun yhä useammat myyjät ja Kehittäjät tunnistavat markkinoiden kysynnän. Monet ratkaisujen tarjoajat ovat nyt mukauttaneet tarjontaansa vastaamaan terveydenhuollon organisaatioiden HIPAA-tarpeita.

Microsoft 365, joka on väitetysti käytetyin pilvipalvelu, on standout-esimerkki. Se tarjoaa HIPAA-vaatimustenmukaisuuden kaikille terveydenhuollon organisaatioille, joilla on business associate agreement (BAA) ja jotka käyttävät sitä oikein. Tässä artikkelissa opit lisää siitä, mitä Microsoft on tehnyt mahdollistaakseen 365-ohjelmistonsa HIPAA-vaatimusten täyttämisen ja mitkä tietosuojaan liittyvät näkökohdat ovat edelleen palveluntarjoajien vastuulla.

HIPAA BAA ja Microsoft 365
mikä on BAA?
miten Microsoftin BAA toimii?
Microsoft 365 Security Controls and HIPAA Requirements
Microsoft Compliance Center
Microsoft 365 Security Features for HIPAA
miten Microsoft käsittelee tietoturvaloukkauksia
Office 365 HIPAA Compliance Configuration: Parhaat käytännöt
Tarkista palvelun tiedot.
käyttöön kulunvalvontamenettelyt.
annetaan koulutusta PHI-syrjäytymisestä.
vahvistetaan menettelyt saatavuusharkintaa varten.
miten Netwrix auttaa Microsoftia 365 asiakasta
tiedä tarkasti, missä ePHI
Pienennä hyökkäyspinta-alaa minimoimalla käyttöoikeudet
Tunnista ja vastaa uhkiin
Microsoft 365 and HIPAA Compliance FAQ

HIPAA BAA ja Microsoft 365

minkä tahansa pilviratkaisun HIPAA-vaatimustenmukaisuusaste riippuu käyttäjäjärjestön BAA: sta. Yksi Microsoft 365: n kätevimmistä ominaisuuksista terveydenhuollon asiakkaalle on se, että se tarjoaa BAA: n vakio-osana Palvelua.

mikä on BAA?

liikekumppanuussopimus on HIPAA-sopimuksen piiriin kuuluvan yksikön (kuten lääkärin tai sairaalan) ja siihen liittyvän yrityksen välinen sopimus. Heti kun suojatut terveystiedot (Phi) Ladataan pilveen, molemmat osapuolet ovat automaattisesti HIPAA-määräysten alaisia. Tästä syystä sinulla on oltava BAA käytössä pilvipalvelumyyjän kanssa ennen kuin otat käyttöön mitään potilastietoihin liittyvää ratkaisua.

miten Microsoftin BAA toimii?

oletuksena Microsoft tarjoaa Baa: NSA osana Verkkopalveluehtojaan käyttäjille, jotka ovat HIPAA: n määrittelemiä katettuja yhteisöjä tai liikekumppaneita. BAA kattaa Dynamics 365: n, Office 365: n ja joitakin muita pilvipalveluita.

jos harkitset Microsoftia ratkaisutoimittajaksi, käy yksityiskohtaisesti läpi BAA: n kattamat palvelut ja ehdot varmistaaksesi, että BAA: n ehdot vastaavat tarpeitasi. Microsoft ei muuta BAA: taan asiakkaan pyynnöstä, joten ehtojen on oltava riittävät kirjallisina.

Microsoft 365 Security Controls and HIPAA Requirements

varmistaakseen, että sen tietoturvakäytännöt ovat HIPAA: n virallisen julkaisijan, Yhdysvaltain terveys-ja Ihmispalveluministeriön (HHS) suositusten mukaisia, Microsoft on suorittanut ISO 27001-standardin mukaiset tietoturva-auditoinnit . Tässä standardissa arvioidaan organisaation tietoturvan useita näkökohtia, mukaan lukien se, noudattaako se HHS: n suosituksia.

tulokset vahvistavat, että Office 365 sisältää kaikki HIPAA: n turvallisuus-ja yksityisyydensuojavalvonnat, jotka ovat tarpeen vaatimusten noudattamiseksi. Voit käyttää näitä hallintalaitteita Microsoft 365 Compliance Centerin kautta.

Microsoft Compliance Center

Microsoft Compliance Center antaa asiakkaille pääsyn työkaluihin ja tietoihin, joita he tarvitsevat vaatimustenmukaisuuden hallitsemiseen. Se sisältää ominaisuuksia, kuten:

Compliance Score, riskiin perustuva mittari, joka mittaa edistymistä kohti riskien vähentämistä
aktiivinen hälytyskortti, joka listaa tietoturvailmoituksesi ja osoittaa sinut tarkempiin tietoihin
tietojen luokitteluosio, joka auttaa sinua järjestämään tärkeät tiedot asianmukaisesti
raportit-osio, jossa on tietoa kolmannen osapuolen sovelluksista, jaetuista tiedostoista ja muista
käyttöoikeusosio näin voit hallita pääsyä organisaatiosi sisällä
ratkaisuosasto, jossa on yksityiskohtaiset tiedot organisaatiosi vaatimustenmukaisuudesta strategiat
tietojen häviämisen suojaustyökalu, jonka avulla voit seurata arkaluonteisia tietoja

Compliance Center on vahva resurssi. Se on kaikkien Microsoft yritysasiakkaiden saatavilla, mutta jotkut ominaisuudet, kuten kehittynyt uhkien hallinta, tietojen luokittelun herkkyysmerkinnät, jotkut DLP-toiminnot, eivät välttämättä ole käytettävissä, ellei sinulla ole huipputason lisenssiä.

Microsoft 365 Security Features for HIPAA

Microsoft tarjoaa monia suojausominaisuuksia, jotka auttavat yrityksiä noudattamaan tiettyjä säädöksiä. Ne, jotka ovat erityisen merkityksellisiä HIPAA::

vähiten käyttöoikeuksia: tämä ominaisuus rajoittaa tietomurtojen riskiä ja vaikutusta myöntämällä korotetun pääsyn vain niitä tarvitseville.
Privacy Readers: Microsoft suosittelee, että asiakkaat, joilla on BAA, nimeäisivät edustajat HIPAA Privacy Readers-lukijoiksi, mikä antaa heille pääsyn viestikeskuksen ilmoituksiin mahdollisista tietoturvaloukkauksista, jotka koskevat sähköisiä suojattuja terveydenhuollon tietoja (ephi).
päästä päähän-salaus: Microsoft salaa kaiken tiedon, kun se ladataan tai tallennetaan yhtiön palvelimille. Se on myös salattu, kun se siirretään Microsoftin toimintojen ulkopuolelle (salaus kauttakulussa); kuitenkin, joitakin tietoja, kuten tietoja sähköpostin aihe linjat ja osoitekentät, ei voida salata, koska standardi Internet-protokollia. Siksi Microsoft suosittelee, että kaikki käyttäjät kouluttavat henkilökuntaa, jotta ephi ei koskaan sisällytettäisi sähköpostin To -, From-tai Subject-riveihin.
tietojen häviämisen ehkäisy: ePHI on suojattu jakamiselta luvattomille katsojille.
Monivaiheinen Todennus: Käyttäjien on annettava toiselle laitteelle tai tilille lähetetyt tiedot ennen kuin he saavat kirjautua sisään.
tarkastuslokit: ylläpitäjät voivat tarkastella, kuka on nähnyt, avannut, jakanut tai tuhonnut asiakirjoja.
tietojen varmuuskopiot: tätä ominaisuutta tarvitaan HIPAA: ssa, jotta EFI: n tarkat kopiot voidaan tarvittaessa palauttaa.
Tietoturvakokoonpano: Microsoft sallii asiakkaiden muuttaa suojausasetuksiaan monissa BAA: n kattamissa palveluissa. HIPAA-vaatimustenmukaisuuden kannalta turvallisin strategia voi olla tiukimpien mahdollisten parametrien asettaminen. Yksityiskohtaiset määritysohjeet löytyvät Microsoftin HIPAA-toteutusoppaasta.

miten Microsoft käsittelee tietoturvaloukkauksia

Microsoftin BAA: n mukaan tietoturvaloukkauksen sattuessa yhtiö ilmoittaa kaikille tilisi maailmanlaajuisille ylläpitäjille ja kaikille käyttäjille, joilla on Privacy Reader-tunnus 30 päivän kuluessa.

Microsoft ei ilmoita asiakkaille murrosta. Tämä vastuu kuuluu sinulle HIPAA: ssa, mikä edellyttää, että kaikki sopimuksen piiriin kuuluvat tahot ilmoittavat asianomaisille henkilöille, jos tietoturvaloukkaukseen liittyy vakuudeton ePHI. Microsoft ei myöskään lähetä vaadittuja ilmoituksia HS: n sihteerille tai medialle.

jos mahdollinen ePHI-tietovarasto on murtunut, Microsoft ei ole vastuussa tallennettujen tietojen skannaamisesta sen selvittämiseksi, onko jokin ePHI todella vaarantunut. Saat ilmoituksen rikkomuksesta. Sitten on arvioitava, onko jokin EFI vaarantunut ja mikä on mahdollisen vaikutuksen aste.

Office 365 HIPAA Compliance Configuration: Parhaat käytännöt

Microsoftille on hyvin selvää, että viime kädessä vastuu HIPAA-vaatimustenmukaisuudesta on asiakkaalla. Myyjä suosittelee, että kaikki yritykset laativat menettelytavat ja käytännöt, joiden avulla henkilöstö voi käyttää Office 365: tä tavalla, joka tukee säännösten noudattamista. Seuraavassa on muutamia tärkeimpiä vaiheita seurata asennuksen aikana.

Tarkista palvelun tiedot.

varmista, että käyttämäsi tuotteet kuuluvat Microsoftin HIPAA Compliance-palveluiden piiriin.
Tarkista BAA varmistaaksesi, että siihen sisältyvät turvallisuus-ja tietosuojakäytännöt vastaavat tarpeitasi.

käyttöön kulunvalvontamenettelyt.

määritä Microsoft 365 Message Centerissä Yksityisyydensuojalukijasi.
ota järjestelmänvalvojiesi käyttöoikeusseuranta käyttöön, jotta näet, milloin he käyttävät käyttäjätilejä.

annetaan koulutusta PHI-syrjäytymisestä.

hallintohenkilöstö ei saa merkitä ePHI: tä mihinkään hakemistoihin, osoitekirjoihin tai yleisiin osoiteluetteloihin.
yksikään henkilöstö ei saa jakaa ePHI: tä vianmäärityksessä tai tukikeskusteluissa Microsoftin kanssa.
käyttäjien ei tulisi viitata ePHI: ään missään tiedostonimissä, sähköpostin otsakkeissa tai julkisesti saatavilla olevissa SharePoint-paikoissa.
käyttäjät eivät saa lähettää ePHI: tä sähköpostitse muutoin kuin erikseen valtuutetuille käyttäjille.

vahvistetaan menettelyt saatavuusharkintaa varten.

tarkista säännöllisesti käyttäjän pääsy kaikkiin ePHI-tallennusvarastoihin.
tutki säännöllisesti käyttäjien käyttöoikeuksia, salasanojen muutoksia ja lisäyksiä jaettuihin resursseihin.
luo protokolla käyttöoikeuksien päivittämiseksi henkilöstön vaihtuessa.

miten Netwrix auttaa Microsoftia 365 asiakasta

HIPAA: n noudattaminen ei ole mikään pieni tehtävä, ja pilvipalveluihin liittyvän vaatimustenmukaisuuden lisääminen voi verottaa vahvimmankin organisaation resursseja. Netwrix voi ottaa suuren osan tästä kuormituksesta pois hartioiltasi HIPAA compliance-ratkaisullaan.

tiedä tarkasti, missä ePHI

Netwrix-ratkaisu voi tunnistaa erityiset OneDrive for Business-arkistot, Exchange Online-postilaatikot ja SharePoint Online-sivustot tililläsi, jotka sisältävät ePHI. Tämä on ensimmäinen askel sen suojelemisessa sisä-ja ulkopuolelta tulevilta uhilta.

Pienennä hyökkäyspinta-alaa minimoimalla käyttöoikeudet

Netwrix-ratkaisu voi myös auttaa sinua varmistamaan, että sinulla on oikeat oikeudet käytössä. Se voi automaattisesti tunnistaa ja poistaa liialliset oikeudet arkaluonteisiin tietoihin. Se myös yksinkertaistaa access review-ja privilege-todistusprosessia, mikä parantaa mahdollisuuksiasi läpäistä vaatimustenmukaisuuden tarkastukset ensimmäistä kertaa.

Tunnista ja vastaa uhkiin

yksityiskohtaisen järjestelmärajat ylittävän näkyvyyden ansiosta Netwrix-ratkaisu voi havaita punaisia lippuja, jotka voivat viitata sisäpiiriuhkiin, kuten epäonnistuneisiin pääsyyrityksiin, etuoikeuksien laajentumiseen ja epätavallisen suuriin lukemiin, ja havaita merkkejä käynnissä olevista kiristysohjelmista. Sen avulla voit helposti porautua syvälle epäilyttäviin toimiin, jotta voit estää uhkia ennen kuin ne aiheuttavat vakavaa vahinkoa.

jos rikkomus on tapahtunut, NetWrix voi auttaa sinua määrittämään vaaratilanteen vakavuuden, minkä ansiosta voit täyttää kaikki vaatimukset ilmoittamisesta vastaaville viranomaisille ja asianomaisille käyttäjille.

Microsoft 365 and HIPAA Compliance FAQ

onko Office 365: n käytössä HIPAA-ongelmia?

niin kauan kuin tarkastelet huolellisesti Microsoftin BAA: ta ja ymmärrät sen tietoturva-ja compliance-suojausten laajuuden, vahvistat, että nämä suojaukset vastaavat HIPAA: n vaatimustenmukaisuustarpeitasi ja että sinulla on kaikki vaaditut turvatarkastukset päässäsi, sinulla pitäisi olla vain vähän jos lainkaan huolia HIPAA: n noudattamisesta.

Office 365: n HIPAA-suojaukset ovat vankkoja, mutta viime kädessä niiden noudattaminen on sinun vastuullasi HIPAA-suojattuna kokonaisuutena.

mikä Microsoft Office 365-suunnitelma on HIPAA-yhteensopiva?

Microsoft tarjoaa HIPAA compliance BAA: ta Office 365 Business -, Office 365 US Government-ja Office 365 US Government Defense-palveluiden käyttäjille. Näiden palvelujen alemman tason lisensseissä (esimerkiksi Business Basic, Business Standard ja Business Premium) ei kuitenkaan välttämättä ole kaikkia kehittyneitä turvaominaisuuksia, joita haluat käyttää noudattamisesi ylläpitämiseksi.

Microsoft suosittelee HIPAA-vaatimustenmukaisuutta hakeville käyttäjille huipputason tietoturvasuojauksia. Jotkut näistä suojauksista, mukaan lukien tietojenkalasteluhaittojen torjuntaohjelmat ja tietojen menetyksen ehkäisy, ovat saatavilla vain korkeamman tason Yrityslisenssien haltijoille.

takaako BAA Microsoftin kanssa HIPAA: n ja HITECH-lain noudattamisen?

Ei, a BAA ei takaa vaatimustenmukaisuutta. BAA: n tarkoituksena on selvittää, mitkä vaatimustenmukaisuusvaatimukset ovat HIPAA: n liikekumppanin vastuulla. Jos esimerkiksi Microsoft Office 365-tilissäsi on murto, Microsoft ilmoittaa siitä sinulle.

vahvimmankin BAA: n mukaan sinulla pilvipalveluasiakkaana on edelleen vastuu vaatimusten noudattamisesta. Sinun on luotava ja ylläpidettävä sisäinen compliance-ohjelma, joka käsittelee kaiken, mitä sinulta vaaditaan HIPAA-kattamana organisaationa. Sinulla on esimerkiksi oltava käytössäsi sisäiset käytännöt, menettelyt ja prosessit sen varmistamiseksi, että henkilöstösi toimii tavalla, joka ei riko HIPAA-määräyksiä.

Microsoftin BAA auttaa sinua noudattamaan HIPAA-periaatteita käyttäessäsi yhtiön palveluita, mutta se ei tee kaikkea puolestasi. Sinun täytyy silti varmistaa, että tiimisi käyttää Office 365: tä tavalla, joka sopii yhteen HIPAA: n ja HITECH-lain kanssa.

tuote evankelista Netwrix Corporation, kirjailija, ja juontaja. Ryan on erikoistunut kyberturvallisuuden evankelioimiseen ja näkyvyyden merkityksen edistämiseen IT-muutoksissa ja tietojen saatavuudessa. Kirjoittajana Ryan keskittyy tietoturvan trendeihin, kyselyihin ja alan oivalluksiin.