Office 365 HIPAA compliance is een dringende zorg voor een groeiend aantal zorgbedrijven. Microsoft ‘ s robuuste cloud-oplossing laat providers bijhouden en communiceren met gemak-maar is het te gemakkelijk? Kan gevoelige informatie echt worden beschermd als deze in de cloud wordt opgeslagen?
Cloud computing maakt al enkele jaren deel uit van de gezondheidszorg. Het biedt tal van voordelen als strategie, waardoor organisaties en zorgverleners kunnen uitbreiden waar en hoe ze technologie kunnen gebruiken. Door het voor providers gemakkelijker te maken om patiëntendossiers bij te houden en te raadplegen, zelfs wanneer ze onderweg zijn, verbetert en vereenvoudigt cloud computing de patiëntervaring.
deze overstap naar de cloud is positief voor de gezondheidszorg als geheel, maar legt extra verantwoordelijkheid bij compliance-en beveiligingsspecialisten. Gelukkig, de taak van het vinden van HIPAA-compliant cloud software wordt steeds gemakkelijker als meer leveranciers en ontwikkelaars herkennen de marktvraag. Veel aanbieders van oplossingen hebben hun aanbod nu aangepast aan de HIPAA-behoeften van zorgorganisaties.
Microsoft 365, de meest gebruikte cloudservice, is een opvallend voorbeeld. Het biedt HIPAA compliance voor alle zorgorganisaties die een business associate agreement (BAA) hebben en correct gebruiken. In dit artikel vindt u meer informatie over wat Microsoft heeft gedaan om de 365 suite in staat te stellen te voldoen aan de HIPAA-vereisten en welke aspecten van gegevensbescherming de verantwoordelijkheid van providers blijven.
- HIPAA BAA en Microsoft 365
- Wat is een BAA?
- Hoe werkt Baa van Microsoft?
- Microsoft 365 Security Controls and HIPAA Requirements
- het Microsoft Compliance Center
- Microsoft 365 beveiligingsfuncties voor HIPAA
- hoe Microsoft omgaat met beveiligingsinbreuken
- Office 365 HIPAA-Complianceconfiguratie: Best Practices
- controleer de servicegegevens.
- procedures voor toegangscontrole instellen.
- geven opleiding over PHI-uitsluiting.
- procedures voor toegangscontrole vaststellen.
- hoe Netwrix Microsoft 365-klanten
- weet precies waar u ePHI opslaat
- Verminder uw aanvalsoppervlak door machtigingen
- bedreigingen identificeren en erop reageren
- Microsoft 365 en HIPAA Compliance FAQ
HIPAA BAA en Microsoft 365
het HIPAA-nalevingsniveau van elke cloudoplossing is afhankelijk van de BAA van de gebruikersorganisatie. Een van de meest handige functies van Microsoft 365 voor de gezondheidszorg client is dat het biedt een BAA als een standaard element van de dienst.
Wat is een BAA?
een business associate agreement is een contract tussen een onder HIPAA vallende entiteit (zoals een kantoor van een arts of een ziekenhuis) en een verbonden onderneming. Zodra protected health information (PHI) naar de cloud wordt geüpload, zijn beide partijen automatisch onderworpen aan de HIPAA-regelgeving. Om die reden, je nodig hebt om een BAA op zijn plaats met een cloud-leverancier voordat u een oplossing met betrekking tot patiëntgegevens implementeren.
Hoe werkt Baa van Microsoft?
standaard biedt Microsoft haar Baa aan als onderdeel van haar voorwaarden voor onlinediensten aan gebruikers die onder de richtlijn vallende entiteiten of zakenpartners zijn zoals gedefinieerd door HIPAA. De BAA omvat Dynamics 365, Office 365 en een aantal andere cloud-diensten.
als u Microsoft overweegt als een solution provider, bekijk dan de BAA in detail om ervoor te zorgen dat de ondersteunde services en voorwaarden van de BAA voldoen aan uw behoeften. Microsoft wijzigt haar BAA niet op verzoek van de klant, dus de voorwaarden moeten voldoende zijn zoals geschreven.
Microsoft 365 Security Controls and HIPAA Requirements
om te bevestigen dat zijn beveiligingspraktijken in overeenstemming zijn met de aanbevelingen van HIPAA ‘ s officiële uitgever, het U. S. Department of Health and Human Services (HHS), heeft Microsoft informatiebeveiligingsaudits ondergaan volgens de ISO 27001-norm . Deze standaard evalueert meerdere aspecten van de IT-beveiliging van een organisatie, inclusief of het HHS-aanbevelingen volgt.
de resultaten bevestigen dat Office 365 alle HIPAA-beveiligings-en privacycontroles omvat die nodig zijn voor naleving. U kunt toegang krijgen tot deze besturingselementen via het Microsoft 365 Compliance Center.
het Microsoft Compliance Center
het Microsoft Compliance Center geeft klanten toegang tot de tools en informatie die ze nodig hebben om compliance te beheren. Het bevat functies zoals:
- Uw Compliance-Score, een risk based metric die maatregelen vooruitgang in de richting van vermindering van het risico van
- Een actieve waarschuwingen kaart, worden uw meldingen veiligheid en wijst u in de richting van meer gedetailleerde informatie
- Een data-classificatie afdeling om u te helpen goed te organiseren van belangrijke gegevens
- Een sectie rapporten met informatie over apps van derden, gedeelde bestanden en nog veel meer
- Een sectie machtigingen waarmee u het beheer van toegang binnen uw organisatie
- Een oplossingen met gedetailleerde informatie over uw organisatie op de naleving strategieën
- een hulpmiddel voor bescherming tegen gegevensverlies waarmee u gevoelige informatie kunt bijhouden
het Compliance Center is een robuuste bron. Het is beschikbaar voor alle zakelijke klanten van Microsoft, maar sommige functies, zoals geavanceerd threat management, gevoeligheidslabels voor gegevensclassificatie, sommige DLP-functionaliteit, zijn mogelijk niet beschikbaar tenzij u een licentie van het hoogste niveau hebt.
Microsoft 365 beveiligingsfuncties voor HIPAA
Microsoft biedt vele beveiligingsfuncties om bedrijven te helpen de naleving van specifieke regelgeving te handhaven. Die bijzonder relevant zijn voor HIPAA zijn:
- toegang met de minste rechten: Deze functie beperkt het risico en de impact van datalekken door verhoogde toegang te verlenen aan alleen degenen die deze nodig hebben.
- Privacy Readers: Microsoft raadt klanten met een BAA aan vertegenwoordigers aan te wijzen als HIPAA Privacy Readers, wat hen toegang geeft tot Message Center meldingen over mogelijke inbreuken met betrekking tot electronic protected healthcare information (ePHI).
- End-to-end encryptie: Microsoft versleutelt alle gegevens wanneer deze worden geüpload naar of opgeslagen op de servers van het bedrijf. Het wordt ook versleuteld wanneer het wordt overgedragen buiten Microsoft-faciliteiten( encryptie in transit); echter, sommige informatie, met inbegrip van gegevens in e-mail onderwerpregels en adresvelden, kan niet worden versleuteld als gevolg van standaard internetprotocollen. Daarom raadt Microsoft aan dat alle gebruikers personeel trainen om ePHI nooit op te nemen in de aan -, van-of onderwerpregels van een e-mail.
- preventie van gegevensverlies: ePHI is beschermd tegen delen met onbevoegde kijkers.
- Multi-Factor Authenticatie: Gebruikers moeten informatie verstrekken die naar een ander apparaat of account wordt verzonden voordat ze mogen inloggen.
- auditlogboeken: beheerders kunnen zien wie documenten heeft gezien, geopend, gedeeld of weggegooid.
- Data backups: deze functie is vereist onder HIPAA zodat exacte kopieën van ePHI kunnen worden hersteld indien nodig.
- Beveiligingsconfiguratie: Microsoft stelt klanten in staat om hun beveiligingsinstellingen te wijzigen op veel diensten die onder de BAA vallen. Voor HIPAA compliance, de veiligste strategie kan zijn om de strengst mogelijke parameters. Gedetailleerde configuratie-instructies zijn beschikbaar in Microsoft ‘ s HIPAA implementation guide.
hoe Microsoft omgaat met beveiligingsinbreuken
Microsoft ‘ s BAA stelt dat als er een beveiligingsinbreuk optreedt, het bedrijf alle globale admins van uw account en alle gebruikers die de Privacy Reader-aanwijzing hebben binnen 30 dagen op de hoogte zal stellen.
Microsoft stelt uw klanten niet op de hoogte van een inbreuk. Die verantwoordelijkheid ligt bij u onder HIPAA, dat vereist dat alle gedekte entiteiten de getroffen personen op de hoogte stellen als een inbreuk betrekking heeft op ongedekte ePHI. Microsoft legt ook geen vereiste meldingen aan de secretaris van HHS of de media.
in het geval van een inbreuk op een potentiële ePHI-repository is Microsoft niet verantwoordelijk voor het scannen van opgeslagen gegevens om te bepalen of een ePHI daadwerkelijk is gecompromitteerd. U ontvangt een melding dat er een inbreuk heeft plaatsgevonden. Je moet dan beoordelen of er enige ePHI is aangetast en wat de mate van de impact is als die er is.
Office 365 HIPAA-Complianceconfiguratie: Best Practices
Microsoft is zeer duidelijk dat de verantwoordelijkheid voor HIPAA-naleving uiteindelijk bij de klant ligt. De leverancier raadt aan dat alle bedrijven een reeks procedures en beleid opstellen om hun personeel te helpen Office 365 te gebruiken op een manier die compliance ondersteunt. Hier zijn enkele van de belangrijkste stappen te volgen tijdens het installatieproces.
controleer de servicegegevens.
- zorg ervoor dat de producten die u van plan bent te gebruiken binnen het bereik van Microsoft ‘ s HIPAA Compliance Services vallen.
- controleer de BAA om ervoor te zorgen dat de meegeleverde beveiligings-en privacypraktijken aan uw behoeften voldoen.
procedures voor toegangscontrole instellen.
- geef in uw Microsoft 365 Message Center uw Privacylezers op.
- schakel toegang bijhouden voor uw beheerders, zodat u kunt zien wanneer ze toegang tot gebruikersaccounts.
geven opleiding over PHI-uitsluiting.
- administratief personeel mag geen ePHI invoeren in directory ‘ s, adresboeken of globale adreslijsten.
- personeel mag ePHI niet delen bij het oplossen van problemen of het ondersteunen van gesprekken met Microsoft.
- Gebruikers mogen niet naar ePHI verwijzen in bestandsnamen, e-mailheaders of openbaar toegankelijke SharePoint-locaties.
- gebruikers moeten ePHI niet per e-mail sturen, behalve naar expliciet geautoriseerde gebruikers.
procedures voor toegangscontrole vaststellen.
- controleer regelmatig de toegang van gebruikers tot alle ePHI-opslagbronnen.
- onderzoekt regelmatig gebruikerstoegangsrechten, wachtwoordwijzigingen en toevoegingen aan gedeelde bronnen.
- Maak een protocol voor het bijwerken van toegangsrechten in geval van personeelswijzigingen.
hoe Netwrix Microsoft 365-klanten
helpt om te voldoen aan HIPAA is geen kleine taak, en het toevoegen van compliance met betrekking tot clouddiensten kan de middelen van zelfs de meest robuuste organisatie belasten. Netwrix kan veel van die last van je schouders halen met zijn oplossing voor HIPAA compliance.
weet precies waar u ePHI opslaat
de NetWrix-oplossing kan de specifieke OneDrive voor zakelijke repositories identificeren, Online mailboxen uitwisselen en SharePoint Online-sites in uw account die ePHI bevatten. Dit is de eerste stap om die ePHI te beschermen tegen bedreigingen van binnen en van buiten.
Verminder uw aanvalsoppervlak door machtigingen
te minimaliseren de NetWrix-oplossing kan u ook helpen ervoor te zorgen dat u de juiste rechten hebt. Het kan automatisch identificeren en verwijderen van overmatige Machtigingen voor gevoelige gegevens. Het vereenvoudigt ook het proces van access review en privilege-attest, waardoor uw kansen op het slagen voor compliance-audits de eerste keer worden verbeterd.
bedreigingen identificeren en erop reageren
dankzij gedetailleerde systeemoverschrijdende zichtbaarheid kan de NetWrix-oplossing rode vlaggen detecteren die kunnen wijzen op insiderbedreigingen, zoals mislukte toegangspogingen, escalatie van privileges en ongewoon hoge aantallen leestekens, en tekenen van lopende ransomware detecteren. Hiermee kunt u eenvoudig diep boren in verdachte activiteiten, zodat u bedreigingen kunt blokkeren voordat ze ernstige schade veroorzaken.
als er een inbreuk is, ongeacht de bron, kan Netwrix u helpen de ernst van het incident te bepalen, zodat u kunt voldoen aan alle vereisten voor het melden van autoriteiten en getroffen gebruikers.
Microsoft 365 en HIPAA Compliance FAQ
zijn er HIPAA-problemen met het gebruik van Office 365?
zolang u Microsoft ‘ s BAA zorgvuldig doorziet en de reikwijdte van de beveiliging en compliance-beveiligingen begrijpt, bevestigt dat deze beveiligingen voldoen aan uw HIPAA-compliance-behoeften en alle vereiste beveiligingscontroles aan uw kant hebt, hoeft u zich geen zorgen te maken over HIPAA-compliance.
de HIPAA-bescherming van Office 365 is robuust, maar uiteindelijk is compliance uw verantwoordelijkheid als de HIPAA-gedekte entiteit.
welk Microsoft Office 365-plan voldoet aan HIPAA?
Microsoft biedt zijn HIPAA compliance BAA aan voor gebruikers van Office 365 Business, Office 365 US Government en Office 365 US Government Defense. Licenties op een lager niveau van deze services (bijvoorbeeld Business Basic, Business Standard en Business Premium) hebben mogelijk niet alle geavanceerde beveiligingsfuncties die u wilt gebruiken om uw naleving te handhaven.
Microsoft beveelt aan dat gebruikers die op zoek zijn naar HIPAA compliance beveiliging op het hoogste niveau inschakelen. Sommige van deze beveiligingen, waaronder anti-phishing threat explorers en het voorkomen van gegevensverlies, zijn alleen beschikbaar voor houders van higher-tier Enterprise-licenties.
garandeert een BAA bij Microsoft naleving van HIPAA en de HITECH Act?
Nee, een BAA garandeert geen naleving. Het doel van de BAA is om duidelijk te maken welke compliance-eisen de verantwoordelijkheid zijn van de HIPAA business associate. Als er bijvoorbeeld een inbreuk in uw Microsoft Office 365-account is opgetreden, zal Microsoft u daarvan op de hoogte stellen.
zelfs onder de meest robuuste BAA heeft u als klant van de cloud service nog steeds verantwoordelijkheden voor het handhaven van compliance. U moet een intern compliance-programma opzetten en onderhouden dat alles aanpakt wat u als HIPAA-gedekte organisatie nodig heeft. U moet bijvoorbeeld beschikken over intern beleid, procedures en processen om ervoor te zorgen dat uw personeel zich gedraagt op een manier die de HIPAA-regelgeving niet schendt.
Microsoft ‘ s BAA helpt u zich te houden aan de HIPAA principes bij het gebruik van de diensten van het bedrijf, maar het zal niet alles voor u doen. Je moet er nog steeds voor zorgen dat je team Office 365 gebruikt op een manier die aansluit bij elke regel van HIPAA en de HITECH Act.