Är Microsoft 365 HIPAA kompatibel?

Office 365 HIPAA-efterlevnad är ett pressande problem för ett ökande antal vårdföretag. Microsofts robusta molnlösning låter leverantörer föra register och kommunicera med lätthet-men är det för lätt? Kan känslig information verkligen skyddas om den lagras i molnet?

Cloud computing har gjort inbrytningar i vårdindustrin i flera år. Det erbjuder många fördelar som en strategi, vilket gör det möjligt för organisationer och vårdgivare att expandera var och hur de kan använda teknik. Genom att göra det lättare för leverantörer att hålla och referera patientjournaler, även när de är på språng, förbättrar och förenklar cloud computing patientupplevelsen.

denna övergång till molnet är positiv för sjukvården som helhet, men det lägger ytterligare ansvar på efterlevnad och säkerhetsspecialister. Lyckligtvis blir uppgiften att hitta HIPAA-kompatibel molnprogramvara lättare eftersom fler leverantörer och utvecklare känner igen efterfrågan på marknaden. Många lösningsleverantörer har nu anpassat sina erbjudanden för att möta HIPAA-behoven hos vårdorganisationer.

Microsoft 365, som är den mest använda molntjänsten, är ett utmärkt exempel. Det erbjuder HIPAA-efterlevnad för alla vårdorganisationer som har och korrekt använder ett business associate agreement (BAA). I den här artikeln lär du dig mer om vad Microsoft har gjort för att göra det möjligt för sin 365-svit att uppfylla HIPAA-kraven och vilka aspekter av dataskydd som fortfarande är leverantörernas ansvar.

HIPAA BAA och Microsoft 365
Vad är en BAA?
Hur fungerar Microsofts BAA?
Microsoft 365 säkerhetskontroller och HIPAA-krav
Microsoft Compliance Center
Microsoft 365 säkerhetsfunktioner för HIPAA
hur Microsoft hanterar säkerhetsöverträdelser
Office 365 HIPAA efterlevnad konfiguration: Bästa praxis
kontrollera serviceinformation.
Ställ in åtkomstkontrollprocedurer.
ge utbildning om PHI-uteslutning.
upprätta procedurer för åtkomstgranskning.
hur Netwrix hjälper Microsoft 365-kunder
vet exakt var du lagrar ePHI
minska din attackyta genom att minimera behörigheter
identifiera och svara på Hot
vanliga frågor om Microsoft 365 och HIPAA-efterlevnad

HIPAA BAA och Microsoft 365

HIPAA-efterlevnadsnivån för alla molnlösningar beror på användarorganisationens BAA. En av de mest praktiska funktionerna i Microsoft 365 för vårdklienten är att den tillhandahåller en BAA som ett standardelement i tjänsten.

Vad är en BAA?

ett affärspartneravtal är ett avtal mellan en HIPAA-täckt enhet (t.ex. ett läkarkontor eller sjukhus) och ett tillhörande företag. Så snart någon skyddad hälsoinformation (Phi) laddas upp till molnet, är båda parter automatiskt föremål för HIPAA-regler. Av den anledningen måste du ha en BAA på plats hos en molnleverantör innan du implementerar någon lösning relaterad till patientdata.

Hur fungerar Microsofts BAA?

som standard erbjuder Microsoft sin BAA som en del av sina villkor för onlinetjänster till användare som omfattas av enheter eller affärspartners enligt definitionen i HIPAA. BAA täcker Dynamics 365, Office 365 och några andra molntjänster.

om du överväger Microsoft som en lösningsleverantör, granska BAA i detalj för att säkerställa att de täckta tjänsterna och villkoren i BAA uppfyller dina behov. Microsoft ändrar inte sin BAA efter kundförfrågan, så villkoren måste vara tillräckliga som skrivna.

Microsoft 365 säkerhetskontroller och HIPAA-krav

för att bekräfta att dess säkerhetspraxis överensstämmer med rekommendationer från HIPAAS officiella utgivare, US Department of Health and Human Services (HHS), har Microsoft genomgått informationssäkerhetsrevisioner enligt ISO 27001-standarden . Denna standard utvärderar flera aspekter av en organisations IT-säkerhet, inklusive om den följer HHS-rekommendationer.

resultaten bekräftar att Office 365 innehåller alla HIPAA-säkerhets-och sekretesskontroller som krävs för efterlevnad. Du kan komma åt dessa kontroller via Microsoft 365 Compliance Center.

Microsoft Compliance Center

Microsoft Compliance Center ger kunderna tillgång till de verktyg och den information de behöver för att hantera compliance. Den innehåller funktioner som:

din Compliance Score, ett riskbaserat mått som mäter framsteg mot riskreduktion
ett active alerts-kort, som listar dina säkerhetsmeddelanden och pekar dig mot mer detaljerad information
ett dataklassificeringsavsnitt som hjälper dig att ordentligt organisera viktiga data
ett rapportavsnitt med information om tredjepartsappar, delade filer och mer
ett behörighetsavsnitt det låter dig hantera åtkomst inom din organisation
ett lösningsavsnitt med detaljerad information om organisationens efterlevnad strategier
ett dataförlustskyddsverktyg som låter dig spåra känslig information

Compliance Center är en robust resurs. Den är tillgänglig för alla Microsoft business-kunder, men vissa funktioner, som avancerad hothantering, känslighetsetiketter för dataklassificering, vissa DLP-funktioner, kanske inte är tillgängliga om du inte har en toppnivålicens.

Microsoft 365 säkerhetsfunktioner för HIPAA

Microsoft tillhandahåller många säkerhetsfunktioner för att hjälpa företag att upprätthålla överensstämmelse med specifika regler. De som är särskilt relevanta för HIPAA är:

minst behörighetsåtkomst: den här funktionen begränsar risken och effekten av dataöverträdelser genom att ge förhöjd åtkomst till endast de som behöver det.
Sekretessläsare: Microsoft rekommenderar att kunder med en BAA bör utse representanter som HIPAA Privacy Readers, vilket ger dem tillgång till meddelandecentermeddelanden om möjliga överträdelser som involverar elektronisk skyddad hälsovårdsinformation (ePHI).
end-to-end-kryptering: Microsoft krypterar all data när den laddas upp till eller lagras på företagets servrar. Det krypteras också när det överförs utanför Microsoft-anläggningar (kryptering i transit); viss information, inklusive data i ämnesrader för e-post och adressfält, kan dock inte krypteras på grund av vanliga internetprotokoll. Därför rekommenderar Microsoft att alla användare utbildar personal att aldrig inkludera ePHI i Till -, Från-eller Ämnesraderna i ett e-postmeddelande.
förebyggande av dataförlust: ePHI är skyddad från delning till obehöriga tittare.
Multifaktorautentisering: Användare måste tillhandahålla information som skickas till en annan enhet eller ett annat konto innan de får logga in.
granskningsloggar: administratörer kan se vem som har sett, öppnat, delat eller skrotat dokument.
databackups: denna funktion krävs under HIPAA så att exakta kopior av ePHI kan återställas vid behov.
säkerhetskonfiguration: Microsoft tillåter kunder att ändra sina säkerhetsinställningar på många tjänster som omfattas av BAA. För HIPAA-överensstämmelse kan den säkraste strategin vara att ställa in de strängaste möjliga parametrarna. Detaljerade konfigurationsinstruktioner finns i Microsofts HIPAA-implementeringsguide.

hur Microsoft hanterar säkerhetsöverträdelser

Microsofts BAA anger att om ett säkerhetsöverträdelse inträffar kommer företaget att meddela alla DITT kontos globala administratörer och alla användare som har Sekretessläsarbeteckningen inom 30 dagar.

Microsoft meddelar inte dina kunder om ett brott. Det ansvaret faller på dig under HIPAA, vilket kräver att alla täckta enheter meddelar berörda individer om ett brott innebär osäker ePHI. Microsoft skickar inte heller några nödvändiga meddelanden till sekreteraren för HHS eller media.

vid brott mot ett potentiellt ephi-arkiv är Microsoft inte ansvarigt för att skanna lagrade data för att avgöra om någon ePHI faktiskt har äventyrats. Du kommer att få ett meddelande om att ett brott har inträffat. Du måste sedan bedöma om någon ePHI har äventyrats och vilken grad av påverkan är om någon.

Office 365 HIPAA efterlevnad konfiguration: Bästa praxis

Microsoft är mycket tydligt att ansvaret för HIPAA-efterlevnad i slutändan ligger hos kunden. Leverantören rekommenderar att alla företag upprättar en uppsättning procedurer och policyer för att hjälpa sin personal att använda Office 365 på ett sätt som stöder efterlevnad. Här är några av de viktigaste stegen att följa under installationsprocessen.

kontrollera serviceinformation.

se till att de produkter du planerar att använda omfattas av Microsofts HIPAA-Efterlevnadstjänster.
granska BAA för att se till att de medföljande säkerhets-och sekretesspraxis uppfyller dina behov.

Ställ in åtkomstkontrollprocedurer.

ange dina Integritetsläsare i Microsoft 365 Message Center.
aktivera åtkomstspårning för dina administratörer så att du kan se när de kommer åt användarkonton.

ge utbildning om PHI-uteslutning.

administrativ personal ska inte ange ePHI i några kataloger, adressböcker eller globala adresslistor.
ingen personal ska dela ePHI vid felsökning eller supportkonversationer med Microsoft.
användare ska inte referera till ePHI i några filnamn, e-posthuvuden eller offentligt tillgängliga SharePoint-platser.
användare ska inte skicka ePHI via e-post utom till uttryckligen auktoriserade användare.

upprätta procedurer för åtkomstgranskning.

granska regelbundet användaråtkomst till alla ePHI-lagringsförvar.
granska regelbundet användaråtkomstbehörigheter, lösenordsändringar och tillägg till delade resurser.
skapa ett protokoll för uppdatering av åtkomsträttigheter vid personalförändringar.

hur Netwrix hjälper Microsoft 365-kunder

att följa HIPAA är ingen liten uppgift, och att lägga till efterlevnad relaterad till molntjänster kan beskatta resurserna till även den mest robusta organisationen. Netwrix kan ta mycket av den belastningen av dina axlar med sin lösning för HIPAA-överensstämmelse.

vet exakt var du lagrar ePHI

Netwrix-lösningen kan identifiera specifika OneDrive för företag-repositorier, Exchange Online-postlådor och SharePoint Online-webbplatser i ditt konto som innehåller ePHI. Detta är det första steget mot att skydda den ePHI från inre och yttre hot.

minska din attackyta genom att minimera behörigheter

Netwrix-lösningen kan också hjälpa dig att se till att du har rätt behörigheter på plats. Det kan automatiskt identifiera och ta bort överdrivna behörigheter till känslig data. Det förenklar också åtkomstgranskningen och behörighetscertifieringsprocessen, vilket förbättrar dina chanser att klara efterlevnadsrevisioner första gången.

identifiera och svara på Hot

tack vare detaljerad tvärsystemsynlighet kan Netwrix-lösningen upptäcka röda flaggor som kan indikera insiderhot, som misslyckade åtkomstförsök, utökning av privilegier och ovanligt stort antal läsningar och upptäcka tecken på pågående ransomware. Det gör att du enkelt borra djupt in misstänkta aktiviteter så att du kan blockera hot innan de orsakar allvarliga skador.

om det finns ett brott, oavsett källa, kan Netwrix hjälpa dig att avgöra hur allvarlig händelsen är, så att du kan uppfylla alla krav för anmälande myndigheter och berörda användare.

vanliga frågor om Microsoft 365 och HIPAA-efterlevnad

finns det några HIPAA-problem med att använda Office 365?

så länge du noggrant granskar Microsofts BAA och förstår omfattningen av dess säkerhets-och efterlevnadsskydd, bekräftar att dessa skydd uppfyller dina HIPAA-efterlevnadsbehov och har alla nödvändiga säkerhetskontroller i slutet, bör du ha få om några problem med HIPAA-efterlevnad.

Office 365: s HIPAA-skydd är robusta, men i slutändan är efterlevnad ditt ansvar som HIPAA-täckt enhet.

vilken Microsoft Office 365-plan är HIPAA-kompatibel?

Microsoft erbjuder sin HIPAA-överensstämmelse BAA till användare av Office 365 Business, Office 365 US Government och Office 365 US Government Defense. Licenser på lägre nivå för dessa tjänster (till exempel Business Basic, Business Standard och Business Premium) kanske inte har alla avancerade säkerhetsfunktioner som du vill använda för att upprätthålla efterlevnaden.

Microsoft rekommenderar att användare som söker HIPAA-efterlevnad möjliggör säkerhetsskydd på högsta nivå. Vissa av dessa skydd, inklusive utforskare av hot mot nätfiske och förebyggande av dataförlust, är endast tillgängliga för innehavare av högre företagslicenser.

har en BAA med Microsoft garanti överensstämmelse med HIPAA och HITECH Act?

Nej, En BAA garanterar inte överensstämmelse. BAA: s syfte är att klargöra vilka efterlevnadskrav som HIPAA business associate ansvarar för. Om det till exempel finns ett brott i ditt Microsoft Office 365-konto kommer Microsoft att meddela dig att det har inträffat.

Under även den mest robusta BAA har du som molntjänstkund fortfarande ansvar för att upprätthålla efterlevnad. Du måste upprätta och upprätthålla ett internt efterlevnadsprogram som adresserar allt som krävs av dig som en HIPAA-täckt organisation. Du måste till exempel ha interna policyer, procedurer och processer på plats för att säkerställa att din personal agerar på ett sätt som inte bryter mot HIPAA-reglerna.

Microsofts BAA hjälper dig att följa HIPAA-principer när du använder företagets tjänster, men det kommer inte att göra allt för dig. Du måste fortfarande se till att ditt team använder Office 365 på ett sätt som stämmer överens med varje regel i HIPAA och HITECH Act.

produkt Evangelist på Netwrix Corporation, författare, och presentatör. Ryan specialiserar sig på att evangelisera cybersäkerhet och främja vikten av synlighet i IT-förändringar och dataåtkomst. Som författare fokuserar Ryan på IT-säkerhetstrender, undersökningar och branschinsikter.