Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Descrição geral da HIPAA e da Lei HITECH

O Health Insurance Portability and Accountability Act de 1996 (HIPAA) e os regulamentos emitidos ao abrigo da HIPAA são um conjunto de leis de saúde dos EUA que estabelecem requisitos para a utilização, divulgação e salvaguarda de informações de saúde individualmente identificáveis. O âmbito da HIPAA foi alargado com a promulgação da Lei HITECH (Health Information Technology for Economic and Clinical Health) em 2009.

A HIPAA aplica-se a entidades abrangidas (especificamente, prestadores de cuidados de saúde, planos de saúde e centros de limpeza de cuidados de saúde) que criam, recebem, mantêm, transmitem ou acedem às informações de saúde protegidas (PHI) dos pacientes. A HIPAA aplica-se ainda a associações empresariais de entidades abrangidas que efetuam determinadas funções ou atividades que envolvam a PHI como parte da prestação de serviços à entidade abrangida ou em nome da entidade abrangida.

Quando uma entidade abrangida interage com os serviços de um fornecedor de serviços cloud, como a Microsoft, o fornecedor de serviços cloud seria um parceiro empresarial na HIPAA. Além disso, quando um parceiro empresarial subcontrata com um fornecedor de serviços cloud para criar, receber, manter ou transmitir PHI, o fornecedor de serviços cloud também se torna um parceiro empresarial.

Microsoft, HIPAA e a Lei HITECH

Os regulamentos da HIPAA exigem que as entidades abrangidas (definidas ao abrigo das Regras) entrem em contratos com parceiros empresariais para garantir que a PHI está adequadamente protegida. Este contrato é denominado Contrato de Associação Empresarial. Entre outras coisas, um Contrato de Associação Empresarial estabelece as utilizações e divulgações permitidas e necessárias da PHI pela associação empresarial, com base na relação entre as partes e as atividades ou serviços que estão a ser realizados pelo parceiro empresarial. Para suportar a conformidade dos nossos clientes com a HIPAA ao utilizar produtos e serviços empresariais da Microsoft, a Microsoft irá introduzir Contratos de Associação Empresarial com a entidade abrangida e clientes associados à empresa.

Atualmente, não existe uma norma de certificação aprovada pelo Departamento de Saúde e Serviços Humanos para demonstrar a conformidade com a HIPAA ou a Lei HITECH por um associado empresarial. No entanto, a Microsoft permite que os clientes cumpram a HIPAA e a Lei HITECH e cumpram os requisitos da Regra de Segurança da HIPAA na sua capacidade de associação empresarial. Além disso, a Microsoft entra em Contratos de Associação Empresarial com a respetiva entidade abrangida e clientes associados à empresa para apoiar a conformidade com as obrigações da HIPAA.

Certificações de terceiros

Os serviços Microsoft abrangidos pela BAA foram submetidos a auditorias realizadas por auditores independentes acreditados para a certificação ISO/IEC 27001 da Microsoft e a certificação HITRUST Common Security Framework (CSF).

Os serviços cloud empresariais da Microsoft também são abrangidos pelas avaliações do FedRAMP. O Microsoft Azure e o Microsoft Azure Governamental receberam uma Autoridade Provisória para Operar a partir do Conselho de Autorização Conjunta da FedRAMP; A Microsoft Dynamics 365 governo dos EUA recebeu uma autoridade de agência para operar a partir do Departamento de Habitação e Desenvolvimento Urbano dos EUA, assim como Microsoft Office 365 Governo dos EUA do Departamento de Saúde e Serviços Humanos dos EUA.

Para saber como a Microsoft Cloud ajuda os clientes a suportar a HIPAA e os requisitos hitECH, visite o Microsoft Customer Stories.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Azure DevOps Services
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Intune
  • Microsoft Copilot para Segurança
  • Microsoft Defender for Cloud Apps
  • Especialistas do Microsoft Defender para Busca
  • Especialistas do Microsoft Defender para XDR
  • Microsoft Healthcare Serviço de Bot
  • Área de Trabalho Gerenciada da Microsoft
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Office 365, Office 365 Governo dos E.U.A.
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço cloud do Power BI como um serviço autónomo ou como incluído num plano ou conjunto de Office 365 ou Dynamics 365 de marca
  • Windows 365

Azure, Dynamics 365 e HIPAA

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta Azure HIPAA.

Office 365 e HIPAA

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft 365 Copilot, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Portal do Cliente Office 365 Microsserviços (incluindo, mas não se limitando ao Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Encriptação de Serviço com Chave de Cliente do Microsoft Purview, SharePoint Online, Skype for Business Stream
GCC Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Perguntas frequentes

A minha organização pode entrar num BAA com a Microsoft?

Sim. A Microsoft oferece aos clientes associados empresariais e de entidade abrangida um Contrato de Associação Empresarial que abrange os serviços Microsoft no âmbito.

O Contrato de Associação Empresarial HIPAA da Microsoft está disponível através da Adenda de Proteção de Dados dos Serviços Online da Microsoft por predefinição para todos os clientes que são entidades abrangidas ou associados empresariais ao abrigo da HIPAA. Veja "Serviços cloud no âmbito da Microsoft" nesta página Web para obter a lista de serviços cloud abrangidos por este BAA.

O Contrato de Associação Empresarial HIPAA também está disponível para os Serviços Profissionais da Microsoft no âmbito. Contacte o representante dos serviços Microsoft para obter mais informações.

Ter um Contrato de Associação Empresarial com a Microsoft garante a conformidade da minha organização com a HIPAA e a Lei HITECH?

Não. Ao oferecer um Contrato de Associação Empresarial, a Microsoft ajuda a suportar a conformidade com a HIPAA. No entanto, a utilização dos serviços Microsoft não alcança, por si só, a conformidade com a HIPAA. A sua organização é responsável por garantir que tem um programa de conformidade e processos internos adequados e que a sua utilização específica dos serviços Microsoft está em conformidade com as suas obrigações ao abrigo da HIPAA e da Lei HITECH.

A Microsoft pode utilizar o Contrato de Associação Empresarial da minha organização?

Não, a Microsoft não pode utilizar o Contrato de Associação Empresarial de um cliente. Uma vez que oferecemos serviços multi-dimensionamento e de hiperescala padronizados para todos os nossos clientes, temos de operar de forma consistente. O Contrato de Associação Empresarial HIPAA da Microsoft reflete de perto a forma como operamos. Assim, para responder às necessidades do setor dos cuidados de saúde, a Microsoft colaborou com um consórcio de centros médicos académicos e outras entidades do setor público e privado nos cuidados de saúde para criar um Contrato de Associação Empresarial que se alinhe com as nossas ofertas de serviços de escala e satisfaça as necessidades dos clientes.

Como posso obter cópias de relatórios de auditoria de terceiros?

O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Pode utilizar o portal para pedir relatórios de auditoria para que os auditores possam comparar os resultados dos serviços cloud da Microsoft com os seus próprios requisitos legais e regulamentares. Os clientes do Azure também podem obter certificados do Azure e relatórios de auditoria no portal do Azure através do painel de relatórios de auditoria no Microsoft Defender para a Cloud.

Como posso saber mais sobre como a Microsoft suporta a conformidade com a HIPAA e a Lei HITECH?

Para ajudar os clientes com esta tarefa, a Microsoft publicou esta documentação de orientação:

  • Orientações de implementação da Lei HIPAA/HITECH para o Azure para agentes de privacidade, segurança e conformidade e outros responsáveis pela implementação da HIPAA e hitECH Act, descreve passos concretos que a sua organização pode tomar para manter a conformidade.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos