Dropbox og HIPAA/HITECH
Oplysningerne i denne artikel gælder visse teams med Dropbox Standard, Dropbox Advanced, Dropbox Enterprise, Dropbox Education, Dropbox Business, Dropbox Business Plus og Dropbox Sign.
Hvad er HIPAA/HITECH?
HIPAA/HITECH henviser til to love:
- HIPAA-loven i USA fra 1996 (Health Insurance Portability and Accountability Act)
- HITECH-loven i USA fra 2009 (Health Information Technology for Economic and Clinical Health Act)
Formålet med disse love er at fremme brugen af teknologi inden for sundhedspleje og samtidig danne grundlag for beskyttelse og hemmeligholdelse af helbredsoplysninger. Overholdelse af HIPAA/HITECH kan være et krav for organisationer såsom hospitaler, lægepraksisser og tandlægeklinikker samt enkeltpersoner, som arbejder med beskyttede helbredsoplysninger. Kravet kan blive udvidet til de virksomheder, der samarbejder med disse organisationer og kommer i kontakt med beskyttede helbredsoplysninger på deres vegne.
Vigtige begreber i forbindelse med HIPAA/HITECH
Beskyttede helbredsoplysninger (PHI – Protected Health Information)
De oplysninger, der kan identificere en person, og som drejer sig om personens tidligere, nuværende eller fremtidige:
- Medicinsk eller psykologisk helbredstilstand
- Modtagelse af medicinske ydelser
- Betaling for medicinske ydelser
Dækket entitet (Covered entity)
En dækket entitet er en sundhedsordning, et udredningssted for sundhedsydelser eller en yder af sundhedsydelser. Disse kategorier omfatter hospitaler, klinikker, læger og andre, som er ophavsmænd til, modtager eller overdrager PHI. Da dækkede entiteter har kendskab til PHI, er de ansvarlige for at beskytte og hemmeligholde disse oplysninger i henhold til HIPAA/HITECH.
Forretningspartner (Business associate)
En forretningspartner er en entitet, der er ophavsmand til, modtager, vedligeholder eller overdrager PHI på vegne af en dækket entitet, og som derfor også er underlagt reglerne i HIPAA/HITECH.
Forretningspartneraftale (BAA – Business associate agreement)
En forretningspartneraftale er en kontrakt, hvormed en forretningspartner over for en dækket entitet forpligter sig til at overholde kravene i HIPAA. Aftalen skal være indgået, inden en dækket entitet overdrager PHI til en forretningspartner.
Er Dropbox HIPAA/HITECH-certificeret?
Der er ikke nogen officiel HIPAA/HITECH-certificering. Du kan se, hvordan vi opfylder vores ansvar og krav i forhold til HIPAA/HITECH, ved at gå til vores Dropbox Trust Center. Dette giver potentielle og eksisterende kunder selvbetjeningsadgang til væsentlig sikkerhed, pålidelighed, persondata og dokumentation af compliance. Du kan finde alt, hvad du behøver at vide, på en bekvem, central beliggenhed.
Sådan får du adgang til Dropbox Trust Center
Bemærk! Du kan ikke bruge dit Dropbox-login til at få adgang til Dropbox Trust Center.
Du skal logge på for at få adgang til alle rapporter og al dokumentation. Sådan anmoder du om adgang:
- Gå til trust.dropbox.com.
- Klik på Få adgang øverst til højre.
- Indtast din arbejdsmail, og klik derefter på Fortsæt.
- Indtast dine oplysninger, og klik på Send anmodning.
Når du er registreret, kan du få adgang til private og offentlige rapporter og dokumenter.
Bemærk! Du skal muligvis underskrive en fortrolighedsaftale for at få adgang til visse private dokumenter, men dette kan nemt gøres i Trust Center.
Hvordan bruger jeg Dropbox Business, så jeg overholder mine forpligtelser i henhold til HIPAA/HITECH?
Vi ønsker at gøre det så let som muligt for dig at beskytte din konto og overholde dine juridiske krav. Det er i sidste ende dit eget ansvar at overholde lovgivningsmæssige krav, men vi har samlet nogle anbefalinger, der kan hjælpe dig med at beskytte dine data og dine konti.
Få mere at vide om vores interne praksis og anbefalinger til kunder, der ønsker at opfylde kravene i HIPAA/HITECH-sikkerheds- og persondataregler i Dropbox Trust Center.
Du kan få tip om, hvordan du indstiller din konto for at holde data som PHI sikret. Den indeholder en række forslag om forskellige emner, herunder:
- Konfiguration af delingstilladelser
- Deaktivering af permanente sletninger
- Overvågning af kontoadgang og -aktivitet
- Betydningen af apps fra tredjeparter
Husk, at for de kunder, der er underlagt HIPAA/HITECH, skal der være indgået en forretningspartneraftale, før du overfører PHI til din Dropbox-konto. Hvis du vil vide mere om, hvordan du køber en Dropbox-teamplan, kan du kontakte vores salgsteam.
Hvis du er administrator for en Dropbox-teamkonto, kan du underskrive en BAA elektronisk fra siden Konto i administratorpanelet.
Bemærk!
- Det er kun kunder i USA, der kan underskrive en elektronisk BAA via administratorpanelet.
- Hvis dit team underskriver en forretningspartneraftale (BAA), kan du ikke aktivere forhandlersupport.
- Få mere at vide om aktivering af forhandlersupport og om forhandlerpartnerprogrammet.
Hvordan indgår jeg en forretningspartneraftale med with Dropbox?
Hvis du vil vide mere om, hvordan du køber en Dropbox-teamplan, kan du kontakt vores salgsteam. Hvis du er administrator for en Dropbox-teamkonto, kan du underskrive en BAA elektronisk fra siden Konto i administratorpanelet.
Er tredjepartsapps og -integrationer dækket af min BAA med Dropbox-teamplanen?
Der findes en solid portefølje af apps fra tredjeparter, som du kan forbinde med din Dropbox-teamkonto for at opnå øget funktionalitet. Integrationer, der bidrager med tjenester såsom SIEM, DLP og identitetsadministration, kan være effektive redskaber i styrkelsen af din nuværende sikkerhedspraksis.
Selvom disse apps og integrationer fra tredjeparter kan være fantastiske supplementer til din konto, er det vigtigt at være opmærksom på, at de ikke er en del af vores tjenester. De er derfor ikke dækket af Dropbox' vilkår for brug eller af en forretningspartneraftale, hvis du indgår en sådan aftale med Dropbox. Du har selv ansvaret for at evaluere disse apps for at afgøre, om brugen af dem strider mod dine juridiske og lovmæssige krav. Vær opmærksom på, at nogle apps forbindes med enkeltpersoners konti, mens andre kan forbindes med et helt team af en administrator.