Che cos'è HIPAA/HITECH?
HIPAA/HITECH si riferisce a due leggi: l'Health Insurance Portability and Accountability Act (1996) e l'Health Information Technology for Economic and Clinical Health Act (2009).
Queste leggi hanno lo scopo di favorire la proliferazione della tecnologia nel settore sanitario, creando al contempo misure per tutelare la sicurezza e la privacy delle informazioni sanitarie. Organizzazioni come ospedali, studi medici e studi dentistici, così come gli individui che interagiscono con informazioni sanitarie protette (PHI), potrebbero essere soggetti alle norme HIPAA/HITECH. Ciò può anche applicarsi alle aziende che, lavorando per conto di queste imprese, vengono a contatto con le informazioni sanitarie protette.
Termini chiave delle norme HIPAA/HITECH
Informazioni sanitarie protette (PHI; Protected Health Information)
Informazioni di identificazione personale che si riferiscono a eventi passati, presenti o futuri di una persona, relativi a:
- condizioni mediche o psicologiche
- prestazioni di servizi medici
- pagamenti per servizi medici
Entità inclusa (Covered entity)
Un'entità inclusa è un fornitore di piani sanitari, un centro di raccolta e smistamento delle pratiche sanitarie o un fornitore di servizi medici. Queste categorie comprendono ospedali, cliniche, medici e altri che creano, ricevono o trasmettono PHI. A causa del loro contatto con PHI, le entità incluse sono responsabili della privacy e della sicurezza di tali dati in conformità con le norme HIPAA/HITECH.
Socio in affari (Business associate)
Un socio in affari è un'entità che crea, riceve, conserva o trasmette PHI per conto di un'entità inclusa ed è quindi soggetta alle norme HIPAA/HITECH.
Contratto Business Associate Agreement (BAA)
Un BAA è una garanzia contrattuale, che il socio in affari rilascia all'entità inclusa, di attenersi ai requisiti delle norme HIPAA. Questo contratto deve essere stipulato prima del trasferimento delle PHI dall'entità inclusa al socio in affari.
Dropbox dispone della certificazione HIPAA/HITECH?
Non esiste alcuna certificazione ufficiale HIPAA/HITECH. Per aiutarti a capire in che modo stiamo ottemperando alle nostre responsabilità relativamente alle norme HIPAA/HITECH, puoi richiedere un rapporto di garanzia per le terze parti che valuta i nostri controlli in merito alle norme HIPAA/HITECH su sicurezza, privacy e notifiche di violazione, nonché una mappa delle nostre pratiche interne e consigli per i clienti che desiderano uniformarsi ai requisiti delle norme HIPAA/HITECH di protezione e privacy con Dropbox Business.
Come posso utilizzare Dropbox Business in un modo che sia compatibile con i miei obblighi nei confronti delle norme HIPAA/HITECH?
Vogliamo che sia per te il più semplice possibile imparare a mantenere il tuo account sicuro e soddisfare gli obblighi legali. Anche se in definitiva spetta a te assicurare che stai rispettando gli obblighi normativi, abbiamo messo assieme alcuni consigli per aiutarti a mantenere i dati al sicuro e gli account protetti.
In primo luogo, dai un'occhiata alla nostra guida Getting Started with HIPAA per suggerimenti su come impostare il tuo account al fine di mantenere sicuri i dati come le informazioni sanitarie protette. La guida è strutturata per fornire una varietà di proposte che coprono una varietà di argomenti, tra cui:
- Configurazione delle autorizzazioni di condivisione
- Disattivazione delle eliminazioni definitive
- Monitoraggio delle attività e dell'accesso all'account
- Descrizione del ruolo delle applicazioni di terze parti
Forniamo su richiesta una mappatura delle nostre pratiche interne e consigli per i clienti che intendono soddisfare i requisiti delle norme HIPAA/HITECH di protezione e privacy con Dropbox Business.
I clienti soggetti alle norme HIPAA/HITECH devono ricordarsi che, prima di trasferire le informazioni PHI ai loro account Dropbox, devono aver stipulato un contratto BAA. Per ulteriori informazioni sull'acquisto di Dropbox Business, contatta il team vendite. Se sei l'amministratore di un team Dropbox Business, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.
Note.
- La firma di un BAA elettronico tramite la Console amministratore è disponibile solo per i clienti con sede negli Stati Uniti.
- Se il tuo team sottoscrive un contratto Business Associate Agreement (BAA), non puoi attivare il supporto rivenditori.
- Ulteriori informazioni sull'attivazione del supporto rivenditori e sul programma partner rivenditori.
Come faccio a impostare un contratto di socio in affari con Dropbox?
Per ulteriori informazioni sull'acquisto di Dropbox Business, contatta il team vendite. Se sei l'amministratore di un team Dropbox Business, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.
Le applicazioni e le integrazioni di terze parti sono incluse nel contratto BAA con Dropbox Business?
Esiste un solido ecosistema di applicazioni di terze parti che puoi collegare al tuo account Dropbox Business per ottenere funzionalità aggiuntive. Le integrazioni che forniscono servizi quali SIEM, DLP e la gestione dell'identità possono essere potenti strumenti con cui rafforzare le misure di sicurezza che già adotti.
Sebbene queste applicazioni e integrazioni di terze parti possano essere degli ottimi complementi al tuo account, è importante ricordarti che non fanno parte dei servizi che offriamo. Pertanto, non sono coperte dai termini d'uso di Dropbox, compreso il contratto BAA che potresti aver stipulato con Dropbox. È tua responsabilità valutare queste applicazioni per stabilire se il loro utilizzo è in linea con i tuoi obblighi legali e normativi. Tieni a mente che alcune applicazioni collegano ad account individuali, mentre altre possono essere collegate da un amministratore all'intero team.