Wat is HIPAA/HITECH?
HIPAA/HITECH verwijst naar twee wetten van de Verenigde Staten: de Health Insurance Portability and Accountability Act (1996) en de Health Information Technology for Economic and Clinical Health Act (2009).
Deze wetten zijn bedoeld om de toepassing van informatietechnologie in de gezondheidszorg te stimuleren en tegelijk de beveiliging en privacy van medische gegevens te waarborgen. Organisaties zoals ziekenhuizen, maatschappen van artsen en tandartspraktijken zijn onderworpen aan HIPAA/HITECH, evenals mensen die omgaan met vertrouwelijke medische gegevens (PHI, protected health information). De wetten kunnen ook gelden voor bedrijven die voor deze organisaties werken en namens hen met PHI omgaan.
Belangrijke termen in HIPAA/HITECH
Protected Health Information (PHI)
Individueel herleidbare informatie over het verleden, het heden of de toekomst van iemand:
- medische of psychologische aandoening
- levering van medische diensten
- betaling voor medische diensten
Covered entity
Een covered entity (rechtspersoon die onder de wet valt) is een zorgverzekering, zorgaanbodcentrale of zorgleverancier. Onder deze categorieën vallen ziekenhuizen, klinieken, artsen en anderen die PHI aanmaken, ontvangen of verzenden. Omdat ze met PHI omgaan, zijn covered entities onder HIPAA/HITECH verantwoordelijk voor de privacy en beveiliging van die gegevens.
Business associate
Een business associate (zakenpartner) is een rechtspersoon die PHI aanmaakt, ontvangt, onderhoudt of verzendt namens een covered entity, en daardoor ook onder de HIPAA/HITECH-regels valt.
Business associate agreement (BAA)
Een BAA is een contractuele garantie van de zakenpartner aan de covered entity dat de zakenpartner voldoet aan de vereisten van HIPAA. Deze overeenkomst moet zijn gesloten voordat PHI aan de zakenpartner kan worden overgedragen door de covered entity.
Is Dropbox gecertificeerd voor HIPAA/HITECH?
Er is geen officiële certificering voor HIPAA/HITECH. Als je wilt weten hoe wij onze verantwoordelijkheden onder HIPAA/HITECH nakomen, kun je een rapport van derden aanvragen waarin onze methoden voor de toepassing van de HIPAA/HITECH-regels voor beveiliging, privacy en inbreukmelding worden geëvalueerd. Je kunt ook een overzicht opvragen van onze interne procedures en aanbevelingen voor klanten die met Dropbox Business willen voldoen aan de vereisten van de HIPAA/HITECH-regels voor beveiliging en privacy.
Hoe kan ik Dropbox Business gebruiken op een manier die voldoet aan mijn verplichtingen onder HIPAA/HITECH?
We willen het zo makkelijk mogelijk voor je maken om te leren hoe je je account veilig houdt en je wettelijke verplichtingen naleeft. Hoewel het uiteindelijk je eigen verantwoordelijkheid is om te voldoen aan je wettelijke verplichtingen, hebben we een aantal aanbevelingen opgesteld om je te helpen je gegevens veilig te bewaren en je accounts te beschermen.
Raadpleeg eerst onze handleiding Getting Started with HIPAA voor tips over het instellen van je account om vertrouwelijke gegevens zoals PHI veilig te bewaren. Dit kader bevat allerlei suggesties over verschillende onderwerpen, waaronder:
- Machtigingen voor delen configureren
- Definitief verwijderen uitschakelen
- Toegang tot je account en activiteiten bewaken
- De rol van apps van derden begrijpen
Op aanvraag verstrekken we een uiteenzetting van onze interne praktijken en aanbevelingen voor klanten die met Dropbox Business willen voldoen aan de vereisten van de HIPAA/HITECH-regels voor beveiliging en privacy.
Voor klanten die onderworpen zijn aan HIPAA/HITECH: houd er rekening mee dat een BAA moet zijn afgesloten voordat je PHI verplaatst naar je Dropbox-account. Neem voor meer informatie over een abonnement op Dropbox Business contact op met ons salesteam. Als je momenteel teambeheerder van een Dropbox Business-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.
Opmerkingen:
- De mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten.
- Als je team een Business Associate Agreement (BAA) ondertekent, kun je resellersupport niet inschakelen.
- Lees meer over het inschakelen van resellersupport en het Partner Reseller Program.
Hoe regel ik een BAA (overeenkomst voor zakenpartners) met Dropbox?
Neem voor meer informatie over een abonnement op Dropbox Business contact op met ons salesteam. Als je momenteel teambeheerder van een Dropbox Business-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.
Vallen apps en integraties van derden onder mijn BAA met Dropbox Business?
Er is een robuust partnernetwerk met apps van derden die je voor extra functionaliteit kunt koppelen aan je Dropbox Business-account. Integraties met services zoals SIEM, DLP en identiteitsbeheer kunnen krachtige tools zijn om je bestaande beveiligingspraktijken te versterken.
Hoewel deze apps en integraties van derden handige aanvullingen op je account kunnen betekenen, is het belangrijk om te onthouden dat ze niet onder onze services vallen. Dus vallen ze ook niet onder de Servicevoorwaarden van Dropbox en een eventueel BAA dat je met ons afsluit. Je bent zelf verantwoordelijk voor het beoordelen van deze apps om te bepalen of het gebruik voldoet aan de vereisten van wet- en regelgeving. Houd er rekening mee dat sommige apps een koppeling met individuele accounts aanbrengen, terwijl andere apps aan je hele team kan worden gekoppeld door een beheerder.
