HIPAA/HITECH verwijst naar twee wetten van de Verenigde Staten: de Health Insurance Portability and Accountability Act (1996) en de Health Information Technology for Economic and Clinical Health Act (2009).
Deze wetten zijn bedoeld om de toepassing van informatietechnologie in de gezondheidszorg te stimuleren en tegelijk de beveiliging en privacy van medische gegevens te waarborgen. Organisaties zoals ziekenhuizen, maatschappen van artsen en tandartspraktijken zijn onderworpen aan HIPAA/HITECH, evenals mensen die omgaan met vertrouwelijke medische gegevens (PHI, protected health information). De wetten kunnen ook gelden voor bedrijven die voor deze organisaties werken en namens hen met PHI omgaan.
Protected Health Information (PHI)
Individueel herleidbare informatie over het verleden, het heden of de toekomst van iemand:
Covered entity
Een covered entity (rechtspersoon die onder de wet valt) is een zorgverzekering, zorgaanbodcentrale of zorgleverancier. Onder deze categorieën vallen ziekenhuizen, klinieken, artsen en anderen die PHI aanmaken, ontvangen of verzenden. Omdat ze met PHI omgaan, zijn covered entities onder HIPAA/HITECH verantwoordelijk voor de privacy en beveiliging van die gegevens.
Business associate
Een business associate (zakenpartner) is een rechtspersoon die PHI aanmaakt, ontvangt, onderhoudt of verzendt namens een covered entity, en daardoor ook onder de HIPAA/HITECH-regels valt.
Business associate agreement (BAA)
Een BAA is een contractuele garantie van de zakenpartner aan de covered entity dat de zakenpartner voldoet aan de vereisten van HIPAA. Deze overeenkomst moet zijn gesloten voordat PHI aan de zakenpartner kan worden overgedragen door de covered entity.
Er is geen officiële certificering voor HIPAA/HITECH. Als je wilt weten hoe wij onze verantwoordelijkheden onder HIPAA/HITECH nakomen, kun je een rapport van derden aanvragen waarin onze methoden voor de toepassing van de HIPAA/HITECH-regels voor beveiliging, privacy en inbreukmelding worden geëvalueerd. Je kunt ook een overzicht opvragen van onze interne procedures en aanbevelingen voor klanten die met Dropbox Business willen voldoen aan de vereisten van de HIPAA/HITECH-regels voor beveiliging en privacy.
We willen het zo makkelijk mogelijk voor je maken om te leren hoe je je account veilig houdt en je wettelijke verplichtingen naleeft. Hoewel het uiteindelijk je eigen verantwoordelijkheid is om te voldoen aan je wettelijke verplichtingen, hebben we een aantal aanbevelingen opgesteld om je te helpen je gegevens veilig te bewaren en je accounts te beschermen.
Raadpleeg eerst onze handleiding Getting Started with HIPAA voor tips over het instellen van je account om vertrouwelijke gegevens zoals PHI veilig te bewaren. Dit kader bevat allerlei suggesties over verschillende onderwerpen, waaronder:
Op aanvraag verstrekken we een uiteenzetting van onze interne praktijken en aanbevelingen voor klanten die met Dropbox Business willen voldoen aan de vereisten van de HIPAA/HITECH-regels voor beveiliging en privacy.
Voor klanten die onderworpen zijn aan HIPAA/HITECH: houd er rekening mee dat een BAA moet zijn afgesloten voordat je PHI verplaatst naar je Dropbox-account. Neem voor meer informatie over een abonnement op Dropbox Business contact op met ons salesteam. Als je momenteel teambeheerder van een Dropbox Business-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.
Opmerkingen:
Neem voor meer informatie over een abonnement op Dropbox Business contact op met ons salesteam. Als je momenteel teambeheerder van een Dropbox Business-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.
Er is een robuust partnernetwerk met apps van derden die je voor extra functionaliteit kunt koppelen aan je Dropbox Business-account. Integraties met services zoals SIEM, DLP en identiteitsbeheer kunnen krachtige tools zijn om je bestaande beveiligingspraktijken te versterken.
Hoewel deze apps en integraties van derden handige aanvullingen op je account kunnen betekenen, is het belangrijk om te onthouden dat ze niet onder onze services vallen. Dus vallen ze ook niet onder de Servicevoorwaarden van Dropbox en een eventueel BAA dat je met ons afsluit. Je bent zelf verantwoordelijk voor het beoordelen van deze apps om te bepalen of het gebruik voldoet aan de vereisten van wet- en regelgeving. Houd er rekening mee dat sommige apps een koppeling met individuele accounts aanbrengen, terwijl andere apps aan je hele team kan worden gekoppeld door een beheerder.