O que é HIPAA/HITECH?
As siglas HIPAA/HITECH referem-se a duas leis: a lei da Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, 1996) e a lei de Tecnologia de Informação para Saúde Econômica e Clínica (HITECH, 2009).
Estas leis buscam encorajar a proliferação de tecnologia na industria de serviços de saúde, ao mesmo tempo em que estabelecem proteções para a segurança e privacidade das informações referentes à saúde. Organizações como hospitais, consultórios médicos e odontológicos, bem como indivíduos que interagem com informações de saúde protegidas (PHI) podem estar sujeitos à HIPAA/HITECH. Isso também pode se estender a empresas que trabalham com essas instituições e que também entram em contato com PHI em seu nome.
Termos principais HIPAA/HITECH
Informações de saúde protegidas (PHI)
Informações identificadas individualmente no que concerne ao passado, presente ou futuro de uma pessoa em relação aos seguintes pontos:
- sua condição médica ou psicológica.
- a realização de serviços médicos.
- seus pagamentos para serviços médicos.
Entidade coberta
Uma entidade coberta é um plano de saúde, central de informações de plano de saúde ou prestador de serviços de plano de saúde. Essas categorias incluem hospitais, clínicas, médicos e outras pessoas que criam, recebem ou transmitem informações de saúde protegidas (PHI). Devido ao seu contato com PHI, as entidades cobertas são responsáveis pela privacidade e segurança das informações no âmbito das leis HIPAA/HITECH.
Empresa associada
Uma empresa associada é uma entidade que cria, recebe, armazena e transmite informações de saúde protegidas (PHI) em nome da entidade coberta e, portanto, também está sujeita às regras das leis HIPAA/HITECH.
Acordo de empresa associada (BAA)
Um acordo de empresa associada (BAA) é uma garantia contratual da empresa associada à entidade coberta confirmando o cumprimento dos requisitos da HIPAA. Esse acordo deve ser estabelecido antes da transferência de informações de saúde protegidas (PHI) entre a entidade coberta e a empresa associada.
O Dropbox tem certificação HIPAA/HITECH?
Não há certificação oficial no âmbito da legislação de HIPAA/HITECH. Para ajudá-lo a compreender como estamos cumprindo nossas responsabilidades em conformidade com as leis HIPAA/HITECH, você pode solicitar um relatório de garantia emitido por terceiro, avaliando nossos controles sobre as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir as exigências das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Business.
Como posso usar o Dropbox Business de modo que esteja em conformidade com minhas obrigações HIPAA/HITECH?
Queremos facilitar o seu processo de aprendizado de como manter suas contas em segurança cumprindo os requisitos legais. Ainda que, em última instância, caiba a você se certificar de que está cumprindo com as obrigações regulamentares, reunimos algumas recomendações para ajudá-lo a manter seus dados em segurança e suas contas protegidas.
Primeiramente, confira nosso guia de Introdução à lei HIPAA para ver dicas sobre como configurar sua conta para manter dados relacionados a Informações de saúde protegidas em segurança. A estrutura oferece diversas sugestões, cobrindo uma grande variedade de tópicos, incluindo:
- Configurar permissões de compartilhamento
- Desativar exclusões permanentes
- Monitorar acesso e atividades de conta
- Compreender a função dos aplicativos de terceiros
Mediante solicitação, podemos lhe fornecer um mapeamento das nossas práticas internas e recomendações aos clientes que pretendam cumprir os requerimentos das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Business.
Para clientes sujeitos à legislação HIPAA/HITECH, lembre-se de que um acordo de empresa associada (BAA) deve ser assinado antes que você transfira informações de saúde protegidas (PHI) para sua conta do Dropbox. Para saber mais sobre como comprar o Dropbox Business, entre em contato com a nossa equipe de vendas. Se você for administrador de uma conta do Dropbox Business, pode assinar um BAA eletronicamente pela página Conta na seção de Administração.
Observação:
- A capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos.
- Se a sua equipe assinar um Acordo de Parceiro Comercial (Business Associate Agreement - BAA), não será possível habilitar o atendimento de revendedor.
- Saiba mais sobre como ativar o suporte ao revendedor e o programa de revendedores parceiros.
Como estabeleço um acordo de empresa associada com o Dropbox?
Para saber mais sobre como comprar o Dropbox Business, entre em contato com a nossa equipe de vendas. Se você for administrador de uma conta do Dropbox Business, pode assinar um BAA eletronicamente pela página Conta na seção de Administração.
Aplicativos de terceiros e integrações são cobertos pelo meu BAA com o Dropbox Business?
Há um robusto ecossistema de aplicativos de terceiros que você pode vincular à sua conta do Dropbox Business para obter funcionalidades adicionais. Integrações que fornecem serviços, como SIEM, DLP e gerenciamento de identidade podem ser poderosas ferramentas para fortalecer suas práticas de segurança existentes.
Ainda que esses aplicativos de terceiros e integrações possam ser ótimos complementos à sua conta, é importante lembrar que eles não fazem parte de nossos serviços. Dessa forma, eles não são cobertos pelos termos de uso do Dropbox, o que inclui um BAA que você venha a estabelecer com o Dropbox. Você é responsável por avaliar esses aplicativos para determinar se o seu uso é consistente com nossos requisitos legais e regulamentares. Lembre-se de que alguns aplicativos vinculam-se a contas individuais, enquanto outros podem ser vinculados por um administrador à toda a equipe.
