Dropbox и HIPAA/HITECH

Обновление Jun 04, 2024

Информация в этой статье относится к определенным рабочим группам Dropbox Standard, Dropbox Advanced, Dropbox Enterprise, Dropbox Education, Dropbox Business, Dropbox Business Plus и Dropbox Sign.

Что такое акты «HIPAA» и «HITECH»?

HIPAA/HITECH — это два закона:

закон об отчетности и безопасности медицинского страхования (The Health Insurance Portability and Accountability Act (HIPAA)) 1996 года;
закон о медицинских информационных технологиях для экономики и медицины (The Health Information Technology for Economic and Clinical Health (HITECH) Act) 2009 года.

Эти законы призваны содействовать внедрению современных технологий в индустрию здравоохранения и при этом обеспечивать защиту и конфиденциальность информации, связанной со здоровьем. В сферу действия этих двух законов могут входить определенные организации (например, больницы, врачебные кабинеты, стоматологические клиники) и отдельные лица, взаимодействующие с защищенными данными о здоровье. Также эти законы могут распространяться на компании, работающие с подобными организациями и от имени этих организаций взаимодействующие с защищенными данными о здоровье.

Ключевые понятия актов «HIPAA» и «HITECH»

Защищенные данные о здоровье (PHI)

Под этим термином понимаются персональные данные, связанные с чьими-либо прошлыми, текущими или будущими:

медицинским или психологическим состоянием;
обеспечением медицинских услуг;
оплатой медицинских услуг.

Охватываемые законом организации

Закон охватывает программы медицинского страхования, информационные центры, связанные со здравоохранением, и учреждения здравоохранения. Сюда входят больницы, клиники, доктора и прочие люди и организации, которые создают, получают или передают защищенные данные о здоровье. Охватываемые законом организации взаимодействуют с защищенными данными о здоровье и потому несут ответственность за конфиденциальность и безопасность этих данных, как это прописано в актах «HIPAA» и «HITECH».

Деловые партнеры

Под деловым партнером понимается организация, которая создает, поддерживает или передает защищенные данные о здоровье в интересах охватываемых законом организаций и потому тоже подпадает под действие актов «HIPAA» и «HITECH».

Соглашение о деловом партнерстве

В таком соглашении деловой партнер в соответствии с условиями договора обязуется перед охватываемой вышеуказанными законами организацией, что он будет соблюдать требования «HIPAA». Это соглашение необходимо подписать перед тем, как произойдет передача защищенных данных о здоровье от затрагиваемой законом организации к деловому партнеру.

Есть ли у Dropbox лицензия «HIPAA» и «HITECH»?

Официальных лицензий HIPAA и HITECH не существует. Лучше понять, как мы выполняем наши обязанности и требования, связанные с HIPAA/HITECH, можно, посетив наш Центр управления безопасностью Dropbox. Там потенциальным и уже зарегистрированным клиентам предоставляется доступ к документации по безопасности, надежности, конфиденциальности и соответствию требованиям. Вы найдете все необходимые сведения в удобном централизованном месте.

Как получить доступ к Центру управления безопасностью Dropbox

Обратите внимание: для доступа к Центру управления безопасностью Dropbox нельзя пользоваться своими данными для входа в Dropbox.

Вам нужно будет зайти в систему, чтобы получить доступ ко всем отчетам и документации. Чтобы запросить доступ:

Откройте страницу trust.dropbox.com.
Нажмите Получить доступ (Get Access) в правом верхнем углу.
Укажите ваш рабочий электронный адрес и нажмите Продолжить (Continue).
Укажите свои данные и нажмите Отправить запрос (Submit Request).

После регистрации вы получите доступ к конфиденциальным и общедоступным отчетам и документам.

Обратите внимание: для доступа к определенным конфиденциальным документам вам, возможно, нужно будет подписать соглашение о неразглашении, но это можно легко сделать прямо в Центре управления безопасностью.

Как лучше использовать свой аккаунт Dropbox Business, чтобы соответствовать обязательствам, обозначенным в актах «HIPAA» и «HITECH»?

Мы хотим, чтобы вам было как можно проще узнавать об обеспечении безопасности своего аккаунта и соответствии юридическим требованиям. По сути, следить за соответствием всем нормативным обязательствам — это ваша задача, но мы собрали различные рекомендации, которые помогут вам обеспечить безопасность данных и аккаунтов.

Узнать подробнее о наших внутренних методиках и рекомендациях для клиентов, которые хотят соответствовать требованиям правил безопасности и конфиденциальности HIPAA/HITECH, можно в Центре управления безопасностьюDropbox .

Вы узнаете, как настроить аккаунт таким образом, чтобы обеспечить, например, безопасность защищенных данных о здоровье (PHI). В руководстве предлагаются разные рекомендации и охватываются разные темы, например:

Как настраивать права доступа
Как отключить окончательное удаление
Как отслеживать доступ и события в аккаунте
Как понять, какую роль играют сторонние приложения

Если на вас распространяется действие актов HIPAA и HITECH, помните: перед тем как помещать защищенные данные о здоровье в свой аккаунт Dropbox, необходимо подписать соглашение о деловом партнерстве. Подробнее о том, как приобрести аккаунт Dropbox для рабочих групп, можно узнать, связавшись с нашим отделом продаж.

Если вы являетесь администратором аккаунта Dropbox для рабочих групп, вы также можете подписать соглашение о деловом партнерстве на странице Аккаунт в консоли администрирования.

Обратите внимание:

Подписать электронную версию соглашения BAA через Консоль администрирования могут только клиенты, находящиеся в США.
Если ваша рабочая группа подписывает Соглашение о деловом партнерстве (Business Associate Agreement или BAA), вы не можете подключить поддержку от посредника.
Читайте подробнее о Программа для реселлеров Dropbox и о том, как подключить поддержку от реселлера.

Как заключить с Dropbox соглашение о деловом партнерстве?

Подробнее о процессе приобретения аккаунта Dropbox для рабочих групп можно узнать, связавшись с нашим отделом продаж. Если вы являетесь администратором аккаунта Dropbox для рабочих групп, вы также можете подписать соглашение о деловом партнерстве на странице Аккаунт в консоли администрирования.

Охватывает ли мое соглашение о деловом партнерстве с Dropbox для рабочих групп сторонние приложения и интеграции?

Существует надежная система сторонних приложений, которые можно подсоединить к своему аккаунту Dropbox для рабочих групп и тем самым повысить его эффективность. Интеграции, которые обеспечивают различные услуги (например, предотвращение утечек конфиденциальной информации (DLP) или управление информационной безопасностью и событиями безопасности (SIEM)) и осуществляют управление удостоверениями, могут усилить безопасность вашего аккаунта.

Эти сторонние приложения и интеграции могут улучшить работу вашего аккаунта Dropbox, но при этом важно помнить: они не являются нашими сервисами и потому не урегулируются принятыми вами «Условиями обслуживания Dropbox» (в том числе и соглашением о деловом партнерстве, которое вы, возможно, подписали с Dropbox). Именно вы несете ответственность за оценку этих приложений и за принятие решения: соответствует ли их использование необходимым вам юридическим и нормативным требованиям. Помните, что некоторые приложения подсоединяются к личным аккаунтам, а другие администраторы могут подсоединять к аккаунтам всей рабочей группы.

Оказалась ли эта статья полезной?

Yes, thanks

Не совсем