Dropbox 與 HIPAA/HITECH

HIPAA/HITECH 是什麼？

HIPPA/HITECH 指的是兩項法案：1996 年通過的醫療保險流通與責任法案 (HIPAA) 和 2009 年的經濟與臨床健康資訊科技法案 (HITECH)。

這兩項法案的目的是促進醫療健康產業善加利用新科技，並為醫療資訊的安全和隱私建立屏障。醫院、診所、牙醫等機構，以及與受保護的健康資訊 (PHI) 有關的人士皆可能須遵守 HIPAA/HITECH。與這些單位合作的公司或是經手 PHI 的公司也可能必須遵守。

HIPAA/HITECH 重要規範

受保護的健康資訊 (PHI)

與個人的過去、現在、或未來有關且足以辨識出個人身分的健康資訊：

• 身心狀況。
• 使用的醫療服務。
• 醫療服務的付費紀錄。

適用主體 (涵蓋機構)

適用主體包含健康計劃 (health care)、健康照護資料交換中心 (health care clearinghouse)、及健康照護服務提供者 (health care provider)。這些種類包括醫院、診所、醫生、和其他建立、接收、或傳遞 PHI 的機構與個人。這些適用主體因經手 PHI，依照 HIPAA/HITECH 必須為這些資訊的隱私和安全負責。

商業夥伴

商業夥伴是代表適用主體建立、接收、維護、或傳遞 PHI 的單位，也因此必須遵守 HIPAA/HITECH 規範。

業務合作協議 (BAA)

業務合作協議是由商業夥伴提供給適用主體的合約保證，保證他們遵循 HIPAA 的所有規範。適用主體將 PHI 傳遞給商業夥伴之前就必須簽有此協議。

Dropbox 經過 HIPAA/HITECH 認證嗎？

HIPAA/HITECH 並不提供官方認證。為協助您瞭解我們如何為符合 HIPPA/HITECH 規定負起應有責任，Dropbox 為想要在使用 Dropbox Business 時符合 HIPPA/HITECH 安全及隱私規則的客戶，提供第三方製作的確認報告，說明我方對 HIPPA/HITECH 安全性的控制、隱私、和資訊外洩通知規範的評估結果，另外，我們也會提供詳細的 Dropbox 內部作業和建議說明。

我該如何使用 Dropbox Business 才符合 HIPAA/HITECH 的規範？

我們希望能讓您以最輕鬆的方式瞭解如何確保您的帳戶安全並符合法律規範。最終僅有您能確認是否遵守所有義務與規範，我們在此整理了一些建議，希望能協助您確保檔案和帳戶安全。

首先，請參閱我們的HIPAA 新手指南，瞭解如何妥當設定帳戶，確保 PHI 等重要資料安全無虞。指南中包含了各式主題的使用建議，包含：

• 設定共享權限
• 停用永久刪除功能
• 監控帳戶存取和活動
• 瞭解第三方應用程式所扮演的角色

只要提出申請，Dropbox 會為想要在使用 Dropbox 工作團隊時符合 HIPPA/HITECH 安全及隱私規則的客戶，提供詳細的 Dropbox 內部作業和建議說明。

提醒必須遵守 HIPAA/HITECH 的客戶：在您將 PHI 移轉到您的 Dropbox 帳戶前，請務必簽署業務合作協議。如要進一步瞭解購買 Dropbox 工作團隊方案的相關資訊，請聯絡我們的銷售團隊。如果您是 Dropbox 工作團隊帳戶的管理員，您可以到管理員主控台中的 [帳戶] 頁面電子簽署業務合作協議。

我該如何與 Dropbox 簽訂業務合作協議？

如要進一步瞭解購買 Dropbox 工作團隊方案的相關資訊，請聯絡我們的銷售團隊。如果您是 Dropbox 工作團隊帳戶的管理員，您可以到管理員主控台中的 [帳戶] 頁面電子簽署業務合作協議。

我與 Dropbox 工作團隊方案間的業務合作協議也涵蓋第三方應用程式和整合功能嗎？

目前有眾多第三方應用程式可供您連結至 Dropbox 工作團隊帳戶，擴充帳戶功能。各種整合功能也提供安全性資訊和事件管理 (SIEM)、資料外洩防護 (DLP) 和身份管理等服務，皆有助於強化您既有的安全防護措施。

雖然這些第三方應用程式和整合功能可以增進您的帳戶功能，但請注意，他們並不包含在我們所提供的服務。所以，他們也不涵蓋在 Dropbox 服務條款之中，包含您和 Dropbox 之間可能簽署的業務合作協議。您有責任評估這些應用程式，決定使用這些程式是否會影響您應遵守的法律規範和義務。請注意，有些應用程式是連結至個人帳戶，有些則是可以由管理員連結至整個團隊。