Tervishoiuasutused ja Microsofti ettevõtetele suunatud pilvteenused

Microsofti ettevõtetele suunatud pilvteenused tagavad kaitstava terviseteabe turvalisuse, nõuetelevastavuse ja privaatsuse.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Microsofti ettevõtetele suunatud pilvteenused tagavad kaitstava terviseteabe turvalisuse, nõuetelevastavuse ja privaatsuse.

Microsoft mõistab, et kui kasutate meie kliendina meie pilvteenuseid, usaldate meile oma kõige väärtuslikuma vara, mida ei saa asendada – oma andmed.

Kui otsustate viia oma meditsiinirakendused ja kaitstavat terviseteavet (sh patsientide demograafilisi andmeid ja raviandmeid) sisaldavad andmekogumid avalikku pilvkeskkonda, on usaldus äärmiselt oluline. Ilma usalduseta pole võimalik andmeid kogu tervishoiu ökosüsteemis ühiselt kasutada ega laiendada seda, kuidas ja kus tervishoiutöötajad ja patsiendid konfidentsiaalsele teabele juurde pääsevad.

Olenemata sellest, millises etapis teie pilvkeskkonda ülemineku teekond on, peate kindlasti valima koostööks teenusepakkuja, keda te usaldate. Peate usaldama, et konfidentsiaalne teave on kaitstud, et seda säilitatakse ja hallatakse turvaliselt ja kooskõlas kõigi kehtivate määruste ja seadustega ning et selle privaatsus on tagatud.

Microsofti terviklik lähenemine lähtub soovist seda usaldust välja teenida. Kõige aluseks on kaitsele tuginev lähenemine turvalisusele ja kohaldatavate regulatiivsete nõuete täitmine; muu hulgas pakume ettevõtetele suunatud pilvteenuste raames HIPAA BAA ettevõttepartnerite lepingut ning aitame kaitsta kaitstava terviseteabe ja muude andmete privaatsust.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Võtke HIPAA/HITRUST-i lahendused Azure’is kiiremini kasutusele

Meil on olemas vajalikud tööriistad ja juhised, mis aitavad teil juba täna asuda rajama HIPAA/HITRUST-i lahendusi. Azure’i turbe ja nõuetelevastavuse projekti – HIPAA/HITRUST-i terviseandmete ja tehisintellekti abil saate terviseandmetega seotud lahenduste jaoks kasutusele võtta kõik pilvkeskkonna pakutavad eelised.

Office 365 pälvis HITRUST CSF-i tunnistuse

Office 365 on terviseteabe fondi (HITRUST) ühenduselt pälvinud HITRUST-i tunnistuse. HITRUST-i ühtne turberaamistik aitab tervishoiuasutustel lahendada turvalisuse ja riskihaldusega seotud probleeme.

Medical professional wearing scrubs and smiling.

Microsofti pilvteenuste kaitsele tuginev lähenemine turvalisusele

Tervishoiuasutused võivad olla andmeturbemurrete ja küberrünnete märklauad. Kurjategijad sihivad lisaks tervishoiuvõrkudele ka näiteks kassaregistreid, meditsiiniseadmeid (nt südamestimulaatoreid), meditsiinirakendusi (nt virtuaalse tervishoiuteenuse osutamise rakendused) ning tänapäeval kõikjal kasutatavaid nutiseadmeid, olgu need siis isiklikud või ettevõttele kuuluvad. Verizoni 2015. aasta kaitstava terviseteabe andmeturbemurrete aruande („Protected Health Information Data Breach Report“) andmeil langes kaitstavat terviseteavet sihtivate andmeturbemurrete ohvriks 1400 tervishoiuasutust ja ründajad pääsesid juurde enam kui 157 miljonile terviselookirjele. Iga kord polnudki põhjus kurjategijate tegutsemises; nii mõnigi kord oli tegemist ebapiisava andmekaitsega või tervishoiutöötajate enda poolse andmete väärkasutusega.

Microsofti ettevõtetele suunatud pilvteenuste ja kommertstugiteenuste väljatöötamisel, arendamisel ja käitamisel peetakse silmas, et teie andmed ja seadmed, mis neile juurde pääsevad, oleksid äärmiselt turvalised. Microsofti turbestrateegia lähtub eeldusest, et turbemurrete katseid ei saa ära hoida, küll aga saab lühendada aega, mis kulub turbemurdest selle tuvastamiseni. Meie ülemaailmne andmeintsidentidele reageerimise meeskond töötab ööpäev läbi, et mis tahes Microsofti pilvkeskkonna vastu suunatud ründed võimalikult kiiresti kahjutuks teha.

Meie süsteemid ja tarkvara aitavad teie andmeid kaitsta tugevate turbemeetmetega. Lisaks annab meie tehnoloogiaportfell teie käsutusse kõik vajaliku selleks, et kaitsta oma asutust uute küberohtude eest, hallata mobiilseid töötajaid ning täita kõiki kohaldatavaid seadusi ja määrusi.

|

Alati ajakohase rämpspostitõrjetehnoloogia (nt Microsofti ründevaratõrje) kihid aitavad rämpsposti, viiruseid ja muud ründevara tuvastada ja eemaldada ka siis, kui seda pole veel teadaoleva ründevara andmebaasides. Jälgime servereid, võrke ja rakendusi, et tuvastada sissetunge ja ründeid ära hoida. Teeme neid kaitsemeetmeid pidevalt tugevamaks. Ründe korral on meie süsteemid valmis võrku kaitsma ja ründe järel sellest kiiresti taastuma.

 

Lisateave

Olenemata sellest, kus teie andmed asuvad (kohalikus serveris, avalikus pilves või kandeseadmetes), aitame teil tagada, et inimesed, kes teie võrgule juurde pääsevad, on need, kelle nad väidavad end olevat, et nad pääsevad juurde üksnes neile andmetele, millele juurdepääsuks neil on õigus, ning et kaitstavat terviseteavet näevad ainult vastava loaga inimesed.

 

Lisateave

Krüptitud andmeid ei saa lugeda mitte keegi, kellel pole dekrüptimiseks vajalikku võtit. Microsoft kasutab andmete krüptimiseks nende seadmetest Microsofti andmekeskustesse ja vastupidi või andmekeskuste sees liikumisel valdkonnastandardile vastavaid turvalisi transpordiprotokolle. Passiivses olekus andmete kaitsmiseks pakub Microsoft mitmesuguseid sisseehitatud krüpteerimisfunktsioone.

 

Lisateave

Microsofti ettevõttetooteid ja pilvteenuseid auditeerivad sõltumatud välised audiitorid vastavalt valdkonnas kehtivatele standarditele ISO/IEC 27001 ja ISO/IEC 27018. Lisaks toetame HIPAA-d ja HITECH-i seadust ning standardikomplekti MARS-E (Minimum Acceptable Risk Standards for Exchanges).

HIPAA ja HITECH-i seadus on Ameerika Ühendriikide tervishoiuseadused, mis kehtestavad isiku tuvastamist võimaldava terviseteabe kasutamise, avalikustamise ja kaitse nõuded. Need seadused nõuavad tervishoiuasutustelt patsientide kaitstavale terviseteabele juurde pääsevate ja seda teavet töötlevate teenusepakkujatega (nt Microsoftiga) lepingute sõlmimist. Need lepingud (äripartnerite lepingud – Business Associate Agreements ehk BAA) selgitavad ja piiravad seda, kuidas pilvteenus peaks kaitstavat terviseteavet käitlema. Samuti sätestatakse neis lepingutes mõlema osapoole lubadus täita asjakohastes seadustes määratletud turbe- ja privaatsusnõuded.

 

Microsoft on juurutanud HIPAA nõutavad füüsilised, tehnilised ja administratiivsed kaitsemeetmed, et toetada meie rolli äripartnerina, ning täidab kõiki HITECH-i seaduse nõudeid, sh nõuet teavitada kaitstava terviseteabe andmeturbemurde korral nii üksikisikuid kui ka ametivõime. Ehkki praegu pole nende seaduste täitmist kinnitavaid ametlikke sertifikaate olemas, on BAA alla kuuluvad Microsofti teenused läbinud auditid, mille on läbi viinud akrediteeritud sõltumatud kolmandast osapoolest audiitorid. Meie ISO/IEC 27001 auditiulatus hõlmab näiteks meetmeid, mis käsitlevad HIPAA turbepraktikat.

 

Microsofti HIPAA BAA alusel pakume rohkem teenuseid kui ükskõik milline muu pilvteenuste pakkuja. Microsoft Azure’i, Microsoft Dynamics 365, Microsoft Intune’i, Microsoft Office 365 ja Microsoft Power BI kaudu pakume mitmekülgseid integreeritud lahendusi, mis hõlmavad kontori- ja koostööfunktsioone, patsiendisuhete haldamist, analüütikat, rakenduste majutamist, andmete talletamist ning rakenduse- ja seadmehaldust.

 

BAA lepingut pakkudes aitab Microsoft toetada teie vastavust HIPAA nõuetele, ehkki teie asutuse enda kohustus on tagada, et see, kuidas te Microsofti teenuseid kasutate, vastab HIPAA ja HITECH-i seaduse nõuetele. Selle eesmärgi täitmiseks pakume teile mitmesuguseid ressursse, mille hulgas on näiteks HIPAA/HITECH-i seaduse juurutusjuhisedAzure’i ning Dynamics 365 ja Office 365 jaoks ning praktiline juhend Microsoft Azure’i abil turvaliste tervishoiulahenduste kujundamiseks.

Medicare’i ja Medicaidi teenuste keskus (The Center for Medicare and Medicaid Services – CMS) on avaldanud standardikomplekti Minimum Acceptable Risk Standards for Exchanges (MARS-E), mis hõlmab raamistikku kaitstavate andmete tervishoiuasutuste vahelisel edastamisel konfidentsiaalsuse, tervikluse ja käideldavuse tagamiseks. MARS-E 2.0 raamistik pakub teavet, mis aitab neid kaitstavaid andmeid turvata, ning kehtib kõigile Ameerika Ühendriikide taskukohase ravi seaduse (Affordable Care Act) haldamisega tegelevate juriidiliste isikute (sh andmevahetusega tegelevate üksuste ja turuplatside) jaoks.

 

Ehkki praegu pole MARS-E jaoks veel ametlikku autoriseerimis- ja akrediteerimisprotsessi välja töötatud, on Azure’i platvormi teenused läbinud sõltumatud FedRAMP-i auditid ja on autoriseeritud vastavalt selle standarditele. Ehkki need standardid ei keskendu konkreetselt MARS-E raamistikule, on MARS-E kontrollinõuded ja eesmärgid väga sarnased ning see aitab tagada, et Azure suudab andmete konfidentsiaalsust, terviklust ja käideldavust piisavalt kaitsta.

Oleme privaatsuse kaitsmisega tegelnud juba pikka aega. Meie lähenemine toetub Microsofti privaatsusstandardile ja Microsofti turbearendustsüklile. Kolmandatest osapooltest teenusepakkujate auditid ja tunnistused kinnitavad meie kinnipidamist tugevatest tehnoloogiaarenduse standarditest ning aitavad tagada privaatsus- ja andmekaitsemeetmete süsteemse juurutamise. Microsoft oli esimene suur pilvteenuste pakkuja, kes võttis omaks pilvteenuste privaatsuse esimesed rahvusvahelised tegevusjuhised ehk ISO/IEC 27018. Garanteerime selle kaitse lisaks ka lepinguliste kohustustega.

 

Lõplik kontroll andmete kogumise, kasutamise ja levitamise üle on siiski alati teie enda kätes.

  • Kasutame teie kliendiandmeid üksnes kokkulepitud teenuste osutamiseks. Me ei vaata neid andmeid, et kasutada neid turundusotstarbel, ega käitle neid tootena, mida müüa kellelegi teisele.
  • Teil on alati olemas teave selle kohta, kus teie kliendiandmed meie rahvusvahelistes andmekeskustes asuvad. Teie teate, kes neile andmetele juurde pääseb ja millistel asjaoludel on see võimalik, ning kuidas neid andmeid vastutustundlikult kaitsta, üle kanda või kustutada.
  • Kui paljude klientide andmed talletatakse ühises füüsilises asukohas, kasutame iga kliendi pilvteenuste andmete teiste klientide andmetest eraldamiseks loogilist isolatsiooni.

Lisaressursid

Microsofti tervishoiulahendused suurettevõtetele

Andmete ja privaatsuse kaitsmine pilvlahendustes

Standardikomplekt MARS-E (Minimum Acceptable Risk Standards for Exchanges)

ISO/IEC 27001

Föderaalprogramm FedRAMP (Federal Risk and Authorization Management Program)


HIPAA ja HITECH-i ressursid

HIPAA ja HITECH-i seadus

Praktiline juhend Azure’i abil turvaliste tervishoiulahenduste kujundamiseks


HIPAA/HITECH-i seaduse juurutusjuhised

Azure’i HIPAA/HITECH-i juurutusjuhised

Dynamics 365 ja Office 365 HIPAA/HITECH-i juurutusjuhised