Gezondheidszorginstellingen en zakelijke cloudservices van Microsoft

Ontvang de beveiliging, compliance en privacy van beveiligde gezondheidsgegevens in de zakelijke cloudservices van Microsoft.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

De beveiliging, compliance en privacy van beveiligde gezondheidsgegevens ontvangen in de zakelijke cloudservices van Microsoft

Microsoft begrijpt dat wanneer je (onze klant) onze cloudservices gebruikt, je je meest waardevolle en onvervangbare activa, je gegevens, aan ons toevertrouwt.

Vertrouwen is essentieel wanneer je klinische toepassingen en gegevensverzamelingen met beschermde gezondheidsgegevens (PHI), inclusief patiënt- en behandelingsgegevens, verplaatst naar de openbare cloud. Het is van cruciaal belang wanneer je gegevens deelt binnen het volledige gezondheidssysteem en uitbouwt hoe en wanneer gezondheidszorgprofessionals en patiënten vertrouwelijke gegevens openen.

Hoe ver je ook bent in het proces van verplaatsing naar de cloud, het is van vitaal belang dat je werkt met een serviceprovider die je kunt vertrouwen. Je moet erop kunnen vertrouwen dat je gegevens zijn beschermd, dat ze veilig worden bewaard en beheerd in naleving met de wet- en regelgeving en dat de privacy is beschermd.

De holistische aanpak van Microsoft is ontworpen dit vertrouwen op te bouwen door een diepgaande defensieve houding ten opzichte van beveiliging, naleving van regelgeving, inclusief het aanbod van een HIPAA Business Associate-overeenkomst (BAA) voor onze zakelijke cloudservices en hulp bij de bescherming van de privacy van PHI en andere gegevens.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Je implementatie van HIPAA/HITRUST-oplossingen in Azure versnellen

Koop vandaag de hulpmiddelen en hulp om HIPAA/HITRUST-oplossingen te bouwen. Benut de voordelen van de cloud voor oplossingen voor gezondheidsgegevens met de Azure-blauwdruk voor beveiliging en naleving, HIPAA/HITRUST-gezondheidsgegevens en AI.

Office 365 behaalt HITRUST CSF-certificering

Office 365 heeft de HITRUST-certificering ontvangen van The Health Information Trust Alliance (HITRUST, gezondheidsinformatietrustalliantie). Het HITRUST Common Security Framework helpt gezondheidszorginstellingen beveiliging en risicobeheer aan te pakken.

Medical professional wearing scrubs and smiling.

Microsoft heeft een diepgaande defensieve houding ten opzichte van beveiliging in onze cloudservices

Gezondheidszorginstellingen kunnen kwetsbaar zijn voor gegevenslekken en cyberaanvallen. Kwaadaardige partijen richten zich niet alleen op gezondheidszorgnetwerken, maar ook op apparatuur van verkooppunten, zoals kassa’s, medische apparaten als pacemakers, medische apps die virtuele gezondheidszorg aanbieden en mobiele apparaten die worden gebruikt voor het delen van gegevens, zowel medische als persoonlijke. Volgens het Verizon Protected Health Information Data Breach Report van 2015 zijn 1400 gezondheidszorginstellingen, groot en klein, door datalekken van PHI-gegevens getroffen die meer dan 157 miljoen medische dossiers hebben geopenbaard. Dit was niet alleen het resultaat van criminele activiteiten, maar ook van ontoereikende gegevensbescherming en misbruik van medewerkers.

Zakelijke cloudservices en commerciële ondersteuning van Microsoft zijn ontworpen, ontwikkeld en worden uitgevoerd om te verzekeren dat je gegevens en alle apparaten die die benaderen bijzonder goed zijn beveiligd. Het uitgangspunt van de beveiligingsstrategie van Microsoft is de aanname dat er lekken zitten in onze systemen en de tijd tussen een lek en de vaststelling ervan verkorten. Ons wereldwijd responseteam werkt 24 x 7 aan beperking van de effecten van aanvallen op de Microsoft Cloud.

Onze systemen en software helpen je gegevens te beschermen met sterke beveiligingscontroles, samen met een portfolio van technologieën om je te helpen je bedrijf te bewapenen tegen opkomende cyberbedreigingen, een mobiel personeelsbestand te beheren en overheidsregelgeving na te leven.

|

Verschillende lagen antispamtechnologie, zoals Microsoft Antimalware, helpen bij het identificeren en verwijderen van spam, virussen en andere kwaadaardige software, bekend en onbekend. We bewaken servers, netwerken en toepassingen om inbreuken te identificeren en aanvallen te voorkomen en we versterken deze verdediging continu. In het geval van een aanval staan er systemen klaar om het netwerk te verdedigen en tegelijkertijd snel te herstellen.

 

Meer informatie

Waar je gegevens zich ook bevinden, op een lokale server, in de openbare cloud of op draagbare apparaten, we helpen je te waarborgen dat diegenen die je netwerk benaderen, zijn wie ze zeggen dat ze zijn, dat hun toegang tot gegevens wordt bewaakt en dat alleen zij die geautoriseerd zijn PHI te kunnen bekijken ze ook kunnen bekijken.

 

Meer informatie

Gegevensversleuteling is onleesbaar als je de decoderingssleutel niet hebt. Microsoft gebruikt veilige transportprotocollen die voldoen aan industriële standaarden om gegevens te versleutelen tijdens het transport tussen apparaten en Microsoft-gegevenscentra of binnen gegevenscentra. Microsoft biedt een breed scala aan ingebouwde mogelijkheden voor versleuteling om gegevens die niet worden gebruikt te beschermen.

 

Meer informatie

Microsoft-bedrijfsproducten en cloudservices worden gecontroleerd door onafhankelijke, externe controleurs onder industriële standaarden zoals ISO/IEC 27001 en ISO/IEC 27018. Bovendien ondersteunen we HIPAA en de HITECH Act en ook de Minimaal Acceptabele Risicostandaarden voor uitwisselingen (MARS-E).

HIPAA en de HITECH Act zijn gezondheidszorgwetten van de Verenigde Staten die eisen vaststellen voor het gebruik, de openbaarmaking en bescherming van individueel identificeerbare gezondheidsgegevens. Deze wetten eisen dat gezondheidszorginstellingen contracten aangaan met serviceproviders als Microsoft die toegang hebben tot PHI van patiënten en die verwerkt. Deze contracten, of Business Associate Agreements (BAA) verduidelijken en beperken hoe de cloudservice PHI behandelt en specificeert de naleving van elke partij van de beveiligings- en privacybepalingen.

 

Microsoft heeft fysieke, technische en administratieve veiligheidsmaatregelen geïmplementeerd die zijn vereist door HIPAA om onze rol als zakenrelatie te ondersteunen en voldoet aan de HITECH Act, die eist dat personen en de overheid op de hoogte worden gesteld als er een lek van PHI plaats heeft gevonden. En hoewel er momenteel geen officiële certificering is voor naleving van deze wetten, zijn de Microsoft-services die vallen onder de BAA geïnspecteerd door erkende, onafhankelijke derden. Onze ISO/IEC 27001 auditomvang omvat bijvoorbeeld controles die HIPAA-beveiligingswerkwijzen aanpakken.

 

Onder de Microsoft-HIPAA BAA bieden we dekking voor meer services dan elke andere cloudprovider. Met Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 en Microsoft Power BI bieden we uitgebreide en geïntegreerde oplossingen die productiviteit en samenwerking, relatiebeheer van patiënten, analyses, hosting van toepassingen, gegevensopslag en toepassingen- en apparaatbeheer omvatten.

 

Door een BAA aan te bieden, helpt Microsoft je naleving van HIPAA te ondersteunen, hoewel je bedrijf ervoor verantwoordelijk is dat je specifieke gebruik van Microsoft-services is afgestemd op HIPAA en de HITECH Act. Voor dat doel bieden we informatiebronnen als HIPAA/HITECH Act-implementatiehulp voor Azure en voor Dynamics 365 en Office 365 en Een praktische gids voor het ontwerpen van veilige gezondheidszorgoplossingen met Microsoft Azure.

Het Center for Medicare and Medicaid Services (CMS) heeft de Minimaal acceptabele risicostandaarden voor uitwisselingen (MARS-E) gepubliceerd die een kader omvatten om de vertrouwelijkheid, integriteit en beschikbaarheid in gezondheidszorguitwisselingen van beschermde gegevens aan te pakken. Het MARS-E 2.0-kader biedt informatie gericht op het beveiligen van deze beschermde gegevens en is van toepassing op alle Affordable Care Act-uitvoerende instanties in de VS, inclusief uitwisselingen en marktplaatsen.

 

En hoewel er momenteel geen officiële autorisatie- en certificeringsproces is voor MARS-E, zijn de Azure-platformservices onderworpen aan onafhankelijke FedRAMP-inspecties en geautoriseerd volgens deze standaarden. Al zijn deze standaarden niet speciaal gericht op MARS-E, de MARS-E-inspectie-eisen en -doelen sluiten nauw bij elkaar aan en bieden zekerheid dat Azure adequaat helpt de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te beschermen.

Onze beproefde aanpak van privacy is gebaseerd op de Microsoft-privacyverklaring en de Microsoft Security Development Lifecycle. Inspecties door derden en certificaten bekrachtigen onze rigoureuze technische ontwikkelstandaarden en helpen waarborgen dat privacy- en gegevensbescherming systematisch worden geïmplementeerd. Microsoft was bijvoorbeeld de eerste grote cloudprovider die de eerste internationale gedragscode voor cloudprivacy ISO/EIC 27018inbouwde. We ondersteunen die bescherming ook met sterke contractuele verplichtingen.

 

Uiteindelijk geven we je de controle over de verzameling, het gebruik en de distributie van je gegevens:

  • We gebruiken je klantgegevens alleen om de services te bieden die we hebben afgesproken. We scannen ze niet voor marketingdoeleinden en behandelen ze ook niet als een product om te verkopen aan derden.
  • Je weet waar je klantgegevens zijn opgeslagen in onze gegevenscentra in de wereld. Je weet wie er toegang toe heeft en onder welke voorwaarden en hoe je gegevens verantwoordelijk worden beschermd, verplaatst en verwijderd.
  • Wanneer gegevens van veel klanten worden opgeslagen op een gedeelde fysieke locatie, gebruiken we logische afzondering om de cloudservicegegevens van elke klant te scheiden van die van anderen.

Aanvullende informatiebronnen

Microsoft Enterprise-gezondheidszorgoplossingen

Bescherming van gegevens en privacy in de cloud

Minimaal acceptabele risicostandaarden voor uitwisselingen (MARS-E)

ISO/IEC 27001

Federal Risk and Authorization Management Program (FedRAMP)


HIPAA- en HITECH-informatiebronnen

HIPAA en de HITECH Act

Een praktische gids voor het ontwerpen van veilige oplossingen voor de gezondheidszorg met Azure


Implementatiehulp voor HIPAA/HITECH Act

Implementatiehulp voor HIPAA/HITECH Act voor Azure

Implementatiehulp voor HIPAA/HITECH Act voor Dynamics 365 en Office 365