Conformità HIPAA per Google Workspace

La sicurezza dei dati e la conformità sono particolarmente importanti quando si tratta di informazioni sanitarie sensibili. Assicurarsi che i suoi strumenti e piattaforme aziendali siano conformi agli standard normativi è fondamentale per mantenere la fiducia dei suoi pazienti ed evitare costose sanzioni. L'Health Insurance Portability and Accountability Act (HIPAA) stabilisce requisiti rigorosi per la protezione dei dati dei pazienti, rendendo fondamentale la domanda: Google Workspace è conforme all'HIPAA?

Google Workspace è conforme all'HIPAA?

Google Workspace supporta l'HIPAA attraverso una serie di misure di conformità che proteggono i dati riservati degli utenti, tra cui le configurazioni per le e-mail conformi all'HIPAA e la possibilità di implementare l'autenticazione a due fattori sugli account Workspace. Tuttavia, per essere pienamente conformi alla normativa HIPAA durante l'utilizzo di Google Workspace, gli utenti finali devono anche adottare le misure appropriate per garantire la sicurezza dei dati personali e di altri dati sensibili durante l'utilizzo di Workspace in un ambiente sanitario.

Alcuni esempi includono la firma di un Contratto HIPAA Business Associate (BAA) con Google, la limitazione dei dati personali solo ai servizi sicuri di Google e la formazione regolare dei dipendenti sulle loro responsabilità ai sensi dell'HIPAA per la protezione delle informazioni sui pazienti.

Che cos'è l'HIPAA?

L'HIPAA regolamenta il modo in cui le entità sanitarie coperte devono salvaguardare le informazioni del paziente durante le transazioni di routine. Si compone di diverse regole e normative, ognuna delle quali ha uno scopo unico.

• Regola sulla privacy: stabilisce gli standard per la protezione delle cartelle cliniche e delle informazioni sanitarie protette (PHI) degli individui.
• Regola di sicurezza: definisce le salvaguardie che devono essere adottate per proteggere le informazioni personali elettroniche (ePHI), garantendone la riservatezza, l'integrità e la disponibilità.
• Regola sugli identificatori unici: assegna identificatori unici ai fornitori di assistenza sanitaria, ai piani sanitari e ai datori di lavoro per standardizzare le transazioni elettroniche.
• Regole sulle transazioni e sui set di codici: stabilisce gli standard per le transazioni sanitarie elettroniche, compresi i set di codici per le diagnosi e le procedure.
• Regola di applicazione: definisce le sanzioni e le procedure per far rispettare le altre regole HIPAA.

Che cosa sono le Informazioni sanitarie protette (PHI)?

Le PHI sono tutte le informazioni sanitarie identificabili individualmente, compresi i nomi dei pazienti, gli indirizzi, i numeri di previdenza sociale e le cartelle cliniche. L'HIPAA regolamenta rigorosamente l'uso, la divulgazione e la conservazione dei dati personali.

La conformità all'HIPAA non è solo una casella di controllo: ha un impatto sul modo in cui i dati vengono raccolti, su quanto tempo possono essere conservati e su come devono essere protetti. La mancata osservanza intenzionale dell'HIPAA può comportare sanzioni di 50.000 dollari o più per ogni incidente.

Google Workspace è conforme alla normativa HIPAA?

Google Workspace - precedentemente G-suite - è la risposta di Google a Microsoft Office e comprende la gamma di servizi basati sul cloud di Google. Utilizzando Google Workspace, le aziende possono gestire un luogo di lavoro digitale coeso e interconnesso, accessibile a tutti i dipendenti da qualsiasi luogo.

Le entità coperte da HIPAA, come i fornitori di servizi sanitari, le compagnie di assicurazione e le società di clearing che scelgono i servizi di Google per le loro esigenze aziendali, devono capire come la piattaforma Workspace supporta le normative HIPAA e adempie ai loro obblighi di protezione dei dati personali.

Fuori dalla scatola, Google Workplace non è completamente conforme all'HIPAA. Le aziende devono adottare diverse misure per garantire una configurazione adeguata per un utilizzo conforme alla normativa HIPAA, che può essere seguita utilizzando la Guida all'implementazione HIPAA di Google.

Alcuni passi essenziali per la conformità HIPAA in Google Workspace includono:

• Utilizza una versione a pagamento di Google Workspace, come Google Workspace Enterprise.
• Firmare un BAA con Google. Un BAA è un documento legalmente vincolante che stabilisce che Google è un associato d'affari "" e delinea le sue responsabilità per la protezione delle informazioni elettroniche.
• Configurazione di Workspace per i dati personali, compresa la limitazione dei dati personali ai servizi principali, la restrizione dell'accesso al personale autorizzato e l'implementazione della crittografia per proteggere i dati.

Prodotti Google Workspace e conformità HIPAA

Con Google Workspace, le organizzazioni sanitarie coperte da HIPAA dispongono di un'ampia gamma di prodotti per operare in modo flessibile e collaborativo in un ambiente sicuro. Questi prodotti includono Gmail, Google Drive, Google Meet, Calendar, Google Sites, Google Cloud Identity Management, Google Apps Script e altro ancora.

Google continua anche a integrare i progressi dell'AI, come Google Gemini, ma le organizzazioni devono verificare che tali strumenti siano in linea con gli standard di conformità prima di gestire i dati personali.

Le entità coperte devono garantire la conformità HIPAA per ciascuno di questi prodotti Google. Questo può essere fatto controllando il livello di abbonamento a Workspace e le impostazioni per ogni applicazione utilizzata dalla sua organizzazione.

I limiti degli account Gmail gratuiti per la conformità HIPAA

Mentre Google Workspace è conforme all'HIPAA, gli account Gmail gratuiti non sono adatti alla gestione dei dati personali. Gli account Gmail gratuiti non dispongono delle funzioni di sicurezza e dei controlli amministrativi necessari per conformarsi alle normative HIPAA.

Le organizzazioni sanitarie che utilizzano account Gmail gratuiti si espongono al rischio di non conformità, in quanto non possono firmare un Accordo di Business Associate (BAA) con Google, che è un passo obbligatorio per garantire la conformità HIPAA.

Inoltre, gli account Gmail gratuiti non offrono le configurazioni di sicurezza avanzate disponibili in Google Workspace, come la crittografia delle e-mail conforme a HIPAA, la prevenzione della perdita di dati (DLP) e la registrazione degli audit. Di conseguenza, l'utilizzo di account Gmail gratuiti per l'archiviazione o la trasmissione di informazioni personali può portare a violazioni dei dati e a ripercussioni legali.

Che cos'è un Contratto di associazione d'impresa (BAA) e perché è importante?

Un BAA è un contratto legalmente vincolante tra un fornitore di servizi sanitari coperti da HIPAA e un appaltatore terzo, come un fornitore SaaS come Google Workspace. I motivi principali per cui un BAA è importante per la conformità HIPAA sono i seguenti:

• Definire l'uso e le divulgazioni consentite di PHI da parte dell'associato d'affari, limitandone l'uso solo a ciò che è necessario.
• Illustra l'obbligo della terza parte di adottare misure di salvaguardia per proteggere la privacy e la sicurezza delle informazioni personali, comprese quelle amministrative, tecniche e fisiche.
• Richiede la notifica di qualsiasi violazione delle PHI, in modo che l'operatore sanitario possa avviare le procedure di mitigazione.
• Estendere la conformità HIPAA agli associati d'affari, in modo che siano tenuti a pagare multe e sanzioni per le violazioni, anziché l'operatore sanitario.
• Assicurarsi che le terze parti impongano ai loro subappaltatori le stesse protezioni dei dati personali, per evitare lacune di conformità lungo la catena dei fornitori.

Trascurare un BAA può creare lacune di conformità tra le organizzazioni sanitarie e i fornitori terzi, lasciando spazio a inutili rischi di responsabilità.

Per firmare un BAA con Google Workspace:

Si assicuri che il suo livello di abbonamento sia il livello Enterprise. Quindi, acceda alla Console amministrativa come amministratore. Si rechi in Impostazioni account e poi nell'area Legale e conformità. Scorra fino a "Termini aggiuntivi di sicurezza e privacy" e individui l'"Emendamento HIPAA Business Associate di Google Workspace/Cloud Identity".

Clicchi su "Non accetto" e poi su "Rivedi e accetta" per esaminare attentamente i termini. Dopo aver letto attentamente il BAA, risponda alle tre domande di conferma. Infine, clicchi su "Accetto" per firmare il BAA di Google.

Sono necessari altri passi per rendere Google Workspace conforme all'HIPAA, ma la firma del BAA HIPAA è un inizio necessario.

Come rendere Google Workspace conforme alla normativa HIPAA

La conformità HIPAA in Google Workspace comporta diverse fasi che garantiscono l'archiviazione, la gestione e il monitoraggio adeguati dei dati personali.

• Firmare un BAA con Google, delineando le responsabilità di ciascuna parte per garantire il trattamento conforme dei dati sensibili. Va notato che il BAA è disponibile solo per gli utenti di Google Workspace con i piani di abbonamento Enterprise.
• Configuri Workspace per soddisfare gli standard HIPAA utilizzando le funzionalità disponibili di Google e le integrazioni di terze parti. Per soddisfare gli attuali requisiti HIPAA, devono essere affrontati fattori variabili, tra cui l'autenticazione a due fattori, la crittografia, i controlli di accesso di terze parti, la revoca delle autorizzazioni alle app Workspace non utilizzate e le pratiche di archiviazione dei dati.
• Anche la creazione di notifiche per rilevare attività sospette in Workspace, la configurazione di gruppi di utenti appropriati e la sicurezza delle e-mail sono metodi consigliabili per mantenere la conformità HIPAA in tutta la piattaforma Workspace.
• I dipendenti devono anche essere formati sui loro obblighi di salvaguardia dei dati ai sensi dell'HIPAA. Ciò include la revisione delle best practice per la gestione delle ePHI e la definizione di standard e protocolli aziendali per l'accesso o la trasmissione delle PHI.

Per una conformità continua e per ridurre le violazioni HIPAA il più rapidamente possibile, si possono adottare ulteriori misure. Questi includono:

• Audit e monitoraggio regolari di Google Workspace per la conformità HIPAA. Se dovessero emergere delle violazioni, le gestisca rapidamente nell'ambito dei processi della sua organizzazione.
• Stabilire le politiche di utilizzo accettabile per i servizi principali di Google Workspace. Questi standard di condotta forniranno ai dipendenti il quadro di riferimento necessario per affrontare i rischi di compliance più comuni.
• Sviluppare indicatori chiave di performance, come il monitoraggio delle violazioni, i tassi di completamento della formazione e l'efficacia delle azioni correttive, per misurare e monitorare la conformità.
• Promuovere una cultura della compliance e dell'etica. Un codice di condotta, una formazione sulla compliance, delle politiche e un manuale sulla compliance facilmente reperibile contribuiranno a creare una mentalità di compliance efficace.

È anche importante proteggere e conservare i dati PHI e altri dati sensibili con solidi meccanismi di backup e ripristino che garantiscano il rispetto dei requisiti di conservazione, preservando l'integrità e la disponibilità dei dati.

La conformità HIPAA è tutta la copertura di cui ha bisogno?

Sebbene la conformità HIPAA sia fondamentale per le organizzazioni sanitarie, non è l'unica normativa che potrebbe applicarsi alla sua azienda. A seconda del suo settore e della natura delle sue attività, possono essere rilevanti anche altri standard di conformità, come HITRUST. È essenziale valutare le sue specifiche esigenze di conformità in modo completo ed esplorare come configurare Google Workspace per soddisfare tutti gli obblighi di conformità che regolano il suo luogo di lavoro digitale.

Come Mimecast Aware può supportare la conformità HIPAA in Google Workspace

Aware consente alle organizzazioni sanitarie e ad altre entità coperte di soddisfare gli obblighi di conformità HIPAA all'interno di strumenti digitali in cui i dipendenti collaborano.

L'integrazione nativa di Mimecast Aware con Google:

• Supporta la mitigazione del rischio e l'aderenza alla conformità all'interno di questo set di dati, utilizzando flussi di lavoro AI di elaborazione del linguaggio naturale (NLP) leader del settore, che salvaguardano i dati utilizzando automazioni guidate da parole chiave ed espressioni regolari (regex).
• Fornisce una visione continua di complessi set di dati utilizzando flussi di lavoro facilmente configurabili, identificando rapidamente potenziali violazioni dei dati, facilitando una pronta riparazione e migliorando la cybersecurity.
• Utilizza le ricerche federate per ridurre i tempi di indagine e il controllo degli accessi basato sui ruoli per limitare l'esposizione delle informazioni elettroniche e i rischi per la sicurezza.

Richieda una demo per scoprire come Mimecast Aware rileva in modo proattivo gli accessi non autorizzati e i comportamenti rischiosi e supporta la conformità HIPAA per i prodotti Google.

Prima pubblicazione ottobre 2023. Aggiornato a aprile. 2024.