Czy Google Workspace jest zgodny z HIPAA?

Nie wszystkie plany Google Workspace automatycznie zapewniają zgodność z HIPAA. Chociaż Google oferuje funkcje bezpieczeństwa i prywatności we wszystkich swoich ofertach Workspace, organizacje obsługujące chronione informacje zdrowotne (PHI) zazwyczaj potrzebują co najmniej płatnej wersji (np. Business lub Enterprise), aby uzyskać dostęp do zaawansowanych konfiguracji zabezpieczeń i podpisać umowę Google BAABusiness Associate Agreement).

Plany, które zazwyczaj obsługują zgodność z HIPAA obejmują:

• Business (Standard, Plus)

• Enterprise (Standard, Plus)

• Wykształcenie (w niektórych przypadkach z dodatkowymi wymaganiami)

Nawet w ramach tych planów należy poprawnie skonfigurować ustawienia prywatności. Sama subskrypcja kwalifikującego się planu nie gwarantuje, że środowisko jest zgodne z HIPAA - należy również przestrzegać wytycznych dotyczących zgodności Google Workspace z HIPAA, w tym właściwego postępowania z elektronicznymi PHI (ePHI).

Kilka podstawowych usług Google Workspace może być używanych w sposób zgodny z HIPAA - po podpisaniu Google BAA i odpowiednim skonfigurowaniu. Należą do nich:

• Gmail (często określany jako "zgodny z Gmail HIPAA", gdy jest prawidłowo skonfigurowany)

• Dysk Google (w tym Dokumenty, Arkusze i Prezentacje)

• Google Meet

• Google Chat (ograniczone scenariusze użycia; upewnij się, że konfiguracja jest prawidłowa)

• Kalendarz Google

Usługi niewymienione w umowie BAA Google mogą wymagać dodatkowej kontroli lub mogą nie być odpowiednie do przechowywania lub przesyłania ePHI. Na przykład usługa Google Voice może nie być objęta standardową umową BAA, dlatego ważne jest, aby zweryfikować ją bezpośrednio z dokumentacją Google przed użyciem jej do komunikacji związanej z PHI.

• Podpisz umowę Google BAA: Jest to prawnie wiążący dokument określający obowiązki Google jako partnera biznesowego. Umowa BAA gwarantuje, że Google zgadza się obsługiwać ePHI w sposób zgodny z wymogami HIPAA.

• Włącz funkcje bezpieczeństwa: Włącz funkcje bezpieczeństwa, takie jak weryfikacja dwuetapowa, zapobieganie utracie danych (DLP) i kontrola dostępu, aby chronić dane ePHI.

• Konfiguracja kontroli administracyjnej: Skorzystaj z konsoli administracyjnej Google, aby skonfigurować ograniczone udostępnianie, kontrolować zewnętrzne przekazywanie wiadomości e-mail i ograniczyć aplikacje innych firm.

• Przeszkol swój personel: Nawet przy zabezpieczeniach technicznych edukacja użytkowników pozostaje kluczowa. Upewnij się, że pracownicy rozumieją, jak zachować zgodność z HIPAA podczas korzystania z Gmaila, Dysku Google, Dokumentów Google i innych narzędzi Google Workspace.

• Monitorowanie i audyt: Regularnie przeglądaj dzienniki audytu i raporty aktywności w celu wykrycia nieautoryzowanego dostępu lub nietypowej aktywności. Właściwe monitorowanie zapewnia szybką identyfikację potencjalnych naruszeń.

Wskazówka: Jeśli zastanawiasz się "jak sprawić, by Gmail był zgodny z HIPAA" lub "jak sprawić, by Google Workspace był zgodny z HIPAA", skup się na ustawieniach zabezpieczeń w konsoli administratora, wymuś szyfrowanie (np. za pomocą S/MIME) i zapewnij użytkownikom świadomość najlepszych praktyk.

Czy Google Workspace jest zgodny z HIPAA? Krótko mówiąc, Google Workspace może być zgodny z HIPAA, jeśli

• Wybierz kwalifikujący się planBusiness przede wszystkim edycjeBusiness lub Enterprise ).

• Podpisz umowę Google BAA.

• Włącz i utrzymuj wymagane ustawienia zabezpieczeń i kontroli prywatności.

• Z usług należy korzystać wyłącznie w sposób zatwierdzony przez HIPAA.

Samo posiadanie konta Google Workspace nie wystarczy - należy starannie skonfigurować i monitorować środowisko, przeszkolić personel i przestrzegać najlepszych praktyk w zakresie obsługi PHI. Spełniając te wymagania, wiele organizacji z powodzeniem wykorzystuje Google Workspace jako rozwiązanie zgodne z HIPAA.