O Google Workspace está em conformidade com a HIPAA?

Nem todos os planos do Google Workspace garantem automaticamente a conformidade com a HIPAA. Embora o Google ofereça recursos de segurança e privacidade em todas as suas ofertas do Workspace, as organizações que lidam com informações de saúde protegidas (PHI) geralmente precisam de pelo menos uma edição paga (por exemplo, Business ou Enterprise) para acessar configurações de segurança avançadas e assinar o Google BAABusiness Associate Agreement).

Os planos que geralmente oferecem suporte à conformidade com a HIPAA incluem:

• Business (Standard, Plus)

• Enterprise (Standard, Plus)

• Educação (em alguns casos, com requisitos adicionais)

Mesmo dentro desses planos, você deve configurar corretamente as definições de privacidade. A simples assinatura de um plano elegível não garante que o seu ambiente esteja em conformidade com a HIPAA - você também precisa seguir as diretrizes de conformidade com a HIPAA do Google Workspace, incluindo o manuseio adequado de PHI eletrônica (ePHI).

Vários serviços essenciais do Google Workspace podem ser usados em conformidade com a HIPAA, desde que você assine o Google BAA e os configure adequadamente. Esses serviços incluem:

• Gmail (geralmente chamado de "Gmail compatível com HIPAA" quando configurado corretamente)

• Google Drive (incluindo Docs, Sheets e Slides)

• Google Meet

• Google Chat (cenários de uso limitado; garanta a configuração correta)

• Google Agenda

Os serviços não listados no BAA do Google podem exigir um exame mais minucioso ou podem não ser adequados para armazenar ou transmitir ePHI. Por exemplo, o Google Voice pode não estar coberto pelo BAA padrão, portanto, é importante verificar diretamente com a documentação do Google antes de usá-lo para comunicação relacionada a PHI.

• Assine o BAA do Google: este é um documento juridicamente vinculativo que descreve as responsabilidades do Google como associado comercial. O BAA garante que o Google concorda em lidar com o ePHI de maneira consistente com os requisitos da HIPAA.

• Ativar recursos de segurança: Ative os recursos de segurança, como verificação em duas etapas, prevenção contra perda de dados (DLP) e controles de acesso para ajudar a proteger a ePHI.

• Configure controles administrativos: Use o console do Google Admin para configurar o compartilhamento restrito, controlar o encaminhamento de e-mail externo e limitar aplicativos de terceiros.

• Treine sua equipe: Mesmo com as proteções técnicas, a educação do usuário continua sendo crucial. Certifique-se de que os funcionários entendam como manter a conformidade com a HIPAA ao usar o Gmail, o Google Drive, o Google Docs e outras ferramentas do Google Workspace.

• Monitoramento e auditoria: Analise regularmente os registros de auditoria e os relatórios de atividade para detectar acesso não autorizado ou atividade incomum. O monitoramento adequado garante que você possa identificar rapidamente possíveis violações.

Dica: se estiver preocupado especificamente em "como tornar o Gmail compatível com a HIPAA" ou "como tornar o Google Workspace compatível com a HIPAA", concentre-se nas configurações de segurança no Admin Console, aplique a criptografia (como o uso de S/MIME) e garanta a conscientização do usuário sobre as práticas recomendadas.

O Google Workspace está em conformidade com a HIPAA? Em resumo, o Google Workspace pode estar em conformidade com a HIPAA se você:

• Escolha um plano qualificadoBusiness ediçõesBusiness ou Enterprise , principalmente).

• Assine o BAA do Google.

• Ative e mantenha as configurações de segurança e os controles de privacidade necessários.

• Use os serviços somente de maneiras aprovadas pela HIPAA.

Ter uma conta do Google Workspace não é suficiente - é preciso configurar e monitorar cuidadosamente o ambiente, treinar a equipe e seguir as práticas recomendadas para lidar com PHI. Ao atender a esses requisitos, muitas organizações usam com sucesso o Google Workspace como uma solução compatível com a HIPAA.