O Google Workspace está em Conformidade com a HIPAA?

Nem todos os planos do Google Workspace garantem automaticamente a conformidade com a HIPAA. Embora o Google ofereça recursos de segurança e privacidade em todas as suas ofertas do Workspace, as organizações que lidam com Informações de Saúde Protegidas (PHI) normalmente precisam de pelo menos uma edição paga (por exemplo, Business ou Enterprise) para acessar configurações de segurança avançadas e assinar o Google BAA (Business Associate Agreement).

Os planos que geralmente suportam a conformidade com a HIPAA incluem:

• Business (Standard, Plus)

• Enterprise (Standard, Plus)

• Education (Em certos casos, com requisitos adicionais)

Mesmo dentro desses planos, você deve configurar as configurações de privacidade corretamente. A simples assinatura de um plano elegível não garante que seu ambiente esteja em conformidade com a HIPAA — você também precisa seguir as diretrizes de como tornar o Google Workspace compatível com a HIPAA, incluindo o manuseio adequado de PHI eletrônico (ePHI).

Vários serviços principais do Google Workspace podem ser usados de maneira compatível com a HIPAA, depois de assinar o Google BAA e configurá-los corretamente. Estes incluem:

• Gmail (muitas vezes referido como “Gmail compatível com HIPAA” quando configurado corretamente)

• Google Drive (incluindo Docs, Sheets e Slides)

• Google Meet

• Google Chat (cenários de uso limitados; certifique-se da configuração correta)

• Google Calendar

Os serviços não listados no Google BAA podem exigir análise adicional ou podem não ser adequados para armazenar ou transmitir ePHI. Por exemplo, o Google Voice pode não estar coberto pelo BAA padrão, por isso é importante verificar diretamente com a documentação do Google antes de usá-lo para comunicação relacionada ao PHI.

• Assine o Google BAA: Este é um documento juridicamente vinculativo que descreve as responsabilidades do Google como um associado Business. O BAA garante que o Google concorda em lidar com ePHI de maneira consistente com os requisitos da HIPAA.

• Ative os Recursos de Segurança: Ative os recursos de segurança, como a verificação em duas etapas, a prevenção contra perda de dados (DLP) e os controles de acesso para ajudar a proteger o ePHI.

• Configure os Controles Administrativos: Use o console de administração do Google para configurar o compartilhamento restrito, controlar o encaminhamento de email externo e limitar aplicativos de terceiros.

• Treine Sua Equipe: Mesmo com proteções técnicas, a educação do usuário continua sendo crucial. Certifique-se de que os funcionários entendam como manter a conformidade com a HIPAA ao usar o Gmail, o Google Drive, o Google Docs e outras ferramentas do Google Workspace.

• Monitore e Audite: Analise regularmente os registros de auditoria e os relatórios de atividades para detectar acesso não autorizado ou atividade incomum. O monitoramento adequado garante que você possa identificar possíveis violações rapidamente.

Dica: Se você está especificamente preocupado em “como tornar o Gmail compatível com a HIPAA” ou “como tornar o Google Workspace compatível com a HIPAA”, concentre-se nas configurações de segurança no console de administração, imponha a criptografia (como o uso de S/MIME) e garanta que o usuário esteja ciente das práticas recomendadas.

O Google Workspace é compatível com HIPAA? Em resumo, o Google Workspace pode ser compatível com HIPAA se você:

• Escolher um plano elegível (edições Business ou Enterprise, principalmente).

• Assinar o BAA do Google.

• Ativar e manter as configurações de segurança e os controles de privacidade necessários.

• Usar os serviços apenas de maneiras aprovadas pelo HIPAA.

Simplesmente ter uma conta do Google Workspace não é suficiente — você deve configurar e monitorar cuidadosamente o ambiente, treinar a equipe e seguir as melhores práticas para lidar com PHI. Ao atender a esses requisitos, muitas organizações usam com sucesso o Google Workspace como uma solução compatível com HIPAA.