Ley de portabilidad y responsabilidad de seguros de salud (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Información general de HIPAA y la Ley HITECH

La Ley de portabilidad y responsabilidad de seguros de salud de 1996 (HIPAA) y las regulaciones emitidas por HIPAA son un conjunto de leyes sanitarias de EE. UU. que establecen requisitos para el uso, divulgación y protección de la información de salud de identificación individual. El ámbito de hipaa se amplió con la promulgación de la Ley de Tecnología de información sanitaria para la salud económica y clínica (HITECH) en 2009.

HIPAA se aplica a entidades cubiertas (específicamente, proveedores de atención médica, planes de salud y centros de compensación de atención médica) que crean, reciben, mantienen, transmiten o acceden a la información de salud protegida (PHI) de los pacientes. HIPAA se aplica además a los asociados de negocios de entidades cubiertas que realizan ciertas funciones o actividades relacionadas con la PHI como parte de la prestación de servicios a la entidad cubierta o en nombre de la entidad cubierta.

Cuando una entidad cubierta interactúa con los servicios de un proveedor de servicios en la nube, como Microsoft, el proveedor de servicios en la nube sería un asociado empresarial bajo HIPAA. Además, cuando una empresa asocia subcontrata con un proveedor de servicios en la nube para crear, recibir, mantener o transmitir phi, el proveedor de servicios en la nube también se convierte en un asociado empresarial.

Microsoft, HIPAA y la Ley HITECH

Las regulaciones hipaa requieren que las entidades cubiertas (definidas en virtud de las Reglas) firmen acuerdos con asociados empresariales para garantizar que la PHI esté adecuadamente protegida. Este contrato se denomina contrato de asociado empresarial. Entre otras cosas, un Contrato de Asociado De Negocios establece los usos y divulgaciones permitidos y requeridos de la PHI por parte del asociado de negocios, en función de la relación entre las partes y las actividades o servicios que está realizando el asociado de negocios. Para respaldar el cumplimiento de nuestros clientes con HIPAA al usar productos y servicios empresariales de Microsoft, Microsoft firmará acuerdos de asociados empresariales con sus clientes asociados a la entidad cubierta y asociados empresariales.

Actualmente no hay ningún estándar de certificación aprobado por el Departamento de Salud y Servicios Humanos para demostrar el cumplimiento con HIPAA o la Ley HITECH por parte de un asociado empresarial. Sin embargo, Microsoft permite a los clientes cumplir con HIPAA y la Ley HITECH y se adhiere a los requisitos de la regla de seguridad de HIPAA en su capacidad de asociado empresarial. Además, Microsoft firma acuerdos de asociados empresariales con sus clientes asociados de entidades y negocios cubiertos para respaldar su cumplimiento con las obligaciones hipaa.

Certificaciones de terceros

Los servicios de Microsoft cubiertos por la BAA han sido sometidos a auditorías realizadas por auditores independientes acreditados para la certificación ISO/IEC 27001 de Microsoft y la certificación HITRUST CSF.

Los servicios en la nube empresarial de Microsoft también están cubiertos por las evaluaciones de FedRAMP. Microsoft Azure y Microsoft Azure Government recibieron una autoridad provisional para operar de la Junta conjunta de autorización de FedRAMP; Microsoft Dynamics 365 el Gobierno de LOS EE. UU. recibió una autoridad de agencia para operar del Departamento de Vivienda y Desarrollo Urbano de EE. UU., al igual que Microsoft Office 365 el Gobierno de LOS EE. UU. del Departamento de Salud y Servicios Humanos de ee. UU.

Para obtener información sobre cómo Microsoft Cloud ayuda a los clientes a admitir HIPAA y los requisitos hitech, visite Microsoft Customer Stories.

Servicios y plataformas en la nube dentro de Microsoft

  • Azure y Azure Government
  • Azure DevOps Services
  • Dynamics 365 y Dynamics 365 para la Administración Pública de Estados Unidos
  • Intune
  • Microsoft Defender for Cloud Apps
  • Expertos de detección de Microsoft Defender (componente servicios en línea)
  • expertos en Microsoft Defender para XDR (componente de servicios en línea)
  • Microsoft Healthcare Bot Service
  • Escritorio administrado por Microsoft
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Office 365, Office 365 gobierno de EE. UU.
  • El servicio de nube de Power Automate (anteriormente conocido como Microsoft Flow) como un servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • Servicio en la nube de Power BI como un servicio independiente o como se incluye en un Office 365 o Dynamics 365 conjunto o plan de marca
  • Windows 365

Azure, Dynamics 365 e HIPAA

Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta hipaa de Azure.

Office 365 e HIPAA

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Portal de clientes, Office 365 Microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Programa de aplicaciones), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype Empresarial, Stream
GCC Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Preguntas más frecuentes

¿Puede mi organización entrar en una BAA con Microsoft?

Sí. Microsoft ofrece a sus clientes asociados empresariales y entidades cubiertas un contrato de asociado empresarial que cubre los servicios de Microsoft en el ámbito.

El Contrato de asociado empresarial HIPAA de Microsoft está disponible a través del Anexo de protección de datos de Microsoft Online Services de forma predeterminada para todos los clientes que son entidades cubiertas o asociados empresariales bajo HIPAA. Consulte "Servicios en la nube en el ámbito de Microsoft" en esta página web para obtener la lista de servicios en la nube cubiertos por esta BAA.

El Contrato de asociado empresarial HIPAA también está disponible para servicios profesionales de Microsoft en el ámbito. Póngase en contacto con su representante de servicios de Microsoft para obtener más información.

¿El hecho de tener un contrato de asociado empresarial con Microsoft garantiza el cumplimiento de mi organización con HIPAA y la Ley HITECH?

No. Al ofrecer un contrato de asociado empresarial, Microsoft ayuda a respaldar el cumplimiento de HIPAA. Sin embargo, el uso de servicios de Microsoft no logra por sí solo el cumplimiento de HIPAA. Su organización es responsable de asegurarse de que tiene un programa de cumplimiento adecuado y procesos internos, y de que su uso particular de los servicios de Microsoft se alinea con sus obligaciones en virtud de HIPAA y la Ley HITECH.

¿Puede Microsoft usar el Contrato de asociado empresarial de mi organización?

No, Microsoft no puede usar el Contrato de asociado empresarial de un cliente. Dado que ofrecemos servicios multiinquilino e hiperescala que están estandarizados para todos nuestros clientes, debemos operar de forma coherente. El Contrato de asociado empresarial HIPAA de Microsoft refleja estrechamente cómo operamos. En consecuencia, con el fin de abordar las necesidades del sector sanitario, Microsoft colaboró con un consorcio de centros médicos académicos y otras entidades del sector público y privado dentro de la asistencia sanitaria para crear un Acuerdo de Asociado Empresarial que se alinee con nuestras ofertas de servicios a escala y satisfaga las necesidades de los clientes.

¿Cómo puedo obtener copias de informes de auditoría de terceros?

El Portal del Centro de confianza ofrece informes de cumplimiento auditados de forma independiente. Puede usar el portal para solicitar informes de auditoría para que los auditores puedan comparar los resultados de los servicios en la nube de Microsoft con sus propios requisitos legales y normativos. Los clientes de Azure también pueden recuperar certificados de Azure e informes de auditoría en el Azure Portal a través de la hoja de informes de auditoría de Microsoft Defender for Cloud.

¿Cómo puedo obtener más información sobre cómo Microsoft admite el cumplimiento con HIPAA y la Ley HITECH?

Para ayudar a los clientes con esta tarea, Microsoft ha publicado esta guía:

  • La guía de implementación de la ley HIPAA/HITECH para Azure para los responsables de privacidad, seguridad y cumplimiento y otros responsables de la implementación de hipaa y la ley HITECH, describe los pasos concretos que su organización puede seguir para mantener el cumplimiento.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos