HIPAA betetzea
Ikuspegi orokorra
HIPAA (AEBetako Health Insurance Portability and Accountability Act) Ameriketako Estatu Batuetan Protected Health Information (PHI) nola tratatzen den arautzen du. vitalera-k HIPAA Security Rule-k eskatzen dituen babes tekniko, administratibo eta fisikoak eskaintzen ditu, eta Business Associate gisa jarduten du PHI prozesatzen duten bezeroentzat.
HIPAA lege bat da, ez ziurtagiri bat. Software bat ezin da "HIPAA-k ziurtatutakoa" izan. Betetzea erantzukizun partekatua da Covered Entity-aren (bezeroaren) eta Business Associate-aren (vitalera) artean, sinatutako Business Associate Agreement (BAA) batek arautua.
Rolak
| Rola | Nor | Erantzukizuna |
|---|---|---|
| Covered Entity | vitalera erabiltzen duen osasun-hornitzailea, osasun-plana edo clearinghouse-a | Pazientearekiko harremanaren jabea, pazientearen baimena lortzen du eta PHI-aren erabilera legitimoak zehazten ditu |
| Business Associate | FOLLOWHEALTH S.L. (vitalera plataformaren operadorea) | BAAren arabera Covered Entity-aren izenean PHI prozesatzen du, babes-neurriak ezartzen ditu eta gertakariak jakinarazten |
| Azpikontratistak | AWS eta beste azpiegitura-hornitzaileak | vitalera eta azpikontratista bakoitzaren artean beherako BAAek estaltzen dituzte, dagokionean |
Business Associate Agreement (BAA)
Sinatutako BAA bat beharrezkoa da bezero batek vitalera-ren bidez PHI prozesatu aurretik. Jar zaitez harremanetan legal@vitalera.io helbidearekin gure BAA eredu estandarra eskatzeko edo enpresa-hedapenetarako baldintzak negoziatzeko.
vitalera-ren BAAk hau estaltzen du:
- PHI-aren baimendutako erabilerak eta ezagutzera emateak
- Business Associate gisa vitalera-ri eskatzen zaizkion babes-neurriak
- Segurtasun-urraketen jakinarazpen-betebeharrak eta epeak
- Azpikontratistenganako hedapen-baldintzak
- Amaiera-baldintzak eta PHI itzultzea edo suntsitzea
Security Rule-ren babes-neurriak
HIPAA Security Rule-k (45 CFR 164 Subpart C) PHI elektronikorako (ePHI) babes administratibo, fisiko eta teknikoak eskatzen ditu. vitalera-k horietako bakoitza zuzenean ezartzen du gure ISO 27001:2022 arauarekin ziurtatutako Informazio-segurtasunaren Kudeaketa Sisteman definitutako kontrolen bidez.
Babes teknikoak (45 CFR 164.312)
| Kontrola | Ezarpena |
|---|---|
| Access Control | Erabiltzaileen identifikazio esklusiboa, roletan oinarritutako sarbide-kontrola (RBAC), saio automatikoen amaiera |
| Audit Controls | Aldatu ezineko auditoria-erregistroak PHI-rako sarbide guztietarako, gorde eta anomaliak monitorizatuta |
| Integrity | Hash kriptografikoa, datu-base mailako osotasun-murrizketak, aldatu ezineko gertakari-erregistroak |
| Person or Entity Authentication | Faktore anitzeko autentifikazioa (MFA) profesionalentzat, JWT token labur iraunkorrekin, DPoP SDKrentzat |
| Transmission Security | TLS 1.2+ sareko komunikazio guztietarako, muturretik muturrerako enkriptazioa karga sentikorrentzat |
Babes administratiboak (45 CFR 164.308)
| Kontrola | Ezarpena |
|---|---|
| Security Management Process | ISO 27001:2022 arabera etengabeko arrisku-analisia, urteroko barne-auditoria, dokumentatutako arrisku-tratamenduaren plana |
| Assigned Security Responsibility | Information Security Officer eta Data Protection Officer izendatuak |
| Workforce Security | Aurrekarien egiaztapenak, roletan oinarritutako sarbide-esleipena, sartze- eta irteera-prozedura formalak |
| Information Access Management | Pribilegio minimoaren printzipioa, sarbide-berrikuspenak, garapenaren eta ekoizpenaren arteko funtzio-banaketa |
| Security Awareness and Training | PHI tratatzen duen langile guztientzako urteroko derrigorrezko segurtasun- eta pribatutasun-prestakuntza |
| Security Incident Procedures | Dokumentatutako gertakarien erantzun-plana, 24/7 monitorizazioa, eskalatzeko eta komunikatzeko bide egituratuak |
| Contingency Plan | Eguneroko babeskopia automatizatuak, denboran zehar berreskuratzea, eskualde anitzeko hondamen-berreskuratzea, dokumentatutako runbook-ak |
| Business Associate Contracts | Beherako BAAk PHI prozesatzen duten azpikontratista guztiekin |
Babes fisikoak (45 CFR 164.310)
vitalera AWS azpiegituran exekutatzen da EBn (eu-west-1, Irlanda) eta AEBetako eskualdea eskuragarri dago eskaeraren arabera. AWS datu-zentroek SOC 2 Type II, ISO 27001, ISO 27017 eta ISO 27018 arauetan ziurtatutako babes fisikoak ezartzen dituzte:
- Instalazioetarako sarbide-kontrolak 24/7 segurtasunarekin, autentifikazio biometrikoarekin eta bideo-zaintzarekin
- Lanpostuen erabilera-politikak vitalera-ren langile guztien gailuetan aplikatuta
- Gailu eta euskarrien kontrolak, hardwarearen behar bezalako ezabatze segurua eta biltegiratzearen ezabatze kriptografikoa barne
PHI-aren enkriptazioa
| Egoera | Ezarpena |
|---|---|
| Atsedenaldian | AES-256 AWS KMS bidez, datu-base kudeatuetan, objektu-biltegiratzean eta babeskopietan |
| Garraioan | TLS 1.2+ API, SDK, webhook eta administrazio-trafiko guztirako |
| Gakoen kudeaketa | Gakoak AWS KMSen kudeatuta, errotazio automatikoarekin eta hardwarean oinarritutako babesarekin |
Segurtasun-urraketen jakinarazpena
vitalera-k HIPAA Breach Notification Rule (45 CFR 164.400-414) betetzen du eta, dagokionean, HITECH Act-aren eskakizun zorrotzagoak:
- Bezeroak 60 egunen barruan jakinarazten dira babestu gabeko PHI-aren edozein urraketa aurkitzeaz, askotan askoz lehenago
- Jakinarazpenek urraketaren izaera, PHI mota inplikatuak, hartutako arintze-ekintzak eta Covered Entity-arentzat gomendatutako urratsak barne hartzen dituzte
- vitalera-k Covered Entity-aren jakinarazpen-betebeharrei laguntzen die, pertsona kaltetuenganako, Office for Civil Rights (OCR) erakundearenganako eta (dagokionean) hedabideenganako
Datuen egoitza AEBetako bezeroentzat
HIPAA-k ez du AEBetako datuen egoitza derrigorrez eskatzen. Hala ere, vitalera-k AEBetako eskualdean hedatzeko aukera ematen du barne-politikek datuak bertan biltegiratzea eskatzen dituzten bezeroentzat. Jar zaitez harremanetan support@vitalera.io helbidearekin onboarding prozesuaren barruan eskualde-hautaketa aztertzeko.
Bezeroaren erantzukizunak
Covered Entity gisa, bezeroak honen erantzukizuna du:
- Pazientearen baimena lortzea behar den kasuetan
- Bere langileentzat vitalera-n sarbide-politika egokiak konfiguratzea
- HIPAA Privacy Rule-ren araberako bere betebeharrak betetzea, Notice of Privacy Practices eta pazientearen eskubideen eskaerei erantzutea barne
- Bere langileak HIPAAn eta vitalera-ren segurtasun-ezaugarrietan trebatzea
- Bezeroaren aldeko segurtasun-gertakariak vitalera-ri azkar jakinaraztea
Betetze lotua
- ISO 27001 — HIPAA Security Rule-ren babesak sostengatzen dituzten informazio-segurtasuneko kontrolak
- SOC 2 — Trust Service Criteria-ren lerrokatzea enpresa-hornitzaileen berrikuspenetarako
- GDPR — EBko datu-subjektuentzako betebehar osagarriak
- Datuen segurtasuna — Segurtasun-arkitektura teknikoaren ikuspegi orokorra
Kontaktua
BAA eskaeretarako, HIPAA galderetarako edo segurtasun-berrikuspenetarako, jar zaitez harremanetan legal@vitalera.io edo support@vitalera.io helbideekin.