Ultimamente abbiamo discusso in ufficio se alcune soluzioni basate su cloud sono conformi HIPAA o meno. Microsoft 365 è il marchio scelto mentre sposta i suoi servizi come e-mail, archiviazione e chat nel cloud.
Ai fini di questo post, ci concentreremo sul componente e-mail di Microsoft 365.
Sappiamo che il settore HIPAA è vasto, quindi possiamo entrare in empatia con quante persone hanno bisogno di utilizzare servizi basati su cloud in questo settore.
Nei post precedenti, abbiamo coperto le seguenti soluzioni cloud e le loro capacità per la conformità HIPAA:
- Amazon CloudFront
- iCloud di Apple
- Box
- Citrix ShareFile
- Dropbox
- FaceTime
- Google Drive
- Moduli Google
- Hangout di Google
- Slack
- Yammer
- Zoho
- Zoom
L’obiettivo di questo post è quello di determinare se Microsoft office 365 offre conforme HIPAA e-mail o non.
VEDI ANCHE: Violazioni HIPAA e fornitori di cloud
Informazioni su Microsoft 365
Microsoft 365 è il marchio che Microsoft utilizza per un gruppo di sottoscrizioni di software e servizi, che insieme forniscono software di produttività e servizi correlati agli abbonati.
Per gli utenti aziendali, Microsoft 365 offre piani di servizio che forniscono e-mail, chat, cloud storage e accesso al software Microsoft Office.
Microsoft 365 e il Business Associate Agreement
In precedenza abbiamo parlato di come un Business Associate Agreement (BAA) è un contratto scritto tra un’entità coperta e un Business Associate. È richiesto dalla legge per la conformità HIPAA per garantire la sicurezza e la privacy.
Abbiamo controllato il Microsoft Azure Trust Center e abbiamo trovato una pagina chiamata HIPAA e HITECH Act.
In esso, Microsoft sottolinea saggiamente:
“Attualmente non esiste una certificazione ufficiale per la conformità HIPAA o HITECH Act. Tuttavia, i servizi Microsoft coperti dalla BAA sono stati sottoposti a audit condotti da revisori indipendenti accreditati per la certificazione Microsoft ISO/IEC 27001.”
Abbiamo anche trovato in quella pagina che diverse versioni di Microsoft 365 sono coperti da BAA di Microsoft. Quelle versioni sono:
- Microsoft 365
- Microsoft 365 U. S. Government
- Microsoft 365 U. S. Government Defense
Microsoft 365 offre un servizio conforme HIPAA?
Il contratto di business Associate è un componente chiave per la conformità HIPAA tra un’entità coperta e un business associate. Poiché Microsoft 365 ne offre uno, concludiamo che può essere una soluzione di posta elettronica compatibile con HIPAA.
Conclusione: Tre versioni di Microsoft 365 sono conformi HIPAA e sono in grado di rispettare la conformità normativa per le organizzazioni sanitarie.
Assicurati di firmare un BAA con Microsoft prima di utilizzare Microsoft 365 per archiviare o trasmettere qualsiasi informazione sanitaria protetta (PHI).