HIPAA实施指南
本页为历史目的而保存。有关Smartsheet和HIPAA的最新信息,请访问我们的HIPAA帮助文章。
《健康保险流通与责任法案》(HIPAA"),包括促进经济和临床健康的卫生信息技术("高科技的")法案,是一项美国法律,适用于可能访问患者信息的医疗保健行业的公司和其他实体(称为"受保护的运行状况信息,或。φ”)。
本智能表HIPAA实施指南适用于负责HIPAA实施和合规性的组织中的安全官员、合规官员、IT管理员和其他员工。本指南将允许目标用户以符合hipaa的方式实现使用Smartsheet所需的特性和功能。这些特性和功能仅适用于Smartsheet协作工作管理平台的企业(不包括Legacy Enterprise)计划用户;没有特定于hipaa的智能表产品或服务。ob欧宝娱乐app手机下载与Smartsheet一起输入的BAA(定义见下文)将适用于所有客户计划;Smartsheet将所有计划(如果不止一个)识别为客户以符合hipaa的方式使用,并且必须在企业(不包括遗留企业)级别购买。
此处使用但未定义的任何大写术语应具有HIPAA或管理Smartsheet协作工作管理平台使用的协议(“认购协议”)。
共同责任模式。
Smartsheet在客户和Smartsheet之间采用共享责任模型。Smartsheet将提供物理、组织和技术控制,旨在确保客户内容的安全性、完整性和保密性。
客户有责任确定其是否是HIPAA下的承保实体或业务伙伴(以及是否需要与Smartsheet签订业务伙伴协议),并确保其按照HIPAA使用Smartsheet的订阅服务。受HIPAA约束并希望与PHI一起使用订阅服务的Smartsheet客户必须签署Smartsheet业务伙伴协议(BAA)。
"客户"还应对其"客户内容"负责;责任可能包括根据HIPAA的要求履行个人的访问权、修改权和会计权。Smartsheet收到的有关PHI的任何请求均应提交给客户。Smartsheet将为客户提供适当的支持,以促进客户对请求的响应。
将phi存储为客户内容。
使用“订阅服务”存储的所有“客户内容”均以加密形式(在传输中和静止状态)进行维护。客户内容通过安全控制防止未经授权的访问,提供相当于逻辑隔离的保护。Smartsheet与亚马逊网络服务(AWS)签订了业务合作协议,使客户能够以符合hipaa的方式在订阅服务中存储文件附件。如果客户选择通过第三方(即Box)存储附件,则客户全权负责确保适当的业务伙伴协议到位。Smartsheet不会访问客户内容,除非:(a)客户要求提供客户支持;以及(b) Smartsheet在必要时(i)遵守适用法律或法律程序,或(ii)调查、防止或对涉嫌滥用、欺诈或违反《认购协议》的行为采取行动。
使用带有phi的智能表。
Smartsheet提供可定制的设置,以确保客户内容的安全、使用和访问符合客户的要求,并在Smartsheet和客户之间的BAA允许的范围内。请注意,就BAA或本指南而言,附加组件不是底层订阅服务的一部分,并且Smartsheet不表示附加组件的实现或使用符合HIPAA。确保客户使用Smartsheet符合HIPAA的义务是客户的责任。帮助客户解决订阅服务中有关HIPAA合规性的具体问题的一些可行建议包括:
提供客户用户信息。客户可以创建对客户用户可见的登录页面。此登录页面可以包含客户用户的信息和提醒,以便正确使用和管理客户内容,以保持hipaa合规性。如果您需要协助为您的员工开发登录页面,您的系统管理员可以联系指定给您帐户的Smartsheet代表,但可能需要支付专业服务费。请参阅"自定义欢迎信息和升级屏幕获取更多信息。
管理访问。客户负责管理“客户用户”的登录凭据,确保“客户用户”的密码(由“客户用户”确定)符合复杂度标准并及时轮换。客户还必须保护客户用户身份和凭证(姓名、电子邮件地址和/或密码)以及可用于访问其订阅服务中托管的PHI的工作站。客户同意将其所知的任何未经授权的访问或使用及时通知Smartsheet。如果用户希望使用单点登录,Smartsheet应在向客户提供订阅服务时支持SAML SSO 2.0,并继续支持SAML SSO的后续版本。请参阅"配置saml2单点登录到智能表,了解如何使用单点登录功能的更多细节和说明。请参阅"查看登录历史"和"管理认证选项,以获取有关如何监控登录和访问订阅服务的详细信息和说明。
管理客户用户。客户指定的系统管理员将有能力和责任限制客户用户访问包含PHI的表格、报告和视图。请参阅"安全控制,以获取有关如何使用SysAdmin(s)控制功能的更多详细信息和说明。为了管理客户用户对订阅服务中不同工作表的访问,系统管理员将负责创建单独的工作区,用于组织工作表、报告、模板和子文件夹。请参阅"管理团队、业务或企业计划中的用户"和"工作空间的概述,了解如何利用工作环境的更多细节和指导。客户可以通过设置自动配置来确保客户用户只使用企业计划下的帐户,自动配置将控制客户域下帐户的创建。请参阅"用户Auto-Provisioning,了解系统管理员如何确保在正确的企业计划下创建帐户的详细信息和说明。
转移客户用户和内容。客户用户可能被邀请加入其他计划,或要求转移到其他计划。如果客户用户从客户的计划转移到另一个计划,该客户用户“拥有”的任何表格也将被转移。“客户”的系统管理员有权请求、接受或拒绝“客户”用户向“客户”计划的转移或从“客户”计划的转移。“用户”全权负责管理“订阅服务”支持的“客户内容”的所有转移,包括“客户内容”在计划之间的任何转移。因此,系统管理员可能需要限制客户用户(和/或其客户内容)在计划之间的转移,以确保PHI不会转移到没有适当HIPAA控制的计划中。请参阅"删除用户,以获取更多资料,以及有关移走及转移纸张的指示。
管理共享控件。通过定制工作区,SysAdmin将有能力决定哪些工作表、报告和视图可以共享和发布,哪些项目不能(例如,那些包含PHI的工作表)。请参阅"发布智能表格项目”、“共享表,”“共享权限级别,以及“发布选项”部分全局帐户设置,了解如何使用表格共享功能的更多细节和说明。系统管理员还将能够控制客户用户能够共享表格、报告和视图的域。系统管理员需要建立一个经批准的域共享列表,以限制客户用户的共享能力。请参阅"安全控制,以获取有关如何使用域名共享选项的更多细节和说明。
监控活动。除了上面描述的登录监控之外,获得许可的系统管理员和客户用户还可以通过活动日志和单元历史记录监控工作表。客户用户能够向工作表添加最后修改日期列,以便监控工作表中PHI的年龄。为免生疑问,遵守HIPAA数据保留要求是客户的责任,而不是Smartsheet的责任。请参阅"跟踪对带有活动日志的工作表所做的历史更改”、“查看登录历史, "和"查看细胞历史,以获取有关如何利用Smartsheet中可用的监控活动功能的更多细节和说明。请参阅"列类型以获取有关如何使用修改后的日期列的进一步细节和说明。或者,用户可以通过使用单点登录功能,在其自己的域(
使用限制。
允许患者访问智能表。客户不应以患者创建用户帐户或协作者的方式使用订阅服务。如果客户希望从患者那里获得数据,则应该通过使用表单来完成。请参阅"制作表格收集表格中的信息”,以了解如何使用表格收集资料的详情和指示。
传输内容。如果系统管理员允许客户用户在订阅服务中共享PHI,则客户用户应仅使用共享功能,该功能仅发送到表单的链接。客户用户不应使用发送附件功能,该功能将工作表数据导入PDF或Excel文件以进行传输。Smartsheet对用户之间的通信进行加密,但附件本身没有类似的保护。希望通过电子邮件发送PHI的客户用户可以将数据导出到单独的文档中,并通过其正常的公司传输协议通过电子邮件发送该文档。
使用附加组件。客户有责任确保在共享或传输PHI之前,针对任何附加组件(包括连接器和合作伙伴应用程序)采取适当的符合hipaa的措施。在使用订阅服务或与订阅服务集成的任何应用程序共享PHI之前,客户全权负责确定其是否需要与第三方签订BAA或任何其他数据保护。此外,Smartsheet建议客户在使用PHI时不要使用实验室应用程序。实验室应用程序是预发布功能,使用实验室应用程序附带或不附带PHI的任何风险和责任由客户自行承担。
安全实践和报告。
安全实践。Smartsheet实现了与SANS研究所、国家标准与技术研究所(NIST)和/或互联网安全中心(CIS)建议或行业中广泛使用的后续标准一致的加固和配置要求。
笔测试。除高级应用程序外,Smartsheet使用外部安全专家对订阅服务进行渗透测试。此类检测(a)至少每年进行一次;(b)将由独立的第三方安全专业人员执行,费用由Smartsheet选择并承担;及(c)会产生渗透测试报告(“渗透测试报告”)。
系统审计。Smartsheet每年使用外部审计师来验证其围绕订阅服务(不包括高级应用程序)的安全措施的充分性。审计:(a)将包括自上一个计量期结束以来的整个计量期的测试;(b)将按照AICPA SOC2标准或实质上等同于AICPA SOC2的其他替代标准执行;(c)将由独立的第三方安全专业人员执行,费用由Smartsheet选择并承担;以及(d)将产生一份审计报告(“审计报告”)。
访问报表。应书面要求,客户可获得渗透测试报告和审计报告,但不得超过每年一次,但须遵守双方同意的关于报告的保密协议。为免生疑问,提供给客户的任何此类报告均为Smartsheet的机密信息。
持续的支持。
Smartsheet员工经过培训,可以与符合hipaa的客户一起工作。提醒客户尽量减少与Smartsheet共享PHI,但如果无法避免,客户应在不再需要时使用上述功能终止共享。
额外的资源。欧宝体育app官方888
这些额外的资源虽然不是特定于hip欧宝体育app官方888aa的,但可以帮助您了解订阅服务是如何设计的,并考虑到数据的隐私性、机密性和可用性。
本智能表HIPAA实施指南仅供参考。Smartsheet无意将本指南中的信息或建议构成法律意见。每个用户应酌情独立评估其对“订阅服务”的使用情况,以支持其法律合规义务。Smartsheet对本文档中的信息不作任何明示、暗示或法定的保证。
问题:
任何其他问题请直接向privacy@smartsheet.com。
最后更新日期:2017年12月28日