美国于 1996 年颁布的《健康保险流通和责任法案》(HIPAA),确立了使用、披露和安全存储受保护健康信息(PHI)的要求。该法案在 2009 年通过《经济与临床医疗健康信息技术法案》(HITECH)修订案进行了更新。
受 HIPAA 约束的覆盖实体(包括医生、医院和健康保险公司)及其附属业务伙伴必须实施和维护一套旨在保护受保护健康信息 (PHI) 的技术、管理和物理控制措施。
报告和其他文档
客户可以使用 IBM® Cloud 构建 HIPAA 就绪环境和应用程序。
当客户覆盖实体选择在使用 IBM Cloud 服务的同时管理 PHI 时,IBM 是该覆盖实体的业务伙伴。IBM 也可能是作为覆盖实体的业务伙伴的第三方供应商的业务伙伴。IBM Cloud 有政策和程序来证明其作为业务伙伴遵守 HIPAA 义务,包括 PHI 在 IBM Cloud 中的情况。
受 HIPAA 约束且希望使用 IBM Cloud 产品处理 HIPAA 受管制数据的 IBM 客户必须与 IBM 签订业务合作伙伴协议 (BAA),该协议定义了覆盖实体、IBM 和共同承担的责任。IBM Cloud 目录客户可以配置 IBM Cloud 帐户以使用 HIPAA 就绪服务,在此过程中,客户必须接受 IBM BAA。IBM BAA 也可以通过联系 IBM 销售代表来履行。如需查阅 IBM Cloud BAA,请前往 IBM SLA 条款 BAA 页面。
IBM Cloud 还要求与符合 IBM 业务伙伴资格的供应商签订 BAA,要求他们对 HIPAA 受管制数据采取相同的保护措施。
客户将 IBM Cloud 帐户配置为使用 HIPAA 就绪服务后,这些服务就会在 IBM Cloud 目录中标识出来,帮助客户了解他们是否选择了 HIPAA 就绪产品。
IBM 服务描述 (SD) 指示给定产品是否保持 HIPAA 就绪状态。
处于 HIPAA 就绪状态的 IBM Cloud 服务如下所列。