Соответствие HIPAA и Windows 10: 5 вещей, которые вам нужно знать

Windows, Apple и Google записывают ваши действия в своих операционных системах. Например, когда вы загружаете приложение, они отслеживают такие точки данных, как то, что вы скачали, сколько вы заплатили, чем вы заплатили и где вы были, когда вы его загрузили.

Windows 10 отслеживает больше пользовательских данных, чем когда-либо. Это может повлиять на соблюдение требований HIPAA и HITECH.

Windows не раскрывала, какие данные собирает новая операционная система. И сделал конфиденциальность несколько неуловимой. Например, Windows 10 отправляет данные пользователя Microsoft, даже если настроена максимальная конфиденциальность .

Именно это побудило пользователя HealthCareProfessional спросить на форуме вопросов Microsoft, соответствует ли Windows 10 требованиям HIPAA и HITECH .

«У меня медицинский бизнес, и нарушение правил HIPAA и HITECH могло бы меня обанкротить. Если я нарушу их, зная, что совершил нарушение - например, при установке программного обеспечения, которое открыто и прямо заявляет, что оно будет отслеживать мои личные файлы и электронные письма, - тогда мне грозят не только штрафы, но и тюремное заключение. Мне не удалось найти в сети ничего, что говорило бы о том, что я смогу отключить ВСЮ функцию навязчивого слежения, встроенную в Win 10, и я вижу предупреждение о том, что если что-то отключено, я потеряет большую часть функциональности новой системы. Однако я застрял в ловушке-22: по закону я должен поддерживать свои компьютерные системы с самыми последними версиями моего программного обеспечения, но я не собираюсь устанавливать что-то, что могло бы отправить меня в тюрьму. ”

1. Microsoft не выпустила инструкции по настройке Windows 10 для соответствия требованиям HIPAA и HITECH.

В ответ Microsoft переместила вопрос из форума вопросов в форум обсуждения.

2. Соответствие HIPAA и HITECH для других продуктов Windows требует BAA.

Когда я искал информацию о Windows 10 и HIPAA и соблюдение HiTech, я нашел Реализация Microsoft Azure HIPAA Act / HITECH Руководство и осуществление HIPAA / HITECH Закон Guidance для Microsoft 365 и Microsoft Dynamics CRM Online .

Эти руководства инструктируют компании, которые хотят хранить PHI (личную медицинскую информацию) в Microsoft Azure , Office 365 и Microsoft Dynamics CRM Online, подписать соглашение о бизнес-партнерстве (BAA). Пользователи Office 365 могут получить BAA с подписками уровня Business, а также с подписками Office 365 Enterprise .

Для Azure: «В настоящее время Microsoft предлагает BAA только своим клиентам по соглашению Enterprise (корпоративное лицензирование) и только для услуг, перечисленных в разделе« Объем »ниже. Клиенты должны связаться со своим менеджером по работе с клиентами Microsoft, чтобы подписать BAA ». Гиды также инструктируют предприятия о том, где и как хранить PHI.

3. Microsoft отказывается нести ответственность за соблюдение нормативных требований.

Из Руководства по внедрению Закона HIPAA / HITECH для Microsoft 365 и Microsoft Dynamics CRM Online:

«В конечном итоге ответственность за определение уровня безопасности, соответствующего его требованиям, лежит на заказчике».

4. По умолчанию продукты Microsoft не соответствуют требованиям.

«Хотя клиенты могут использовать Office 365 и CRM Online и оставаться в соответствии с HIPAA и HITECH Act, использование Office 365 и CRM Online само по себе не обеспечивает соответствия HIPAA».

5. Только Windows 10 Корпоративная позволяет отключить сбор данных.

Магазины, использующие обычные домашние пользовательские версии Windows, Windows 10 Home и Windows 10 Pro, не могут настраивать сбор данных и отчетность.

Итог: до тех пор, пока Windows не выпустит инструкции для соответствия HIPAA и HITECH, не выполняйте обновление до Windows 10, если вы имеете дело с PHI.