我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。对于需要遵从《健康保险流通与责任法案》(HIPAA) 中相关要求的客户,Google Workspace 和 Cloud Identity 可以帮助他们满足 HIPAA 法规遵从要求。
根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Google Workspace 和 Cloud Identity 客户需要遵从 HIPAA,而且希望使用 Google Workspace 或 Cloud Identity 处理 PHI,那么他们必须与 Google 签署业务伙伴协议 (BAA)。
Google Workspace 和 Cloud Identity 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。尚未与 Google 签署 BAA 的客户不得将 Google 服务用于 PHI 的处理。
管理员必须先详阅并接受 BAA,然后才能使用 Google 服务处理 PHI。请参阅符合 HIPAA 规定的可用服务,了解在 HIPAA 法规遵从要求下可以使用哪些 Google Workspace 产品。
我们发布了Google Workspace and Cloud Identity HIPAA Implementation Guide,旨在帮助客户了解在处理 PHI 时如何使用 Google 服务来整理数据。这份指南面向组织内负责 HIPAA 实施工作以及确保在使用 Google Workspace 和 Cloud Identity 时遵从 HIPAA 法规的员工。
常见问题解答
如何获取以电子形式接受的 HIPAA BAA 的副本?HIPAA BAA 是通过管理控制台向客户提供的,客户接受的是电子版协议。此电子版协议与纸质协议拥有相同的约束力,即具有相同的法律效力。如需表明接受了 HIPAA BAA 电子版,客户可以对管理控制台法律及法规遵从部分显示的HIPAA 协议接受日志进行屏幕截图。在超级用户账号中,进入管理控制台首页,然后进入账号设置 法律及法规遵从。
BAA 涵盖的功能不包含第三方应用(包括插件)。请参阅我们的Google Workspace and Cloud Identity HIPAA Implementation Guide,了解更多信息。
在与 Google Workspace 网域内和网域外的用户共享 PHI 时,客户都应遵循所在组织有关处理 PHI 的政策。客户可以为 Google Workspace 网域内和网域外的用户选择相应的共享方式,以便符合这些政策的要求,并与 Google Workspace 的全网域设置保持一致。Google Workspace and Cloud Identity HIPAA Implementation Guide介绍了如何在 Google Workspace 网域内限制对 PHI 的访问权限,例如仅允许与特定接收者共享该信息,而不是与任何知道链接的人共享。
Google 会继续评估可用服务的范围,并且日后可能会纳入更多产品。请注意,《云端数据处理附录》(CDPA) 和 Google Workspace BAA 条款均未涵盖附加 Google 服务。Google 会继续评估对附加 Google 服务实施额外管控的方法,并且可能会随时在服务功能中引入这类管控方法。