HIPAA-naleving in G Suite en Cloud Identity

We vinden het erg belangrijk dat we onze klanten ervan kunnen verzekeren dat hun gegevens veilig en altijd voor hen beschikbaar zijn. Omdat we willen laten zien dat we beveiligingsstandaarden in de branche naleven, heeft Google verschillende beveiligingscertificaten aangevraagd en verkregen, zoals het ISO 27001-certificaat en controles volgens SOC 2 en SOC 3 Type II. G Suite en Cloud Identity bieden ook naleving van de vereisten in de Health Insurance Portability and Accountability Act (HIPAA) aan klanten die daaraan moeten voldoen.

Onder de HIPAA wordt bepaalde informatie over de gezondheid of gezondheidszorg van een persoon aangemerkt als beschermde gezondheidsinformatie (Protected Health Information, PHI). G Suite- en Cloud Identity-klanten die moeten voldoen aan de vereisten van de HIPAA en die G Suite of Cloud Identity willen gebruiken voor PHI, moeten een Business Associate-overeenkomst (Business Associate Agreement, BAA) met Google ondertekenen.

G Suite- en Cloud Identity-klanten zijn ervoor verantwoordelijk te bepalen of ze moeten voldoen aan de vereisten van de HIPAA en of ze Google-services gebruiken of van plan zijn te gaan gebruiken voor PHI. Klanten die geen BAA met Google hebben ondertekend, mogen de Google-services niet gebruiken voor PHI.

Beheerders moeten een BAA lezen en accepteren voordat ze Google-services gaan gebruiken voor PHI. Google biedt een BAA voor de services Gmail, Google Agenda, Google Drive (inclusief Documenten, Spreadsheets, Presentaties en Formulieren), Google Hangouts (alleen voor chatberichten), Hangouts Chat, Hangouts Meet, Google Keep, Google Cloud Search, Google Sites, Google Discussiegroepen, Google Tasks, Jamboard, Google Vault en Google Cloud Identity-beheer.

We hebben een HIPAA-implementatiehandleiding voor G Suite en Cloud Identity gepubliceerd waarin wordt uitgelegd hoe gegevens in Google-services moeten worden geordend wanneer deze worden gebruikt voor PHI. Deze handleiding is bestemd voor medewerkers van organisaties die verantwoordelijk zijn voor de implementatie en naleving van de HIPAA bij het gebruik van G Suite en Cloud Identity.

Was dit nuttig?
Hoe kunnen we dit verbeteren?