我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。对于需要遵从《健康保险流通与责任法案》(HIPAA) 中相关要求的客户,Google Workspace 和 Cloud Identity 可以帮助他们满足 HIPAA 法规遵从要求。
根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Google Workspace 和 Cloud Identity 客户需要遵从 HIPAA,而且希望使用 Google Workspace 或 Cloud Identity 处理 PHI,那么他们必须与 Google 签署业务伙伴协议 (BAA)。
Google Workspace 和 Cloud Identity 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。尚未与 Google 签署 BAA 的客户不得将 Google 服务用于 PHI 的处理。
管理员必须先详阅并接受 BAA,然后才能使用 Google 服务处理 PHI。请参阅符合 HIPAA 规定的可用服务,了解在 HIPAA 法规遵从要求下可以使用哪些 Google Workspace 产品。
我们发布了《Google Workspace 和 Cloud Identity HIPAA 实施指南》,旨在帮助客户了解在处理 PHI 时如何使用 Google 服务来整理数据。这份指南面向组织内负责 HIPAA 实施工作以及确保在使用 Google Workspace 和 Cloud Identity 时遵从 HIPAA 法规的员工。
常见问题解答
如何获取以电子形式接受的 HIPAA BAA 的副本?HIPAA BAA 是通过管理控制台向客户提供的,客户接受的是电子版协议。此电子版协议与纸质协议拥有相同的约束力,即具有相同的法律效力。如需表明接受了 HIPAA BAA 电子版,客户可以对法律及法规遵从部分显示的管理控制台/HIPAA 协议接受日志进行屏幕截图。在超级用户账号中,进入管理控制台首页,然后进入账号设置 法律及法规遵从。
BAA 涵盖的功能不包含第三方应用(包括插件)。请参阅我们的 HIPAA 实施指南,了解更多信息。
在与 Google Workspace 网域内和网域外的用户共享 PHI 时,客户都应遵循所在组织有关处理 PHI 的政策。客户可以为 Google Workspace 网域内和网域外的用户选择相应的共享方式,以便符合这些政策的要求以及与 Google Workspace 的全网域设置保持一致。如果要在 Google Workspace 网域内限制对 PHI 的访问权限,例如与特定接收者共享该信息,而不是与任何知道链接的人共享,则可以参考 HIPAA 实施指南中的说明。
Google 会继续评估可用服务的范围,并且日后可能会纳入更多产品。请注意,《云端数据处理附录》(CDPA) 和 Google Workspace BAA 条款均未涵盖附加 Google 服务。Google 会继续评估对附加 Google 服务实施额外管控的方法,并且可能会随时在服务功能中引入这类管控方法。