使用 Google Workspace 和 Cloud Identity 时如何确保遵从 HIPAA 法规

我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。对于需要遵从《健康保险流通与责任法案》(HIPAA) 中相关要求的客户,Google Workspace 和 Cloud Identity 可以提供支持来确保他们符合 HIPAA 法规遵从要求。

根据 HIPAA 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。如果 Google Workspace 和 Cloud Identity 客户需要遵从 HIPAA,而且希望使用 Google Workspace 或 Cloud Identity 来处理 PHI,那么他们必须与 Google 签署业务伙伴协议 (BAA)

Google Workspace 和 Cloud Identity 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Google 服务处理 PHI。尚未与 Google 签署 BAA 的客户不得将 Google 服务用于 PHI 的处理。

管理员必须先详阅并接受 BAA ,然后才能使用 Google 服务处理 PHI。请参阅 HIPAA Included Functionality(HIPAA 包含的功能),了解在 HIPAA 法规遵从要求下可以使用哪些 Google Workspace 产品。

我们发布了 Google Workspace and Cloud Identity HIPAA Implementation Guide(Google Workspace 和 Cloud Identity HIPAA 实施指南),帮助客户了解在处理 PHI 时如何整理 Google 服务中的数据。这份指南专为单位中的相关负责人撰写,旨在帮助他们针对 Workspace 和 Cloud Identity 实施 HIPAA 并遵从相关法规。

常见问题解答

如何获取以电子形式接受的 HIPAA BAA 的副本?

HIPAA BAA 是通过管理控制台向客户提供的,客户接受的是电子版协议。此电子版协议与纸质协议拥有相同的约束力,即具有相同的法律效力。如需表明接受了 HIPAA BAA 电子版,客户可以对“法律及法规遵从”部分显示的管理控制台/HIPAA 协议接受日志进行屏幕截图。此事件也会反映在管理控制台审核日志中。

Google Workspace BAA 是否涵盖第三方应用?

BAA 涵盖的功能不包含第三方应用(包括插件)。请参阅我们的 HIPAA Implementation Guide(HIPAA 实施指南),以便了解更多信息。

我应该如何以符合 HIPAA 法规遵从要求的方式向外部网域发送文档?

无论是在与 Google Workspace 网域内还是与网域外的用户共享 PHI 时,客户都应遵循所在单位有关处理 PHI 的政策。客户可以为 Google Workspace 网域内和网域外的用户选择相应的共享方式,以便符合这些政策的要求以及与 Google Workspace 的全网域设置保持一致。针对在 Google Workspace 网域中限制对 PHI 的访问权限,HIPAA Implementation Guide(HIPAA 实施指南)提供了相关指南,例如与特定接收者(而不是知道链接的任何人)共享内容。

Google 有没有计划添加目前不在 HIPAA 涵盖功能中的 Google 产品?

Google 会继续评估 Included Functionality(涵盖的功能)的范围,并且日后可能会包含更多产品。请注意,Google Workspace 数据处理修订协议 (DPA) 和 Google Workspace BAA 条款均尚未覆盖其他 Google 服务。Google 会继续评估对其他 Google 服务实施额外管控的方法,并且可能会随时在服务功能中引入这类管控方法。

另请参阅

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题