Guia de implementação da HIPAA no Data Studio

Como trabalhar com Informações protegidas de saúde (PHI) no Data Studio.

Conforme a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), determinadas informações sobre a saúde e os serviços de assistência médica de uma pessoa são classificadas como Informações protegidas de saúde (PHI).

O Google tem o compromisso de garantir que os dados dos nossos clientes estejam seguros, protegidos e sempre disponíveis. O Data Studio está em conformidade com a HIPAA (no âmbito de um Adendo de Parceiro Comercial (BAA)), mas os clientes são os únicos responsáveis por avaliar se estão cumprindo essa legislação.

Este artigo tem como objetivo ajudar agentes de segurança e de conformidade, administradores de TI e outros funcionários de organizações responsáveis pela conformidade com a HIPAA a usar o Data Studio de uma forma que atenda às suas necessidades nesse sentido.

Exoneração de responsabilidade

Este guia é apenas informativo. As informações e recomendações fornecidas aqui pelo Google não constituem assessoria jurídica. Cada cliente é responsável por avaliar, de forma independente, o próprio uso do Data Studio conforme apropriado para cumprir as respectivas obrigações legais de conformidade.

Responsabilidades do cliente

Os clientes do Data Studio são responsáveis por determinar se estão sujeitos aos requisitos da HIPAA e se usam ou pretendem usar o Data Studio em conexão com PHI. Os clientes que estiverem sujeitos à HIPAA e quiserem usar o Data Studio com PHI precisam ler e aceitar o Adendo de Parceiro Comercial (BAA) do Data Studio com o Google antes de continuar. Quem não assinar o BAA do Data Studio com o Google não poderá usar o Data Studio com PHI.

Para ler e aceitar o BAA do Data Studio

  1. Faça login no Data Studio.
  2. No canto superior direito, clique em Configurações Configurações.
  3. À esquerda, selecione Conta e privacidade.
    1. Os administradores do Google Workspace e do Cloud Identity precisam selecionar Administrador do Enterprise.
  4. Preencha o formulário na seção Adendo de Parceiro Comercial do Data Studio conforme a HIPAA.

Como usar o Data Studio com PHI

Clientes do Data Studio que precisam cumprir a HIPAA podem usar o Data Studio com PHI de acordo com o BAA, desde que configurem o Data Studio para estar em conformidade com a HIPAA.

Para clientes do Google Workspace

O Workspace tem configurações específicas que podem ser ajustadas para garantir que os dados fiquem seguros e sejam usados e acessados somente de acordo com seus requisitos. Veja algumas recomendações úteis para lidar com problemas específicos.

Como monitorar a atividade da conta

Com os relatórios e registros do Admin Console, fica mais fácil verificar se existem possíveis riscos à segurança, avaliar a colaboração dos usuários, controlar quem faz login e quando, analisar a atividade dos administradores e muito mais. Para monitorar registros e alertas, os administradores podem ativar o recebimento de notificações quando ocorrerem eventos suspeitos. Outra opção é revisar relatórios e registros regularmente para examinar possíveis riscos de segurança. Por exemplo, o relatório do Admin Console do Data Studio pode exibir quais arquivos foram compartilhados com usuários de domínios externos. Os administradores precisam analisar esses relatórios periodicamente quando isso envolver funcionários que gerenciam PHI com o objetivo de garantir que elas não sejam compartilhadas acidentalmente.

Opções de compartilhamento

Os usuários do Data Studio podem controlar os recursos de edição e compartilhamento dos colaboradores quando isso envolver recursos do Data Studio. Recomendamos que os usuários evitem colocar PHI nos títulos desses ativos.

Os administradores podem definir permissões de compartilhamento de arquivos para o nível de visibilidade apropriado na conta do Workspace, além de "Restringir" ou "Permitir" que os usuários compartilhem documentos para fora do domínio. Recomendamos que você configure as permissões de compartilhamento para impedir que os usuários que trabalham com PHI enviem recursos do Data Studio para fora da organização.

Serviços de suporte técnico

Não forneça PHI ao Google quando acessar os serviços de suporte técnico do Data Studio.

Outros recursos

Uma das nossas maiores prioridades é garantir que os dados dos clientes estejam seguros, protegidos e sempre disponíveis. Para comprovar nossa conformidade com os padrões de segurança do setor, além da implementação do Adendo de Parceiro Comercial do Data Studio, o Google conquistou a certificação ISO 27001.

Isso foi útil?
Como podemos melhorá-lo?