Haftungsausschluss: Ich bin kein Anwalt.
Zunächst einige Lektüre erforderlich:
Microsoft Azure Trust Center
HIPAA Business Associate Agreement (BAA)
HIPAA und HITECH Act sind US-amerikanische Gesetze, die für Einrichtungen des Gesundheitswesens gelten, die Zugang zu Patienteninformationen haben (Protected Health Information oder PHI). In vielen Fällen muss der Dienstanbieter in einer schriftlichen Vereinbarung die Einhaltung bestimmter Sicherheits- und Datenschutzbestimmungen in HIPAA und HITECH Act vereinbaren, damit ein versichertes Gesundheitsunternehmen einen Cloud-Dienst wie Azure nutzen kann. Um Kunden bei der Einhaltung von HIPAA und HITECH Act zu unterstützen, bietet Microsoft Kunden einen BAA als Vertragszusatz an.
Microsoft bietet die BAA derzeit Kunden an, die über eine Volumenlizenz- / Unternehmensvereinbarung (EA) oder eine reine Azure-EA-Registrierung bei Microsoft für In-Scope-Dienste verfügen. Der Azure only EA hängt nicht von der Sitzgröße ab, sondern von einer jährlichen finanziellen Verpflichtung gegenüber Azure, die es einem Kunden ermöglicht, einen Rabatt auf die Bezahlung zu erhalten, wenn Sie die Preise festlegen.
Vor der Unterzeichnung des BAA sollten Kunden die Azure HIPAA-Implementierungsanleitung lesen. Dieses Dokument wurde entwickelt, um Kunden, die an HIPAA und dem HITECH Act interessiert sind, dabei zu helfen, die relevanten Funktionen von Azure zu verstehen. Zu den Zielgruppen gehören Datenschutzbeauftragte, Sicherheitsbeauftragte, Compliance-Beauftragte und andere in Kundenorganisationen, die für die Implementierung und Einhaltung von HIPAA- und HITECH-Gesetzen verantwortlich sind. Das Dokument enthält einige der Best Practices zum Erstellen von HIPAA-kompatiblen Anwendungen sowie Einzelheiten zu Azure-Bestimmungen für die Behandlung von Sicherheitsverletzungen. Während Azure Funktionen enthält, die die Einhaltung der Datenschutz- und Sicherheitsbestimmungen des Kunden ermöglichen, sind Kunden dafür verantwortlich, dass ihre besondere Verwendung von Azure der HIPAA, dem HITECH Act und anderen geltenden Gesetzen und Vorschriften entspricht.
Kunden sollten sich an ihren Microsoft-Kundenbetreuer wenden, um die Vereinbarung zu unterzeichnen.
Möglicherweise müssen Sie einen BAA bei Ihrem Cloud-Anbieter (Azure) unterzeichnen. Fragen Sie Ihren Compliance-Vertreter.
Hier finden Sie die Azure HIPAA-Implementierungsanleitung .
Es ist möglich, Azure so zu verwenden, dass es den Anforderungen von HIPAA und HITECH Act entspricht.
Azure-VMs, Azure SQL- und SQL Server-Instanzen, die in Azure-VMs ausgeführt werden, sind alle im Umfang enthalten und werden hier unterstützt.
Bitlocker reicht für die Verschlüsselung ruhender Daten aus. Es verwendet die AES-Verschlüsselung auf eine Weise, die die HIPAA-Anforderungen (sowie die Anforderungen anderer ähnlicher Organisationen) für die Verschlüsselung ruhender Daten erfüllt.
Darüber hinaus speichert SQL Server keine unverschlüsselten, vertraulichen Daten auf dem Betriebssystemlaufwerk, es sei denn, Sie konfigurieren SQL dafür ... wie zum Beispiel die Konfiguration von TempDB für das Betriebssystemlaufwerk oder ähnliches.
Die Verschlüsselung von Zellen / Feldern / Spalten in einzelnen Datenbanken ist nicht unbedingt erforderlich, vorausgesetzt, Sie haben bereits die Anforderungen für die Verschlüsselung ruhender Daten auf andere Weise erfüllt, z. B. TDE oder Bitlocker.
Möglicherweise entscheiden Sie, wie Sie den Bitlocker-Verschlüsselungsschlüssel verwalten, da er sich nicht in einem TPM-Chip oder auf einem austauschbaren USB-Laufwerk befindet, da Sie keinen Zugriff auf den physischen Computer haben. (Lassen Sie einen Systemadministrator bei jedem Neustart des Servers manuell ein Kennwort eingeben, um das Datenlaufwerk zu entsperren.) Dies ist eine Art Hauptattraktion für Dienste wie CloudLink, da diese diesen heiligen Verschlüsselungsschlüssel für Sie verwalten.