Looker Studio HIPAA 实施指南

根据《健康保险流通与责任法案》(HIPAA) 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。

Google 致力于确保客户的数据安全无虞,且随时可供客户访问。Looker Studio 提供 HIPAA 遵从支持(在 Google Cloud 平台业务伙伴协议 (BAA) 的范围内),但客户负有评估自身 HIPAA 合规性的最终责任。

本页面旨在帮助组织中的安全官、合规官、IT 管理员以及其他负责 HIPAA 合规性的员工以符合合规性需求的方式使用 Looker Studio。

免责声明

本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对 Looker Studio 的具体使用是否适当,以履行法规遵从义务。

客户责任

Looker Studio 客户需自行判断是否受 HIPAA 要求的约束,并决定是否使用或打算使用 Looker Studio 处理 PHI。如果客户需要遵从 HIPAA,而且希望将 Looker Studio 用于 PHI,那么他们必须先与 Google 签署 Google Cloud 平台《业务伙伴协议》(BAA),然后才能继续操作。未与 Google 签署 Google Cloud 平台 BAA 的客户不得将 Looker Studio 用于处理 PHI。请注意,新客户无法再接受之前的 Looker 数据洞察 BAA。

详细了解 Google Cloud 平台上的 HIPPA 合规性

如何将 Looker Studio 与 PHI 搭配使用

受 HIPAA 约束的 Looker Studio 客户可以访问 Looker Studio,以根据 BAA 将其与 PHI 一起使用,前提是客户将 Looker Studio 配置为符合 HIPAA 规定。

适用于 Google Workspace 和 Cloud Identity 客户

Google 管理控制台具有特定设置,可帮助确保数据安全,并确保数据的使用和访问严格按照您的要求进行。下面提供了一些实用建议,可帮助您解决特定问题。

监控账号活动

借助管理控制台报告和日志,您可以轻松完成以下任务:查找潜在的安全风险、衡量用户的协作情况、跟踪哪些用户在何时登录、分析管理员活动等等。为了监控日志和提醒,管理员可以配置在发生可疑事件时接收通知。管理员还可以定期查看报告和日志,以检查潜在的安全风险。例如,Looker 数据洞察的管理控制台报告可以显示与外部网域用户共享了哪些文件。管理员应考虑定期查看这些报告,以确保不会无意中共享 PHI。

共享选项

Looker Studio 用户在共享 Looker Studio 资源时,可以控制协作者的编辑和共享权限。我们建议用户避免将 PHI 放置在此类资产的标题中。

管理员可以针对 Workspace 或 Cloud Identity 账号,将文件共享权限设置为适当的公开范围。管理员可以“限制”或“允许”用户与网域外人员共享文档。我们建议您配置文件共享权限,以防止处理 PHI 的用户在组织外部共享 Looker Studio 资源。

技术支持服务

在访问 Looker Studio 技术支持服务时,您不得向 Google 提供 PHI。

其他资源

我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。为证明我们遵从业内的安全标准,除了实施 Google Cloud 商业伙伴协议之外,Google 还为 Looker Studio 申请并获得了多项认证