根据《健康保险流通与责任法案》(HIPAA) 的规定,有关个人健康状况和医疗保健服务的特定信息属于受保护健康信息 (PHI)。
Google 致力于确保客户的数据安全无虞,且随时可用。Looker Studio 支持 HIPAA 合规性(在 Google Cloud 平台业务伙伴协议 [BAA] 的范围内),但客户负有评估自身 HIPAA 合规性的最终责任。
本页面旨在帮助组织中负责 HIPAA 合规性的安全官、合规官、IT 管理员以及其他员工以符合合规性要求的方式使用 Looker Studio。
免责声明
本指南仅供参考。Google 在本指南中提供的信息或建议不构成法律建议。每位客户都有责任独立评估其对 Looker Studio 的具体使用是适当的,以履行法规遵从义务。
客户责任
Looker Studio 客户必须自行判断自己是否需要遵从 HIPAA 的要求,以及是否使用或打算使用 Looker Studio 处理 PHI。如果客户需要遵从 HIPAA,而且希望将 Looker Studio 用于处理受保护健康信息 (PHI),那么他们必须先与 Google 签署 Google Cloud Platform 业务伙伴协议 (BAA),然后才能继续操作。尚未与 Google 签署 Google Cloud 平台 BAA 的客户不得将 Looker Studio 用于 PHI 的处理。请注意,新客户无法再接受之前的 Looker Studio BAA。
详细了解 Google Cloud 平台的《健康保险流通与责任法案》(HIPAA) 合规性。
如何将 Looker Studio 与 PHI 搭配使用
只要 Looker Studio 客户将 Looker Studio 配置为符合 HIPAA 规定,那么他们就可以访问 Looker Studio,以便根据 BAA 将其与 PHI 一起使用。
适用于 Google Workspace 和 Cloud Identity 客户
Google 管理控制台提供了一些特定设置,可帮助确保数据的安全性,并确保数据仅按照您的要求使用和访问。下面提供了一些实用建议,可帮助您解决特定问题。
监控账号活动
借助管理控制台报告和日志,您可以轻松查找潜在的安全风险、衡量用户的协作情况、跟踪哪些用户在何时登录、分析管理员活动等等。如需监控日志和提醒,管理员可以在发生可疑事件时配置通知。管理员还可以定期查看报告和日志,以检查潜在的安全风险。例如,Looker 数据洞察的管理控制台报告可以显示与外部网域用户共享了哪些文件。管理员应考虑定期查看管理 PHI 的员工的这些报告,以确保不会无意中共享 PHI。
共享选项
共享 Looker Studio 素材资源时,Looker Studio 用户可以控制协作者的编辑和共享权限。我们建议用户避免将 PHI 放置在此类资源的标题中。
管理员可以针对 Workspace 或 Cloud Identity 账号,将文件共享权限设置为适当的公开范围。管理员可以“限制”或“允许”用户与网域外人员共享文档。我们建议您配置文件共享权限,以防止处理 PHI 的用户向贵组织外部人员共享 Looker Studio 素材资源。
技术支持服务
您在访问 Looker Studio 技术支持服务时,不得向 Google 提供 PHI。
其他资源
我们的首要任务之一是确保客户的数据安全无虞,且随时可供客户访问。为了证明我们遵从业内的安全标准,除了实施 Google Cloud 业务合作伙伴协议外,Google 还为 Looker Studio 申请并获得了多项认证。