Naleving van HIPAA op Google Cloud Platform

Deze handleiding behandelt de naleving van HIPAA op Google Cloud Platform. De naleving van HIPAA voor G Suite wordt afzonderlijk behandeld.

Disclaimer

Deze handleiding is uitsluitend bedoeld voor informatieve doeleinden. Google bedoelt de informatie of aanbevelingen in deze handleiding niet als juridisch advies. De klant is zelf verantwoordelijk voor een onafhankelijke evaluatie van het eigen specifieke gebruik van de services in overeenstemming met de wettelijke nalevingsverplichtingen.

Beoogde doelgroep

Google Cloud Platform ondersteunt naleving van de Amerikaanse Health Insurance Portability and Accountability Act (bekend als HIPAA, zoals gewijzigd, inclusief de Health Information Technology for Economic and Clinical Health Act, bekend als HITECH) voor klanten op wie deze wet van toepassing is. Deze handleiding is bedoeld voor beveiligingsfunctionarissen, nalevingsfunctionarissen, IT-beheerders en andere medewerkers die verantwoordelijk zijn voor de implementatie en naleving van HIPAA op Google Cloud Platform. Nadat u deze handleiding heeft gelezen, weet u hoe Google de naleving van HIPAA ondersteunt en hoe u Google Cloud-projecten zo kunt configureren dat deze voldoen aan uw verantwoordelijkheden onder HIPAA.

Definities

Termen met hoofdletters die in dit document worden gebruikt maar niet anderszins worden gedefinieerd, hebben dezelfde betekenis als in HIPAA. De term 'Beveiligde medische gegevens' (Protected Health Information, PHI) verwijst in dit document naar de PHI die Google ontvangt van een Gedekte entiteit (Covered Entity).

Overzicht

Het is belangrijk te weten dat de Amerikaanse HHS geen certificering afgeeft voor naleving van HIPAA. Naleving van HIPAA is een gedeelde verantwoordelijkheid van de klant en Google. In het bijzonder vereist HIPAA naleving van de Beveiligingsregel (Security Rule), de Privacyregel (Privacy Rule) en de Regel voor melding van inbreuk (Breach Notification Rule). Google Cloud Platform ondersteunt HIPAA-naleving binnen het bereik van een Overeenkomst voor zakelijke partners (Business Associate Agreement, BAA), maar uiteindelijk zijn klanten zelf verantwoordelijk voor de evaluatie van hun eigen HIPAA-naleving.

Google gaat, indien dat volgens HIPAA vereist is, BAA's aan met klanten. Google Cloud Platform is ontworpen onder begeleiding van een beveiligings- en engineeringteam van meer dan zevenhonderd mensen. Dat is groter dan de meeste interne beveiligingsteams. Specifieke details over onze benadering van beveiliging en gegevensbescherming, inclusief details over organisatorische en technische beheersmaatregelen met betrekking tot de manier waarop Google uw gegevens beschermt, vindt u in de whitepaper over beveiliging bij Google en in het overzicht van het beveiligingsontwerp van de infrastructuur van Google.

Google documenteert niet alleen de eigen aanpak van beveiliging en privacy door ontwerp, maar ondergaat ook regelmatig verschillende onafhankelijke externe audits om klanten externe verificatiebronnen te bieden. (Hieronder vindt u links naar de betreffende rapporten en certificaten). Dat betekent dat een onafhankelijke auditor de beheermogelijkheden in onze datacenters, infrastructuur en bedrijfsprocessen heeft onderzocht. Google wordt jaarlijks op naleving van de volgende normen gecontroleerd:

  • SSAE16 / ISAE 3402 Type II. Hier vindt u het bijbehorende openbare SOC 3-rapport. Het SOC 2-rapport is verkrijgbaar als u een geheimhoudingsverklaring (NDA) heeft getekend.
  • ISO 27001. Google heeft ISO 27001-certificeringen behaald voor de systemen, apps, medewerkers, technologie, processen en datacenters van Google Cloud Platform. Ons ISO 27001-certificaat is beschikbaar op onze websitepagina over naleving.
  • ISO 27017 (beveiliging van cloudgegevens). Dit is een internationale norm voor informatiebeveiliging op basis van ISO/IEC 27002, specifiek voor cloudservices. Ons ISO 27017-certificaat is beschikbaar op onze websitepagina over naleving.
  • ISO 27018 (privacy van cloudgegevens). Dit is een internationale norm voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare cloudservices. Ons ISO 27018-certificaat is beschikbaar op onze websitepagina over naleving.
  • FedRAMP ATO
  • PCI DSS v3.2

Uitgebreide audits door derden waarborgen niet alleen de vertrouwelijkheid, integriteit en beschikbaarheid van Google-producten, maar zijn ook een bewijs van de toewijding van Google aan de best mogelijke beveiliging van gegevens. Klanten kunnen deze auditverslagen van derden raadplegen om te beoordelen hoe de producten van Google aan hun HIPAA-nalevingsbehoeften kunnen voldoen.

Verantwoordelijkheden van de klant

Een van de hoofdverantwoordelijkheden van klanten is om te bepalen of ze een Gedekte entiteit (Covered Entity) zijn, of een Zakelijke partner van een Gedekte entiteit (Business Associate of a Covered Entity). Indien ze een Gedekte entiteit (Covered Entity) zijn, moeten ze bepalen of ze een BAA met Google moeten aangaan voor hun interacties.

Hoewel Google (zoals hierboven beschreven) voor de opslag en verwerking van PHI een veilige infrastructuur biedt die aan de regels voldoet, is de klant ervoor verantwoordelijk dat de omgeving en toepassingen die met Google Cloud Platform worden ontworpen, correct zijn geconfigureerd en beveiligd volgens HIPAA-vereisten. Dit wordt vaak het gedeelde beveiligingsmodel in de cloud genoemd.

Essentiële praktische tips:

  • Ga een BAA voor Google Cloud aan. U kunt een BAA rechtstreeks bij uw accountmanager aanvragen.
  • Google Cloud-producten die niet expliciet onder de BAA vallen (zie Gedekte producten), moet u uitschakelen of niet gebruiken wanneer u met PHI werkt.

Enkele praktische technische tips:

  • Gebruik de praktische tips voor IAM wanneer u instelt wie toegang tot uw project heeft. Omdat serviceaccounts kunnen worden gebruikt voor toegang tot resources, moet u ervoor zorgen dat de toegang tot die serviceaccounts en de bijbehorende sleutels nauwgezet wordt beheerd.
  • Bepaal of uw organisatie versleutelingsvereisten heeft die verdergaan dan wat vereist is volgens de HIPAA-beveiligingsregel. Alle klantcontent op Google Cloud Platform wordt versleuteld wanneer deze niet wordt gebruikt. Lees onze whitepaper over versleuteling voor meer informatie en eventuele uitzonderingen.
  • Als u Cloud Storage gebruikt, kunt u overwegen versiebeheer voor objecten in te schakelen om een archief voor die gegevens te maken en om verwijdering ongedaan te kunnen maken in het geval van onbedoelde gegevensverwijdering. Lees en volg de richtlijnen op de pagina met overwegingen voor beveiliging en privacy voordat u gsutil gebruikt voor Cloud Storage.
  • Configureer exportbestemmingen voor controlelogboeken. We raden ten sterkste aan controlelogboeken naar Cloud Storage te exporteren voor archivering op lange termijn, en deze naar BigQuery te exporteren voor al uw analytische, controle- en forensische behoeften. Zorg ervoor dat u het toegangsbeheer voor die bestemmingen op de juiste manier configureert voor uw organisatie.
  • Configureer toegangsbeheer voor de logboeken op de juiste manier voor uw organisatie. Controlelogboeken voor beheerdersactiviteit kunnen worden geopend door gebruikers met de rol 'Logboeken weergeven'. Controlelogboeken voor gegevensbeheer kunnen worden geopend door gebruikers met de rol 'Private Logs Viewer'.
  • Verifieer controlelogboeken regelmatig om de beveiliging en de naleving van vereisten te waarborgen. Zoals hierboven beschreven, is BigQuery een uitstekend platform voor logboekanalyse op grote schaal. U kunt ook overwegen om een SIEM-platform van onze integraties van derden te gebruiken om uw naleving via logboekanalyse aan te tonen.
  • Versleutel alle PHI, beveiligingsgegevens en andere gevoelige gegevens wanneer u indexen in Google Cloud Datastore maakt of configureert. Doe dit voordat u deze gegevens als de entiteitssleutel, geïndexeerde propertysleutel of geïndexeerde propertywaarde voor de index gebruikt. Zie de Cloud Datastore-documentatie voor informatie over het maken en/of configureren van indexen.
  • Wanneer u Dialogflow Enterprise-agents maakt of updatet, moet u ervoor zorgen dat u geen PHI of beveiligingsgegevens opneemt in de definitie van uw agent, ook niet in uw intenties, trainingsfasen en entiteiten.
  • Wanneer u resources maakt of updatet, moet u ervoor zorgen dat u geen PHI of beveiligingsgegevens invoert wanneer u de metadata van een resource opgeeft, omdat die informatie in de logboeken kan worden vastgelegd. De gegevenscontent van een resource of de resultaten van een query worden nooit in controlelogboeken opgenomen, maar metadata van resources kunnen wel worden vastgelegd.

Gedekte producten

De BAA voor Google Cloud omvat de volledige infrastructuur van GCP (alle regio's, alle zones, alle netwerkpaden, alle presentiepunten) en de volgende producten:

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloudrouter
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech API
  • Cloud SQL voor MySQL
  • Cloud SQL voor PostgreSQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Translation API
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Containerregister
  • Dialogflow Enterprise Edition
  • Google Service Management
  • Kubernetes Engine
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Transfer Appliance-service
  • Virtual Private Cloud (VPC)

Raadpleeg de site over naleving van Google Cloud voor de actuele lijst met gedekte producten. Deze lijst wordt geüpdatet wanneer er nieuwe producten beschikbaar komen voor het HIPAA-programma.

Unieke functies

Dankzij de beveiligingsprocedures van GCP kunnen we een BAA voor HIPAA aanbieden die de volledige infrastructuur van GCP omvat, in plaats van een beperkt deel van onze cloud. Hierdoor bent u niet beperkt tot een specifieke regio, wat voordelen oplevert op het gebied van schaalbaarheid, operationaliteit en architectuur. U haalt ook voordeel uit multi-regionale serviceredundantie en de mogelijkheid om verwijderbare VM's te gebruiken voor kostenbesparing.

De beveiligings- en nalevingsmaatregelen waarmee we HIPAA-naleving ondersteunen, zijn diep verankerd in onze infrastructuur, ons beveiligingsontwerp en onze producten. Zo kunnen we klanten die onder HIPAA vallen, dezelfde producten tegen dezelfde prijzen aanbieden als alle andere klanten, inclusief kortingen voor langdurig gebruik. Andere openbare clouds vragen meer geld voor hun HIPAA-cloud. Wij niet.

Conclusie

Google Cloud Platform biedt een cloudinfrastructuur waar klanten veilig gezondheidsinformatie kunnen opslaan en analyseren en tot inzichten kunnen verwerken, zonder zich zorgen te hoeven maken over de onderliggende infrastructuur.

Aanvullende bronnen

Was deze pagina nuttig? Laat ons weten hoe goed we u hebben geholpen: