Organizações de saúde que usam o Microsoft Copilot devem garantir conformidade com a HIPAA. Um Acordo de Associado de Negócios BAA é um contrato obrigatório entre uma entidade coberta e um fornecedor que lida com informações protegidas de saúde PHI. Sem um BAA assinado, usar o Copilot com dados de pacientes viola as regras da HIPAA. Este artigo explica o que o BAA do Microsoft Copilot cobre, quais serviços se aplicam e como verificar se sua organização está em conformidade.
Principais conclusões: Cobertura do BAA HIPAA do Microsoft Copilot
- Centro de administração do Microsoft 365 > Cobrança > Comprar serviços: Verifique se seu locatário tem um Enterprise Agreement ou assinatura que suporte a assinatura do BAA.
- Centro de administração do Microsoft 365 > Configurações > Configurações da organização > Serviços > Microsoft Copilot: Confirme que o processamento de dados do Copilot está definido para o limite do seu locatário, não compartilhado com a Microsoft para treinamento de modelo.
- Centro de conformidade do Microsoft 365 > Gerenciamento do ciclo de vida de dados > Rótulos de retenção de dados: Garanta que a PHI seja rotulada corretamente para que o Copilot aplique políticas de governança de dados adequadas.
O que o BAA HIPAA do Microsoft Copilot cobre
Um Acordo de Associado de Negócios com a Microsoft define as responsabilidades de ambas as partes quando o Copilot processa PHI. O BAA cobre os serviços do Copilot que fazem parte do Microsoft 365 ou Azure quando você tem uma assinatura elegível. O acordo especifica que a Microsoft irá:
- Usar a PHI apenas para fins permitidos pelo BAA e pela HIPAA
- Relatar qualquer incidente de segurança ou violação envolvendo PHI à sua organização
- Devolver ou destruir a PHI quando o acordo terminar
- Garantir que subcontratados que processam PHI também cumpram a HIPAA
- Permitir que sua organização audite a conformidade da Microsoft por meio de relatórios de terceiros, como SOC 2 Tipo II
O BAA não cobre recursos do Copilot que não fazem parte de um serviço elegível para HIPAA. Por exemplo, o Copilot em produtos de consumo ou o Copilot para GitHub estão excluídos. Apenas o Copilot integrado ao Microsoft 365 E3, E5, F5 ou serviços do Azure que tenham BAAs assinados são cobertos.
Quais serviços do Copilot estão incluídos no BAA
A Microsoft inclui o Copilot para Microsoft 365 em seu BAA HIPAA quando seu locatário tem uma licença elegível. Os seguintes serviços são cobertos:
- Copilot no Word, Excel, PowerPoint, Outlook e Teams
- Copilot em aplicativos do Microsoft 365 acessados pelos clientes web e desktop do Microsoft 365
- Copilot no Azure OpenAI Service quando implantado em um ambiente Azure elegível para HIPAA
- Copilot no Dynamics 365 para cenários de saúde
O Copilot no Bing, Windows Copilot e Copilot para aplicativos móveis não são cobertos pelo BAA HIPAA. Esses serviços não têm um BAA assinado disponível para clientes de saúde.
O que o BAA não cobre
O BAA não cobre dados que o Copilot armazena fora do limite do seu locatário. A Microsoft armazena prompts e respostas do Copilot dentro do seu locatário do Microsoft 365 se você configurar a residência de dados corretamente. Se os dados saírem do limite do locatário por meio de um plugin de terceiros ou um conector não aprovado, as proteções do BAA não se aplicam mais. O BAA também não cobre o uso pessoal do Copilot em contas ou dispositivos não corporativos.
Etapas para assinar e verificar o BAA HIPAA do Microsoft Copilot
Sua organização deve ter um Enterprise Agreement ou um Microsoft Customer Agreement que inclua serviços elegíveis para HIPAA. Siga estas etapas para assinar o BAA e verificar a conformidade do Copilot.
- Verifique a elegibilidade da sua assinatura
Acesse o centro de administração do Microsoft 365 em admin.microsoft.com. Selecione Cobrança e depois Comprar serviços. Procure assinaturas rotuladas como E3, E5, F5 ou Azure para saúde. Apenas essas assinaturas suportam um BAA HIPAA. - Assine o BAA HIPAA pelo centro de administração do Microsoft 365
No centro de administração, vá para Configurações e depois Configurações da organização. Selecione Serviços e encontre Microsoft Copilot. Clique no link do BAA HIPAA para revisar e aceitar o acordo. Você deve ter a função de Administrador Global ou Administrador de Cobrança para concluir esta etapa. - Configure o limite de processamento de dados
Na mesma página de configurações do Copilot, defina a opção de processamento de dados como Apenas sua organização. Isso impede que a Microsoft use seus dados para treinar seus modelos de IA. Essa configuração é necessária para conformidade com a HIPAA. - Aplique rótulos de retenção de dados à PHI
Acesse o centro de conformidade do Microsoft 365 em compliance.microsoft.com. Selecione Gerenciamento do ciclo de vida de dados e depois Rótulos de retenção de dados. Crie rótulos para PHI e publique-os no SharePoint, OneDrive e Exchange. O Copilot respeita esses rótulos ao processar conteúdo. - Teste o Copilot com PHI de amostra em um locatário de sandbox
Crie um locatário de teste com um registro de paciente de amostra. Execute prompts do Copilot que referenciem a PHI. Verifique se o Copilot retorna resultados e se nenhum dado sai do limite do locatário. Use os logs de auditoria do Microsoft Purview para confirmar que não ocorreram transferências externas de dados. - Revise o relatório SOC 2 Tipo II da Microsoft
Acesse o Service Trust Portal em servicetrust.microsoft.com. Pesquise por Copilot e baixe o relatório SOC 2 Tipo II. Este relatório confirma que os controles da Microsoft para conformidade com a HIPAA estão operando de forma eficaz.
Erros comuns de conformidade e como evitá-los
Copilot processa PHI sem um BAA assinado
Se sua organização usa o Copilot sem um BAA assinado e o Copilot processa PHI, você viola a HIPAA. A causa geralmente é que o BAA não foi assinado durante a configuração inicial do Microsoft 365. Para corrigir, assine o BAA imediatamente pelo centro de administração. Em seguida, execute uma auditoria de conformidade para identificar qualquer PHI que o Copilot possa ter processado antes da ativação do BAA. Use o Microsoft Purview para verificar PHI no SharePoint e OneDrive.
Dados saem do limite do locatário por meio de plugins de terceiros
Plugins do Copilot de fornecedores terceiros podem enviar dados para fora do seu locatário. Se um plugin enviar PHI para um servidor externo, o BAA não cobre esses dados. Para evitar, desabilite todos os plugins de terceiros nas configurações do Copilot. Use apenas conectores aprovados pela Microsoft que tenham seu próprio BAA HIPAA. Revise a lista de conectores aprovados no centro de administração do Microsoft 365 em Copilot e depois Plugins.
Funcionários usam o Copilot em contas pessoais
Quando funcionários acessam o Copilot com uma conta pessoal da Microsoft, o BAA não se aplica. Contas pessoais não têm um BAA HIPAA com a Microsoft. Para evitar, aplique políticas de Acesso Condicional do Azure AD que bloqueiem logins de contas pessoais. Configure a política para exigir apenas contas corporativas para todos os aplicativos do Copilot.
BAA HIPAA do Microsoft Copilot vs BAA padrão do Microsoft 365: Principais diferenças
| Item | BAA HIPAA do Microsoft Copilot | BAA padrão do Microsoft 365 |
|---|---|---|
| Escopo dos serviços | Cobre o Copilot no Microsoft 365 e Azure para saúde | Cobre aplicativos principais do Microsoft 365 como Exchange, SharePoint, Teams |
| Limite de processamento de dados | Exige processamento apenas no locatário para PHI | Permite que a Microsoft processe dados para melhoria do serviço, a menos que opte por não participar |
| Conformidade de subcontratados | Exige que todos os subcontratados de modelo de IA tenham BAAs | Cobre subcontratados tradicionais de nuvem, como infraestrutura do Azure |
| Direitos de auditoria | Inclui controles específicos de IA em relatórios SOC 2 Tipo II | Inclui relatórios SOC 2 Tipo II gerais para serviços de nuvem |
| Retenção de dados para prompts de IA | Prompts e respostas retidos conforme política do locatário, não usados para treinamento | Políticas padrão de retenção de dados para e-mails e documentos |
O BAA do Copilot adiciona proteções específicas para conteúdo gerado por IA que o BAA padrão não cobre. O BAA padrão não aborda como os modelos de IA processam PHI ou como os prompts são armazenados. Organizações de saúde devem assinar o BAA específico do Copilot além do BAA padrão do Microsoft 365.
Agora você pode assinar o BAA HIPAA do Microsoft Copilot pelo centro de administração e configurar o processamento no limite do locatário para PHI. Em seguida, aplique rótulos de retenção de dados a todos os registros de pacientes e desabilite plugins de terceiros nas configurações do Copilot. Para conformidade avançada, configure alertas do Microsoft Purview que disparam quando o Copilot acessa PHI fora de locais aprovados.