Veilige zakelijke e-mail met HIPAA-naleving

  • De HIPAA (Health Insurance Portability and Accountability Act, inclusief de Privacy Rule, Security Rule, Breach Notification Rule en Health Information Technology for Economic and Clinical Health Act) vereist dat betrokken entiteiten en zakenpartners bepaalde maatregelen nemen om gezondheidsinformatie te beschermen aan de hand waarvan iemand kan worden geïdentificeerd. De HIPAA verschaft tevens bepaalde rechten aan personen. Zoho verzamelt, gebruikt, bewaart of onderhoudt geen gezondheidsinformatie voor eigen doeleinden als deze door de HIPAA wordt beschermd. Zoho Mail biedt echter wel functies om beheerders te helpen bij het configureren en gebruiken van e-mail binnen het kader van de HIPAA-naleving.

    HIPAA verplicht betrokken entiteiten om een BAA (Business Associate Agreement) te ondertekenen met hun zakenpartners. U kunt ons BAA-sjabloon aanvragen door een e-mail te sturen naar legal@zohocorp.com.

    Zoho Mail biedt de volgende functies en besturingselementen waarmee beheerders een met HIPAA compatibele e-mailservice kunnen implementeren in hun bedrijf.

  • Gebruikersrollen en -machtigingen

    Zoho Mail biedt op rollen gebaseerde toegang tot het beheerdersscherm. De rol van superbeheerder kan slechts aan één gebruiker worden toegewezen en verder kan alleen de superbeheerder ervoor kiezen de beheerdersrol toe te wijzen aan de leden van het bedrijf.

    Beheerders zijn gemachtigd om accounts aan te maken, het beveiligingsbeleid te beheren, auditlogboeken te controleren enz. De gebruikers hebben geen toegangsrechten tot de beheerconsole en kunnen de beheerdersfuncties niet bekijken of openen. Hier vindt u meer informatie over de rollen en privileges.

  • Beveiligingsbeheer

    Zoho Mail biedt beheerders een sterke grip op het beveiligingsbeleid van het bedrijf. De beheerder kan de volgende beleidsregels afdwingen en aanpassen aan de compliancevereisten van het bedrijf:

    1. TFA/MFA
    2. Wachtwoordbeleid
    3. Toegangscontrole
    4. Op IP gebaseerde beperkingen
    5. E-mailbeperkingen
  • Versleuteling

    E-mails worden in versleutelde indeling opgeslagen op Zoho Mail-servers. Gegevens worden opgesplitst in fragmenten en elk fragment wordt vervolgens verder versleuteld voordat het op onze schijven wordt opgeslagen. De sleutels die voor versleuteling worden gebruikt, worden met de grootste veiligheid en betrouwbaarheid beheerd. Gegevensoverdrachten bij gebruik van Zoho Mail via POP/IMAP/SMTP zijn versleuteld met behulp van het TLS-protocol (Transport Layer Security). We gebruiken ook de nieuwste en veiligste versleuteling zoals de algoritmen AES_CBC/AES_GCM 256-bits/128-bits voor versleuteling van e-mail. Deze zorgen ervoor dat uw Zoho Mail-gegevens worden beveiligd tegen ongeoorloofde toegang, openbaarmaking en wijziging. Alle online gegevensoverdrachten vinden plaats in de beveiligde modus (HTTPS).

    De servicegegevens die zijn opgeslagen in Zoho Mail, worden bij inactiviteit versleuteld (Encrypted At Rest; EAR). Alle gegevens worden ook bij overdracht versleuteld. De zeer veilige fysieke controles bij datacenters en de versleuteling bij overdracht zorgen ervoor dat uw gegevens goed beschermd blijven.

    Naast de standaardversleuteling kan de beheerder kiezen voor end-to-end versleuteling via S/MIME-support, waarbij gebruik wordt gemaakt van op SSL-certificaten gebaseerde versleuteling.

  • E-mails verwijderen

    Zoho Mail heeft voorzieningen in de webinterface waarmee gebruikers hun gegevens kunnen verwijderen. Gebruikers kunnen hun e-mailgegevens verwijderen met behulp van de optie Verwijderen. Als de beheerder echter retentie en eDiscovery voor de gebruikers heeft ingeschakeld, blijft er een kopie van de e-mail beschikbaar in de eDiscovery-portal gedurende de retentieperiode die door de beheerder is gedefinieerd.

    Wanneer beheerders de gebruikersaccounts verwijderen uit het configuratiescherm, worden de gegevens die zijn gekoppeld aan de gebruiker, ingepland voor verwijdering en binnen 30 dagen na het verwijderen van de gebruiker verwijderd.

  • Audittrail

    Zoho Mail biedt uitgebreide auditlogboeken om de activiteiten vanuit het beheervenster te registreren. De auditlogboeken voor beheerders zijn gedurende een periode van 1 jaar beschikbaar. De e-maillogboeken van gebruikers kunnen ook worden gecontroleerd vanuit het Zoho Mail-beheervenster. De e-maillogboeken zijn gedurende een periode van 90 dagen beschikbaar.

    Daarnaast kunnen de logbestanden ook wanneer nodig vanuit het configuratiescherm worden geëxporteerd door de beheerder.

  • Gegevensretentie

    Beheerders kunnen eDiscovery inschakelen (beschikbaar in Premium-abonnementen). Hiermee wordt een volledige back-up van e-mails gemaakt op basis van de voorwaarden die door de beheerder zijn gekozen. Dit kan door het bedrijf op basis van de vereisten worden ingeschakeld, voor juridische en nalevingsdoeleinden.

    Met eDiscovery kunnen beheerders een retentieperiode definiëren voor de gegevens die worden bewaard op basis van vooraf door de beheerders ingestelde voorwaarden.

    eDiscovery is alleen beschikbaar in de Premium-abonnementen van Zoho Mail. De algemene back-up- en herstelopties zijn beschikbaar in alle Zoho Mail-abonnementen. Beheerders kunnen periodiek back-ups maken van e-mailgegevens, op basis van hun vereisten, en deze back-ups lokaal opslaan. Als er kritieke e-mailgegevens worden verwijderd, kan de beheerder de e-mails binnen 30 dagen na verwijdering herstellen.

  • Wijziging van de Gebruiksvoorwaarden

    Zoho behoudt zich het recht voor om de Voorwaarden te wijzigen. Wijzigingen aan de voorwaarden zijn van toepassing op uw gebruik van Zoho Mail na publicatie van een dergelijke wijziging.

  • Disclaimer: de informatie die hierin wordt gepresenteerd, mag niet worden opgevat als juridisch advies. Dit is een richtlijn over hoe Zoho Mail bedrijven de controle geeft om de HIPAA na te leven. Neem contact op met uw juridisch adviseur om te vragen hoe de HIPAA van toepassing is en hoe dit van invloed is op uw bedrijf en de processen die HIPAA-conform moeten zijn.