Wir haben einen Kunden (Apotheke), der ein Formular auf seiner Website haben möchte, das an eine API übermittelt wird, die ein HIPAA-komplementärer Dienst ist. Wir speichern keine Daten, sondern senden sie nur. Muss unser Server/System HIPAA-kompatibel sein?
Antwort1
So funktioniert Compliance nicht. Sie können nicht einfach einen Dienst nutzen oder einen Server sichern und das Kontrollkästchen „HIPPA-konform“ aktivieren.
Siehe zum BeispielAnmerkungen des HHS zur Sicherheitsregel. Jemand, entweder der versicherte Gesundheitsverband oder ein Geschäftspartner, muss Prozesse aufrechterhalten, um geschützte Gesundheitsinformationen zu sichern. Sowohl bei der Übertragung als auch bei der Speicherung im Ruhezustand.
Dies geht über technische Kontrollen hinaus. Erlauben Sie natürlich nur verschlüsselten Datenverkehr wie HTTPS-Anfragen. Es ist wahrscheinlich eine gute Idee, Festplatten zu verschlüsseln. Schulen Sie Ihre Mitarbeiter aber auch in den richtigen Verfahren, damit sie nur das sehen, was für ihre Arbeit notwendig ist, und Verstöße melden. Implementieren Sie im Allgemeinen einen formellen Prozess zur Risikominderung.
Wenn Ihr Computer kompromittiert würde und die Übermittlungsdaten dieses Formulars abgegriffen würden, wäre dies schädlich für die Privatsphäre des Patienten und würde möglicherweise zu einer Haftung für Sie führen.
Lassen Sie sich von einer Compliance-Person beantworten, welche PHI übermittelt werden und welche Verantwortung Sie dafür tragen. Wenn PHI betroffen ist, wird sie Ihnen Fragen stellen.