Tenemos un cliente (farmacia) que quiere un formulario en su sitio web que se envíe a una API que es un servicio complementario de Hipaa. No almacenamos ningún dato, sólo enviamos. ¿Nuestro servidor/sistema necesita ser compatible con hipaa?
Respuesta1
No es así como funciona el cumplimiento. No puede simplemente usar un servicio o proteger un servidor y marcar la casilla de cumplimiento con HIPPA.
ver por ejemploNotas del HHS sobre la regla de seguridad. Alguien, ya sea la asociación de atención médica cubierta o un socio comercial, debe mantener procesos para proteger la información de salud. Tanto en transmisión como almacenados en reposo.
Esto es más amplio que los controles técnicos. Obviamente, solo permita tráfico cifrado, como solicitudes HTTPS. Probablemente sea una buena idea cifrar los discos. Pero también capacite a los empleados sobre los procedimientos adecuados para que solo se fijen en lo necesario para hacer su trabajo y denuncien las infracciones. En general, implementar un proceso formal de mitigación de riesgos.
Si usted se viera comprometido y los datos de envío de este formulario fueran filtrados, sería perjudicial para la privacidad del paciente y posiblemente para su responsabilidad.
Obtenga una respuesta de una persona de cumplimiento sobre qué PHI se transmite y cuál es su responsabilidad al respecto. Si alguna PHI está dentro del alcance, tendrán preguntas para usted.