У нас есть клиент (аптека), который хочет иметь форму на своем сайте, которая отправляет данные в API, который является сервисом комплиментов hipaa. Мы не храним никаких данных, только отправляем. Должен ли наш сервер/система соответствовать hipaa?
решение1
Так не работает соответствие. Вы не можете просто использовать сервис или защитить сервер и поставить галочку в поле соответствия HIPPA.
См. напримерЗаметки HHS о правиле безопасности. Кто-то, будь то охваченная медицинская ассоциация или деловой партнер, должен поддерживать процессы для обеспечения безопасности защищенной медицинской информации. При передаче, а также при хранении.
Это шире, чем технические средства контроля. Очевидно, разрешать только зашифрованный трафик, такой как HTTPS-запросы. Вероятно, хорошей идеей будет шифровать диски. Но также обучить сотрудников надлежащим процедурам, чтобы они смотрели только на то, что необходимо для выполнения своей работы, и сообщали о нарушениях. В целом, внедрить формальный процесс снижения рисков.
Если бы ваши данные были скомпрометированы и данные об отправке этой формы были бы украдены, это нанесло бы ущерб конфиденциальности пациента и, возможно, повлекло бы за собой вашу ответственность.
Получите ответ от лица, ответственного за соблюдение требований, о том, какая PHI передается и какова ваша ответственность за это. Если какая-либо PHI попадает в сферу действия, у них будут к вам вопросы.