我們有一個客戶(藥房)想要在他們的網站上提交一個表單,該表單提交到作為 hipaa 補充服務的 api。我們不儲存任何數據,僅發送。我們的伺服器/系統是否需要符合 hipaa 要求?
答案1
合規性並不是這樣運作的。您不能只使用服務或保護伺服器,然後選取 HIPPA 合規方塊。
請參閱範例HHS 關於安全法則的說明。有人(無論是所涵蓋的醫療保健協會還是商業夥伴)需要維護流程以保護受保護的健康資訊。傳輸時以及靜止時儲存。
這比技術控制更廣泛。顯然,只允許加密流量,例如 HTTPS 請求。加密磁碟可能是個好主意。而且,還要對員工進行正確程序的培訓,讓他們只專注於完成工作所需的內容,並報告違規行為。一般來說,實施正式的風險緩解流程。
如果您受到威脅,而此表單的提交資料被洩露,這將損害患者的隱私,並可能損害您的責任。
從合規人員處獲取有關正在傳輸的 PHI 內容以及您對此的責任的答案。如果任何 PHI 在範圍內,他們會向您提出問題。