Hipaa
我們的伺服器是否需要符合 hipaa 標準才能託管表單?
我們有一個客戶(藥房)想要在他們的網站上送出一個表單,該表單送出給一個作為 hipaa 恭維服務的 api。我們不儲存任何數據,只發送。我們的伺服器/系統是否需要符合 hipaa 標準?
這不是合規的運作方式。您不能只使用服務或保護伺服器,然後選中符合 HIPPA 的框。
例如,參見HHS 關於安全規則的說明。有人,無論是涵蓋的醫療保健協會還是商業夥伴,都需要維護流程以保護受保護的健康資訊。在傳輸中以及在靜止時儲存。
這比技術控制更廣泛。顯然,只允許HTTPS請求等加密流量。加密磁碟可能是個好主意。而且,對員工進行適當程序培訓,使其只關注完成工作所必需的內容,並報告違規行為。通常,實施正式的風險緩解流程。
如果您受到威脅,並且此表格的送出數據被洩露,這將損害患者隱私,並可能損害您的責任。
從合規人員那裡獲得關於正在傳輸的 PHI 以及您的責任的答案。如果有任何 PHI 在範圍內,他們會向您提出問題。