我们有一个客户(药房)希望在他们的网站上提交一个表单,该表单提交给一个符合 hipaa 规范的 api 服务。我们不存储任何数据,只发送数据。我们的服务器/系统是否需要符合 hipaa 规范?
答案1
合规性不是这样运作的。您不能只使用服务或保护服务器,然后勾选 HIPPA 合规框。
例如HHS 关于安全规则的说明. 有人(无论是受保的医疗保健协会还是业务伙伴)需要维护流程以保护受保护的健康信息。无论是在传输中还是在静态存储中。
这比技术控制更为广泛。显然,只允许加密流量,例如 HTTPS 请求。加密磁盘可能是一个好主意。但同时,培训员工了解正确的程序,让他们只关注工作所需的内容,并报告违规行为。一般来说,实施正式的风险缓解流程。
如果您受到威胁,并且此表单的提交数据被泄露,这将严重损害患者的隐私,甚至可能让您承担责任。
向合规人员询问正在传输哪些 PHI,以及您对此负有何种责任。如果任何 PHI 在范围内,他们会向您提问。