由于非常具体的HIPAA要求而出现此问题。涵盖实体（CE），例如医生不能将cloud storage provider (CSP) unless they have a Business Associate Agreement（BAA）与CSP配合使用，even if the data are encrypted and the CSP has no access.我不是安全专家，但是大多数Web主机的安全都会使IMO满足HIPAA， 如果有BAA。

有一个conduit exception for video,ISPs,and other electronic equivalents of USPS that do not store electronic Protected Health Information (e-PHI.)

我不知道为什么，但是将签署BAA的网络托管服务商对于非常基本的托管服务收取$ 100-300 / mo的费用，其他网站收取$ 5-15 / mo的费用。我认为他们以CE的无知为食，因为人们有很多钱在流连忘返，这对放射科来说是正确的，但对于初级保健而言却不是。

G-Suite 将执行BAA，这将使G-Suite成为价格合理的解决方案，用于收集受保护的健康信息（PHI）患者输入，同时保持CE符合HIPAA。 值得注意的是，"HIPAA compliance"仅是CE和电子病历的财产，而不是其他软件或站点的财产。任何其他声称“符合HIPAA要求”的产品或服务都在虚假陈述自己。

我发现Google协作平台不像大多数网络主机那样易于使用。诸如安装WP加载项或添加SSL证书之类的工作较少。也许Google所做的工作很糟糕，无法解释如何通过托管的网站实际执行某项操作。无论如何，在设置用于管理业余软件和WP插件的Web主机上运行网站似乎更容易。 我愿意接受有关此方面的教育。 （24小时后-我做了很多自我教育，请参阅下面的答案。）

The basic HIPAA privacy requirements are rather simple:

CE可以使用PHI来处理和执行基本功能，但必须 不要与无权获得它的人共享。

The basic HIPAA security requirements are also simple:

1. 进行安全风险分析。
2. 实施合理的安全措施和
3. 记录为什么要采取各种措施。

有些元素是required,others must simply be addressed,evaluated and documented.

例如，2FA和数据加密一样是“可寻址的”，但是进行分析，具有物理安全性和员工培训是必需的。

所以我的问题是，嵌入在另一个Web主机上的网站中的G-Suite表单是在该Web主机上存储任何数据，还是全部返回给G-Suite，例如G-Drive，它在BAA的保护下是安全的吗？