由于非常具体的HIPAA要求而出现此问题。涵盖实体(CE),例如医生不能将cloud storage provider (CSP) unless they have a Business Associate Agreement(BAA)与CSP配合使用,even if the data are encrypted and the CSP has no access.我不是安全专家,但是大多数Web主机的安全都会使IMO满足HIPAA, 如果有BAA。
我不知道为什么,但是将签署BAA的网络托管服务商对于非常基本的托管服务收取$ 100-300 / mo的费用,其他网站收取$ 5-15 / mo的费用。我认为他们以CE的无知为食,因为人们有很多钱在流连忘返,这对放射科来说是正确的,但对于初级保健而言却不是。
G-Suite 将执行BAA,这将使G-Suite成为价格合理的解决方案,用于收集受保护的健康信息(PHI)患者输入,同时保持CE符合HIPAA。 值得注意的是,"HIPAA compliance"仅是CE和电子病历的财产,而不是其他软件或站点的财产。任何其他声称“符合HIPAA要求”的产品或服务都在虚假陈述自己。
我发现Google协作平台不像大多数网络主机那样易于使用。诸如安装WP加载项或添加SSL证书之类的工作较少。也许Google所做的工作很糟糕,无法解释如何通过托管的网站实际执行某项操作。无论如何,在设置用于管理业余软件和WP插件的Web主机上运行网站似乎更容易。 我愿意接受有关此方面的教育。 (24小时后-我做了很多自我教育,请参阅下面的答案。)
The basic HIPAA privacy requirements are rather simple:
-
CE可以使用PHI来处理和执行基本功能,但必须
不要与无权获得它的人共享。
The basic HIPAA security requirements are also simple:
- 进行安全风险分析。
- 实施合理的安全措施和
- 记录为什么要采取各种措施。
有些元素是required,others must simply be addressed,evaluated and documented.
例如,2FA和数据加密一样是“可寻址的”,但是进行分析,具有物理安全性和员工培训是必需的。
所以我的问题是,嵌入在另一个Web主机上的网站中的G-Suite表单是在该Web主机上存储任何数据,还是全部返回给G-Suite,例如G-Drive,它在BAA的保护下是安全的吗?