0

这个问题的出现是因为非常具体的 HIPAA 要求。涵盖实体 (CE) 例如医生不能使用云存储提供商 (CSP),除非他们与 CSP 签订了商业伙伴协议(BAA),即使数据已加密且 CSP 无权访问。我不是安全专家,但如果有 BAA,大多数网络主机的安全性都会 IMO 满足 HIPAA。

对于不存储电子受保护健康信息 (e-PHI) 的视频、ISP 和 USPS 的其他电子等效物有一个管道例外。

我不知道为什么,但是签署 BAA 的网络主机收取 100-300 美元/月的非常基本的托管其他网站的费用为 5-15 美元/月。我认为他们是在利用对 CE 的无知,认为有很多钱在四处晃荡,放射学确实如此,但初级保健却不是。

G-Suite执行 BAA,这使 G-Suite 成为一种价格合理的解决方案,用于收集受保护的健康信息 (PHI) 患者输入,同时保持 CE 符合 HIPAA。值得注意的是,“HIPAA 合规性”只是 CE 和电子病历的财产,而不是其他软件或网站的财产。任何其他声称“符合 HIPAA 合规性”的产品或服务都是在歪曲自己。

我发现 Google 协作平台不像大多数网络主机那样用户友好。安装 WP 插件或添加 SSL 证书等操作更少。或者,也许谷歌只是在解释如何使用托管在那里的网站实际做某事方面做得很糟糕。无论如何,在为业余爱好者管理软件和 WP 插件的网络主机上运行网站似乎更容易。我愿意接受这方面的教育。(24 小时后——我做了很多自学——见下面的答案。)

基本的 HIPAA 隐私要求相当简单:

  • CE 可以使用 PHI 来处理和执行基本功能,但不得与无权使用它的任何人共享它。

基本的 HIPAA 安全要求也很简单:

  1. 进行安全风险分析。
  2. 实施合理的安全措施和
  3. 记录为什么采取或不采取各种措施。

有些要素是必需的,有些则必须简单地处理、评估和记录。

例如,2FA 和数据加密一样是“可寻址的”,但需要进行分析、物理安全和员工培训。

所以我的问题是嵌入在另一个网络主机上的网站中的 G-Suite 表单是否会在该网络主机上存储任何数据,或者是否全部返回 G-Suite,例如 G-Drive,它是安全的并由 BAA 覆盖?

4

1 回答 1

0

当您对某个主题知之甚少时,问题是您不知道该问什么。我对 HIPAA 了解很多,对 HTML 了解不多。我做了很多研究,至少有两个答案。

简短的回答是,不,嵌入式框架是链接到 G-Suite 的 iframe HTTPS。iframe 中的表单是进入 docs.google.com 的一个窗口,因此数据永远不会从 docs.google.com 传出,它由 G-Suite 的 BAA 覆盖。主机站点实际上是一个管道。

 <iframe src="https://docs.google.com/forms......…&lt;/iframe>

注意https

嵌入表单不会违反 HIPAA。

第二个答案是,G-Suite 有自己的内容管理系统和网站构建器,对技术技能的要求非常低。因此,无需安装 Wordpress 或其他任何东西,您只需拖放即可创建站点。所有后端的东西都是为你完成的。呃。他们执行 BAA,每月只需 6 美元。所以G-Suite要简单得多,实际上简单到只有孩子才能做到。他们的帮助页面还有很多不足之处。

底线——对于小型覆盖实体,G Suite 是一种非常经济的网站解决方案,不会违反 HIPAA。希望我昨天知道这一点!

仅供参考:符合 HIPAA 的云服务

于 2020-04-10T02:27:22.977 回答