Этот вопрос возникает из-за очень специфических требований HIPAA. Застрахованная организация (CE), например, врач не может использовать поставщик облачных хранилищ (CSP), если у него нет соглашения о деловом партнерстве ( BAA) с CSP, даже если данные зашифрованы и CSP не имеет доступа. Я не эксперт по безопасности, но безопасность большинства веб-хостов IMO удовлетворяет требованиям HIPAA, ЕСЛИ существуют BAA.
Я не знаю почему, но веб-хостинги, которые согласятся подписать BAA, берут 100-300 долларов в месяц за самый простой хостинг, за который другие сайты берут 5-15 долларов в месяц. Я думаю, что они наживаются на незнании CE, считая, что вокруг крутится много денег, что верно для радиологии, но не для первичной медико-санитарной помощи.
G-Suite будет выполнять BAA, что делает G-Suite недорогим решением для сбора защищенной медицинской информации (PHI) от пациентов, сохраняя при этом соответствие CE требованиям HIPAA. Стоит отметить, что «Соответствие HIPAA» является собственностью ТОЛЬКО CE и электронных медицинских карт, а не другого программного обеспечения или сайтов. Любой другой продукт или услуга, заявляющие о «соответствии HIPAA», представляют собой ложные сведения.
Я нахожу Сайты Google не такими удобными для пользователя, как большинство веб-хостов. Для таких вещей, как установка надстроек WP или добавление SSL-сертификатов, требуется меньше усилий. Или, может быть, Google просто ужасно объясняет, как на самом деле что-то СДЕЛАТЬ с размещенным там сайтом. В любом случае кажется, что проще запустить веб-сайт на веб-хостинге, настроенном для управления программным обеспечением и плагинами WP для любителей. Я готов получить образование в этом. (24 часа спустя – я много занимался самообразованием — см. ответ ниже.)
Основные требования к конфиденциальности HIPAA довольно просты:
- CE могут использовать PHI для обработки и выполнения основных функций, но не должны делиться ею с кем-либо, кто не имеет на нее права.
Базовая безопасность HIPAA требования также просты:
- Проведите анализ рисков безопасности.
- Принимать разумные меры безопасности и
- Задокументируйте, почему различные меры были приняты или нет.
Некоторые элементы обязательны. , другие нужно просто рассмотреть, оценить и задокументировать.
Например, 2FA является «адресным», как и шифрование данных, но для проведения анализа требуется физическая охрана и обучение сотрудников.
Итак, мой вопрос заключается в том, хранит ли форма G-Suite, встроенная в веб-сайт на другом веб-узле, какие-либо данные на этом веб-узле, или все они возвращаются обратно в G-Suite, например G- Диск, где это безопасно и подпадает под действие BAA?