Un report paziente basato su HTML può essere conforme HIPAA?

Question

Un report paziente basato su HTML può essere conforme HIPAA?

#1 da (5 voti)
#2 da (0 voti)

4

Supponiamo che sto creando un'applicazione che genera un rapporto di raccomandazioni sulla salute basato sulla diagnostica del paziente in ingresso.

La mia applicazione non riceve informazioni identificative sul paziente. Riceve solo un identificatore univoco del paziente (ad es. "Paziente n. 123456") e la diagnostica del paziente (ad esempio "Frequenza cardiaca 80 BPM").

L'output del report della mia applicazione contiene solo quell'identificativo univoco, la diagnostica e le raccomandazioni sulla salute (ad es. "Il paziente # 123456 aveva un livello di sodio di un miliardo di mEq / L. Raccomandiamo al paziente di mangiare meno sale.")

Voglio evitare di generare questi report come PDF perché i PDF sono difficili da sviluppare. Preferirei creare pagine HTML / CSS compatibili con la stampa, che i miei utenti possono quindi stampare / esportare in PDF, se lo desiderano. (Supponiamo che tutti i miei utenti siano tutti su browser Web desktop moderni, senza valori anomali IE8.)

Quali sarebbero le preoccupazioni normative (se ce ne sono) di fornire report come pagine web statiche, piuttosto che PDF? Posso mitigarli in qualche modo?

web-browser web-application compliance hipaa

posta RobertAKARobin 08.08.2017 - 02:22

fonte

2 risposte

Leggi altre domande sui tag web-browser web-application compliance hipaa

L'invio di indirizzo, indirizzo e-mail, ecc. non criptato su Internet, come fa il Regno Unito, è una cattiva pratica di sicurezza? Come ECDHE è stato firmato da RSA nella crittografia ECDHE_RSA

score 5 · Answer 1

Sì, un report basato su HTML può essere conforme HIPAA.

Il formato in cui viene presentato il report non ha conseguenze significative per la conformità. Il comportamento del sistema che sta generando il rapporto è quello su cui dovresti concentrarti.

score 0 · Answer 2

Può essere. Ma attenzione, gli identificatori univoci sono considerati PHI agli occhi di HIPAA. Ci sono alcune eccezioni, in particolare:

(c) Specifiche di implementazione: re-identificazione. Un'entità coperta può assegnare un codice o altri mezzi di identificazione dei registri per consentire di identificare nuovamente le informazioni de-identificate in questa sezione dall'entità coperta, a condizione che: (1) Derivazione. Il codice o altri mezzi di identificazione del record non derivano o sono correlati alle informazioni sull'individuo e non sono altrimenti suscettibili di essere tradotti in modo da identificare l'individuo; e (2) sicurezza. L'entità coperta non utilizza o divulga il codice o altri mezzi di identificazione dei record per nessun altro scopo e non divulga il meccanismo per la reidentificazione.

Immagino che alla fine avresti bisogno di ri-identificare l'ID univoco che crei a un paziente ad un certo punto. In quanto tale, sarebbe diventato PHI. Puoi gestire molti dei requisiti di conformità richiesti per HIPAA distribuendo la tua applicazione su una piattaforma come https://datica.com/platform/.

* Divulgazione: lavoro in Datica. *