Evitare HIPAA, parte 2

2

Sto costruendo un nuovo sito web, che potrebbe essere soggetto a HIPAA. Ma normalmente non avrò bisogno di accedere ai dati. Se codifico, o in qualche modo codifico, le parti identificabili personalmente, quindi solo l'utente può decrittografarle o decodificarle, HIPAA dovrebbe ancora essere applicato?

Questo è legato a la mia altra domanda su come evitare HIPAA .

modifica: dovrei aggiungere che la mia idea originale era che ogni utente memorizzasse i propri dati, poiché non ne ho alcun bisogno. L'unico motivo per cui sto pensando di conservarlo per loro, è che possono facilmente accedervi da qualsiasi luogo.

    
posta Dan 13.10.2015 - 21:12
fonte

1 risposta

3

Sono abbastanza fiducioso che la semplice risposta sia "no". La crittografia dei dati è un modo per proteggerli dall'esposizione, ma ciò non modifica la definizione di ambito.

Considera che se l'utente può decrittografarlo, in realtà l'applicazione può decodificarlo e, almeno in linea di principio, un utente malintenzionato potrebbe sovvertire il sistema per visualizzare / decrittografare le informazioni a cui non dovrebbero avere accesso. Un altro modo di osservare questo è che dire "Solo l'utente può ..." non è difendibile. L'utente non può fare nulla che non sia facilitato dal tuo software sui tuoi computer. Hai sempre il rischio che il sistema venga violato in qualche modo che consente l'accesso di terze parti alle chiavi di decrittografia. Se si stanno conservando dati nell'ambito di HIPAA, la crittografia non lo rimuove dall'ambito.

    
risposta data 13.10.2015 - 23:33
fonte

Leggi altre domande sui tag