Abbreviazione: se i dati ( PHI ) I inviare a una terza parte è già crittografato, devo ancora firmare un accordo di Business Associate (BAA) con loro per mantenere la conformità HIPAA?
Long:
Per essere precisi, stavo considerando la soluzione di chat di Twilio e sostengono che è conforme HIPAA. Se i messaggi inviati sono crittografati end-to-end utilizzando una cifratura FIPS 140-2 (se ciò che Twilio riceve e memorizza è già "senza senso" e non hanno alcun mezzo per decrittografarli) , è conforme HIPAA?
La firma di un BAA è richiesta per la gestione di PHI crittografato crittografato? (anche se i dati vengono crittografati prima che lasci il dispositivo client?) Al momento Twilio non firma gli accordi BAA.
Cosa dice HIPAA: Ho trovato questo titolo nel sito web HIPAA, in conflitto con ciò che Twilio pubblicizza non richiede la firma della BAA:
- Se un CSP (provider di servizi cloud) memorizza solo eFI eziosi crittografati e non ha una chiave di decrittografia, è un socio d'affari HIPAA?
- Sì, [...] La mancanza di una chiave di crittografia per i dati crittografati che riceve e gestisce non esenta un CSP dallo status di socio aziendale e dagli obblighi associati ai sensi delle Regole HIPAA. [...] In qualità di socio in affari, un CSP che fornisce servizi di non visualizzazione non è esente da eventuali requisiti altrimenti applicabili delle Regole HIPAA. Tuttavia, i requisiti delle Regole sono flessibili e scalabili per tenere conto della natura senza vista dei servizi forniti dal CSP .
- Un CSP può essere considerato un "conduttore" come il servizio postale e, quindi, non un socio in affari che deve rispettare le Regole HIPAA?
- Generalmente, no. [...] anche se il CSP non può visualizzare l'ePHI perché è crittografato e il CSP non ha la chiave di decodifica. [...] l'eccezione per i conduttori è limitata ai servizi di sola trasmissione per PHI (sia in formato elettronico che cartaceo), compreso qualsiasi deposito temporaneo di incidenti PHI a tale trasmissione [...] Al contrario, un CSP che mantiene eFI per lo scopo di archiviarlo si qualifica come un socio in affari e non come un conduttore, anche se il CSP non visualizza effettivamente le informazioni, poiché l'entità ha un accesso più persistente all'eFI. [...]
Cosa Twilio & Virgil dice:
- Nei loro Twilio & Virgil Security: HIPAA Compliant Chat white-paper, Le dichiarazioni di Virgil hanno ottenuto l'opinione di un esperto secondo cui il metodo di crittografia che usano de-identifica i dati in in conformità con la HIPAA Privacy Rule ( §164.514 (b) (1) della regola sulla privacy HIPAA.) E di conseguenza i dati non sono considerati come PHI sulla piattaforma di Twilio.