Abbiamo uno scenario presso il mio datore di lavoro in cui ospitiamo un'applicazione che viene utilizzata per il caricamento, la memorizzazione e & gestione dei documenti relativi alle fatture dei pazienti da parte degli operatori sanitari. Finora siamo a conoscenza del fatto che questi documenti contengano PHI e nel nostro programma di sicurezza sono state elaborate numerose politiche per mitigare i rischi della nostra attuale soluzione di hosting.
Da un punto di vista dell'architettura pura dell'applicazione, l'applicazione sta espandendo rapidamente lo spazio su disco utilizzato, e stiamo cercando di decidere se possiamo sfruttare lo storage del cloud in qualsiasi modo. Ovviamente, l'introduzione di un altro fornitore di servizi di hosting deve essere accompagnata dalla nostra verifica della mitigazione del rischio per loro conto, ad esempio sotto forma di un Accordo di Business Associates (BAA) ...
almeno questo è il modo tradizionale con cui la "catena di custodia" viene mantenuta da qualsiasi numero di provider di hosting.
Prima chiederò: sono fuori base con quell'affermazione ^^?
Quindi farò la domanda: una BAA richiede (per legge?) di ospitare PHI in modo tale che esista una catena di custodia? In caso contrario, un BAA è ancora applicabile o addirittura plausibile per chiunque desideri utilizzare i servizi del provider Cloud?
Grazie per l'aiuto! Saluti! SAM