I requisiti HIPAA sembrano indicare che un piano di disaster recovery è un'implementazione richiesta, definita all'interno dello standard HIPAA Contingency Plan nella sezione Controlli di sicurezza amministrativa della regola di sicurezza HIPAA.
Che dire se l'applicazione in questione non è di importanza critica, utilizza una copia del sistema di registrazione e non l'originale, e se diventa non disponibile non influenzerà i servizi di base di un'entità sanitaria? In altre parole, HIPAA afferma che se ho un'azienda sanitaria e creo una piccola applicazione per migliorare un processo aziendale interno che utilizza un estratto del mio database ePHI principale che devo fornire un piano di DR e rendere quella piccola applicazione completamente recuperabile al meglio spese?