Se, come dici tu, entrambe le entità hanno stipulato un accordo di business associate con Google, possono utilizzare G Suite per la condivisione PHI. Google supporta la conformità HIPAA per G Suite ). Se il metodo di condivisione delle informazioni è coperto dai termini di tale accordo di business associate, sarebbe accettabile condividere le PHI tra le due entità. Tieni presente che nessuna soluzione software può essere veramente conforme a HIPAA poiché qualsiasi soluzione software, anche se è presente una BAA, può essere utilizzata in un modo non conforme alle Regole HIPAA. Entrambe le entità dovrebbero pertanto garantire che G Suite sia stata configurata correttamente e che siano stati attivati i controlli di sicurezza appropriati, che siano stati implementati i controlli di accesso e che debba esistere una traccia di controllo.
Le due entità che desiderano condividere il PHI possono anche aver bisogno di un accordo di business associate prima che qualsiasi PHI sia condivisa. per esempio. se uno è un fornitore di assistenza sanitaria e l'altro è un fornitore.
In linea di principio, se hai la BAA necessaria firmata con Google e la terza parte che ha condiviso il contenuto, è possibile essere conformi alle norme HIPAA per condividere informazioni su Google Drive. Google ha elencato i prodotti che sono conformi e quelli non conformi non devono essere utilizzati. La seguente guida all'implementazione di Google dovrebbe chiarire i controlli che sarebbero necessari per garantire la conformità.
Leggi altre domande sui tag google-apps hipaa