di responsabilità; Non lavoro HIPAA da più di un decennio e la realtà può variare dalla storia. Accolgo con favore commenti e risposte alternative da parte di qualcuno che attualmente lavora nello spazio.
Le specifiche di crittografia di HIPAA sono " indirizzabile ", che è quello Diciamo, non sono "richiesti". Puoi scegliere di fare qualcos'altro finché documenti per iscritto che ritieni che la tua alternativa sia una "misura di sicurezza ragionevole e appropriata":
In meeting standards that contain addressable implementation
specifications, a covered entity will do one of the following for each
addressable specification:
(a) implement the addressable implementation specifications;
(b) implement one or more alternative security measures to accomplish the same purpose;
(c) not implement either an addressable implementation specification or an alternative.
The covered entity’s choice must be documented. The covered entity
must decide whether a given addressable implementation specification
is a reasonable and appropriate security measure to apply within its
particular security framework.
Quindi, puoi scegliere di implementare la crittografia, o di bloccare le unità in un cassetto, o di non fare nulla - purché tu dimostri che è una "misura di sicurezza ragionevole e appropriata".
Ora, in realtà, vorrai implementare soluzioni che i tuoi revisori concordino siano ragionevoli e appropriate, oppure va sul rapporto come una lacuna. Il tuo management vorrebbe che non ci fossero lacune su eventuali audit, o se la loro suscettibilità alle multe salisse. E quando succede qualcosa di brutto, quei documenti che accettano il rischio di farlo diventano ancora più importanti.
Quindi la risposta migliore che posso darti è di ottenere un revisore affidabile per esaminare e approvare qualsiasi alternativa tu consideri. HIPAA è noto per essere difficile da implementare per questo motivo.