Por que é hora de seguir em frente se o seu provedor de nuvem de hospedagem não assinar uma BAA da HIPAA

É hora de seguir em frente se o seu provedor de nuvem de hospedagem não assinar um BAA HIPAA
Author

Manuel W. Lloyd

Last updated November 21, 2016


  • 116 Views

Apesar das novas regulamentações do HIPAA Business Associate Agreement (BAA) entrarem em vigor em 2013, muitas organizações de assistência médica ainda encontram o provedor de serviços de nuvem ocasional que se recusa a assinar um BAA. Embora possam ter uma explicação lógica, qualquer recusa em assinar um BAA deve ser vista como uma bandeira vermelha.

Aqui está a lógica do ângulo deles. Ainda existem muitos fornecedores de nuvem que se vêem mais como condutores de Informações de Saúde Pessoal (PHI). Eles sentem que seu papel é mais parecido com o de um carteiro. Eles estão apenas transportando dados para outras pessoas e não têm acesso real ao conteúdo real.

Se os dados forem criptografados e não puderem ser lidos, ou Se eles não tocarem nos dados de PHI reais, o fornecedor do serviço de nuvem argumentará que os regulamentos HIPAA não se aplicam a eles e possivelmente se recusam a assinar um BAA.

Justo o suficiente, certo? Se os dados estiverem criptografados e o fornecedor não tiver a chave de criptografia, qual é o problema? Bem, aqui está o problema.

Arquive isso na categoria improvável, ainda que não improvável. Digamos que os dados de PHI não foram criptografados corretamente antes de serem enviados para a nuvem ou que dados não criptografados tenham sido transferidos por engano para o provedor de serviços de nuvem. Se o provedor de nuvem se recusou a assinar um BAA, isso prejudica sua conformidade com a HIPAA e pode resultar em uma multa entre US $ 50.000 e US $ 1.5 milhões.

É por isso que os profissionais do setor de saúde precisam migrar de qualquer provedor de nuvem que esteja relutante em assinar um BAA. Eles basicamente se recusam a ser compatíveis, pois a nova Regra de Omnibus da HIPAA define claramente um parceiro de negócios como qualquer pessoa que cria, recebe, mantém ou transmite PHI em nome de uma entidade coberta. Recusando-se a compartilhar a responsabilidade pela conformidade com a HIPAA, eles são uma responsabilidade para a sua organização que você simplesmente não pode pagar.

About the Author

Founder and entrepreneurial Virtual CIO of Manuel W. Lloyd Consulting, the author specializes in IT service operational efficiency for healthcare organizations. Manuel honed his skills in the USMC directly for President Ronald Reagan at Camp David.

Recommended articles for you

What a Day in the Life of an AWS Solutions Architect Looks L...

Article

Top AWS Solution Architect Job Interview Questions and Answe...

Article

New Changes to AWS Certification Exam Focus on Architecting...

Article