Evitar HIPAA, parte 2

2

Estoy creando un nuevo sitio web, que puede estar sujeto a HIPAA. Pero normalmente no necesitaré acceso a los datos. Si cifro, o codifico de alguna manera, las partes personalmente identificables, de modo que solo el usuario pueda descifrarlas o descifrarlas, ¿se aplicaría HIPAA?

Esto está relacionado con mi otra pregunta sobre cómo evitar la HIPAA .

editar: Debo agregar que mi idea original era que cada usuario almacenara sus propios datos, ya que no tengo ninguna necesidad de hacerlo. La única razón por la que estoy considerando guardarlo para ellos es para que puedan acceder fácilmente desde cualquier lugar.

    
pregunta Dan 13.10.2015 - 21:12
fuente

1 respuesta

3

Estoy bastante seguro de que la respuesta simple es 'no'. Encriptar los datos es una forma de protegerlos de la exposición, pero eso no cambia la definición de alcance.

Considere que si el usuario puede descifrarlo, entonces su aplicación puede descifrarlo y, al menos en principio, un atacante podría subvertir el sistema para mostrar / descifrar información a la que no debería tener acceso. Otra forma de ver esto es que decir "Sólo el usuario puede ..." no es defendible. El usuario no puede hacer nada que no sea facilitado por su software en sus computadoras. Siempre corre el riesgo de que el sistema sea pirateado de alguna manera que permita el acceso de terceros a las claves de descifrado. Si tiene datos dentro del alcance para HIPAA, el cifrado no los elimina del alcance.

    
respondido por el JaimeCastells 13.10.2015 - 23:33
fuente

Lea otras preguntas en las etiquetas