Short: Si los datos ( PHI ) I el envío a un tercero ya está encriptado, ¿debo seguir firmando un Acuerdo de Asociación Comercial (BAA) con ellos para cumplir con la HIPAA?
Long:
Para ser específico, estaba considerando solución de chat de Twilio y afirman que es compatible con HIPAA. Si los mensajes enviados están cifrados de extremo a extremo utilizando un cifrado que cumple con FIPS 140-2 (si lo que Twilio recibe y almacena ya es un "engaño" y no tienen ningún medio para descifrarlos) , ¿cumple con la HIPAA?
¿Se requiere la firma de un BAA para manejar la PHI cifrada? (incluso si la información está encriptada antes de que salga del dispositivo cliente) En este momento, Twilio no firma acuerdos de BAA.
Lo que dice HIPAA:
Encontré este título en el sitio web de HIPAA, en conflicto con lo que Twilio anuncia acerca de que no se requiere firma BAA:
- Si un CSP (proveedor de servicios en la nube) almacena solo ePHI encriptado y no tiene una clave de descifrado, ¿es un socio comercial de HIPAA?
- Sí, la falta de una clave de cifrado para los datos cifrados que recibe y mantiene no exime a un CSP del estado de asociado comercial y las obligaciones asociadas conforme a las Reglas HIPAA. [...] Como socio comercial, un CSP que proporciona servicios de no visualización no está exento de ningún otro requisito aplicable de las Reglas de HIPAA. Sin embargo, los requisitos de las Reglas son flexibles y escalables para tener en cuenta la naturaleza de no visualización de los servicios proporcionados por el CSP .
- ¿Se puede considerar que un CSP es un "conducto" como el servicio postal y, por lo tanto, no es un socio comercial que debe cumplir con las Normas de HIPAA?
- En general, no. [...] incluso si el CSP no puede ver el ePHI porque está cifrado y el CSP no tiene la clave de descifrado. [...] la excepción del conducto se limita a los servicios de transmisión solo para PHI (ya sea en formato electrónico o en papel), incluido el almacenamiento temporal de PHI incidental a dicha transmisión. Por el contrario, un CSP que mantiene ePHI para el propósito de almacenarlo calificará como un socio comercial, y no como un conducto, incluso si el CSP no ve realmente la información, porque la entidad tiene un acceso más persistente al ePHI. [...]
Qué Twilio & Virgil dice:
- En su Twilio & Virgil Security: documento técnico de chat compatible con HIPAA , Virgil afirma que han obtenido una opinión experta de que el método de cifrado que utilizan no identifica los datos en de acuerdo con la Regla de privacidad de HIPAA ( §164.514 (b) (1) de la regla de privacidad de HIPAA), y como resultado, los datos no se consideran PHI mientras se encuentre en la plataforma de Twilio.