Trabajo en una compañía de salud digital que probablemente guarde información personal de salud.
Estoy en conflicto con la certificación que mejor obtengo para satisfacer mejor las necesidades de los socios comerciales de Europa.
Por supuesto, hay diferentes requisitos para diferentes empresas.
Prefiero no guardar la PHI estadounidense en servidores de EE. UU. y la PHI europea en un servidor europeo.
Mi compañía ya tiene una queja con Hippa, pero eso es bueno para las empresas estadounidenses (¿tengo razón?).
Actualmente, todos mis datos se almacenan en una base de datos autoinstalada (Mongodb) en la plataforma de nube de Google.
Google es la queja de Hippa y el escudo de privacidad de la UE y los EE. UU. está certificado ¿Qué significa eso para mi empresa?
Sé que mi empresa debería implementar estos 3 mecanismos:
- Consentimiento de los pacientes para que se almacenen sus datos
- Divulgación en caso de incumplimiento
- Derecho a ser olvidado para cualquier paciente
Aparte de eso, ¿qué certificado deberíamos obtener para mostrar a nuestros clientes potenciales? ¿Debemos cifrar los datos? En caso afirmativo, ¿es necesario cifrar por socio o podemos usar una clave de cifrado para toda la base de datos?
Tengo el jefe del marco GDPR pero no hay ninguna organización que nos certifique eso, ¿no?