Suponiendo que ambas organizaciones tienen G-Suite que cumple con HIPAA y han firmado los documentos legales necesarios. Mi instinto dice que esto no debería ser un problema, ya que se realiza dentro de los servidores de Google, ¿me falta algo?
Si, como usted dice, ambas entidades han firmado un acuerdo de socio comercial con Google, pueden usar G Suite para compartir PHI. Google admite conformidad con HIPAA para G Suite ). Siempre que el método de compartir información esté cubierto por los términos de ese acuerdo de socio comercial, sería aceptable compartir la PHI entre las dos entidades. Tenga en cuenta que ninguna solución de software puede ser realmente compatible con HIPAA, ya que cualquier solución de software, incluso si existe un BAA, se puede utilizar de una manera que no cumpla con las Reglas de HIPAA. Por lo tanto, ambas entidades tendrían que asegurarse de que G Suite se haya configurado correctamente y que se hayan activado los controles de seguridad apropiados, que se hayan implementado controles de acceso y que exista una pista de auditoría.
Es posible que las dos entidades que deseen compartir la PHI también deban tener un acuerdo de socio comercial antes de que se comparta cualquier PHI. p.ej. si uno es un proveedor de atención médica y el otro es un proveedor.
En principio, si tiene el BAA necesario firmado con Google y con el tercero que ha compartido el contenido, es posible que sea compatible con HIPAA al compartir información a través de Google Drive. Google ha enumerado los productos que cumplen con los requisitos y no deben utilizarse aquellos que no cumplan con los requisitos. La siguiente guía de implementación de Google debe aclarar los controles que serían necesarios para garantizar su cumplimiento.
Lea otras preguntas en las etiquetas google-apps hipaa