Estoy iniciando mi primer sitio web para el consultorio de un médico y me pregunto si el sitio web debe estar en un servidor compatible con HIPAA, incluso si no se recopila o almacena información de salud del paciente en el servidor. No habría almacenamiento ni siquiera recopilación de información de salud del paciente.
Un sitio web común, como un horario de oficina de publicidad, información de contacto y medios relacionados debe estar bien, siempre y cuando esté completamente separado de la red compatible con HIPAA & Sistemas que atienden al consultorio del médico.
Esto también significa que no puede usar este servidor web para ningún servicio de acceso remoto (es decir, el portal VPN), independientemente del hecho de que el servidor web en sí no "almacenará" ninguna PII.
Para añadir alguna información adicional. Yo publicaría una advertencia en la sección de contacto de que no se transmitirá información médica y proporcionará un método seguro si existe. Además, el Aviso de prácticas de privacidad de la práctica debe publicarse en el sitio de acuerdo con los requisitos de HIPAA.
Lea otras preguntas en las etiquetas hipaa