使用TrueVault是否会自动使我的web应用程序与HIPAA兼容？

Question

我在一家健康初创公司工作，处理病人的个人记录，这对我们来说是必不可少的HIPAA投诉。我听说过TrueVault，一家为数据传输提供RESTful应用编程接口的公司。

使用TrueVault是否会自动使我的web应用程序与HIPAA兼容？该公司对此并不是太开放，据我所知，该公司似乎提出了这个概念。有没有人知道这是不是真的，或者我还有其他需要注意的事情吗？

我的应用是基于CodeIgniter框架的。

Answer 1

不，它不是。HIPAA安全规则涵盖所有处理EPHI (电子私人健康信息)的系统，即使它们自己没有存储该信息。使用TrueVault存储EPHI并不能免除您对HIPAA的要求；它只是意味着您不需要处理有关数据存储的某些部分。

如果你不确定如何处理HIPAA的要求，请与律师交谈。(实际上，你可能应该和律师谈谈这件事。)

Answer 2

免责声明:我是TrueVault的创始人兼首席执行官。

简而言之，您存储在TrueVault中的任何数据都将满足HIPAA技术和物理保障实施的所有细节。但是，还有其他非技术要求需要付诸实践。例如，您需要确保您的组织也满足所有的管理保障要求(像Accountable这样的服务非常适合)。

最终，每个组织都有责任确保其完全符合HIPAA，即使某些涵盖的活动被委托给其他业务伙伴也是如此。因此，您应该始终与您的业务伙伴交谈，并询问他们如何满足您的每个实现细节。并确保您的业务伙伴将与您签署业务伙伴协议。

如果您对TrueVault有任何疑问，请随时给我们打电话或发邮件给我们。

Answer 3

这个问题在Quora - http://www.quora.com/Health-Insurance-Portability-and-Accountability-Act-HIPAA/Becoming-HIPAA-Compliant-Should-you-use-a-Backend-As-A-Service-or-a-HIPAA-Server-Why上也有详细的报道。可能需要在那里寻找更多的响应。