避免HIPAA，第2部分

Question

我正在建设一个新的网站，这可能会受到HIPAA的限制。但我通常不需要访问这些数据。如果我加密，或以某种方式对个人可识别的部分进行编码，那么只有用户才能解密或解码这些部分，HIPAA是否仍然适用？

这与关于避免HIPAA的另一个问题有关。

编辑:我应该补充说，我最初的想法是让每个用户存储他们自己的数据，因为我没有任何需要。我考虑为他们存储它的唯一原因是，这样他们就可以方便地从任何地方访问它。

Answer 1

我很有信心，简单的答案是“不”。加密数据是防止数据暴露的一种方法，但这不会改变范围的定义。

考虑一下，如果用户能够解密它，而实际上您的应用程序可以解密它，并且至少在原则上，攻击者可以破坏系统以显示/解密他们不应该访问的信息。另一种看待这个问题的方法是说“只有用户才能.”是不可辩护的。用户可以做的任何事情都不方便您的软件在您的计算机上。您总是有这样的风险，即系统将以某种方式被黑客入侵，从而允许第三方访问解密密钥。如果您将数据保存在HIPAA的作用域中，加密它并不会将其从范围中删除。