Dan Munro tiene razón, una vez que comience a tratar con la PHI adquirida de una entidad cubierta, estará efectivamente sujeto a los estrictos estándares de protección de datos requeridos implícita o tácitamente por HIPAA.
Usted mencionó un poco si almacenar o no almacenar algunos datos reduciría su riesgo de seguridad. Puede desidentificar los datos de los pacientes para la investigación, pero esto elimina de manera efectiva la mayoría de los identificadores de una persona. Hay 18 datos que siempre se consideran PHI, sobre los que puede leer aquí: Comité de Protección de Sujetos Humanos de la Universidad de California en Berkeley.
La mejor forma de reducir el riesgo sería asociarse con un proveedor que firmaría un Acuerdo de Asociados Comerciales en el que compartirían la responsabilidad por cualquier intrusión / acceso inadecuado a su almacén de datos. Siempre será responsable de la seguridad de su propia aplicación (p. Ej., El Dr. Smith no puede obtener ningún gráfico de pacientes en el sistema), pero trabajar con alguien en la infraestructura puede ser muy útil. Esto es algo que ofrecemos cuando trabajo en Catalyze.io y puede ver nuestras políticas de HIPAA de código abierto con respecto a este y otros datos de acceso aquí: Catalizar