Puedo dar una opinión ya que se relaciona con Business Associates basados en software.
“Fácil” equivale algo a Costo / Tiempo. Si está buscando la forma “más rápida” de cumplir con HIPAA, debe gastar el dinero para trabajar con socios de confianza que asumen varias partes de los riesgos de HIPAA.
Piense en cumplimiento basado en 3 cubos:
- Tecnología
- Infraestructura
- Administración
Los controles HIPAA se asignan a esos segmentos. La forma más rápida y más rápida de satisfacer el segmento de Administración es encontrar recursos gratuitos para ayudar a administrar todos los aspectos comerciales de HIPAA. El mejor recurso que puedo darte son las políticas de empresa de código abierto que mi compañía emitió bajo una licencia de Creative Commons hace años y que desde entonces han sido utilizadas por cientos de empresas para este segmento: Contribuciones de código abierto de Datica.
Para la tecnología, la mejor ruta es incorporar las mejores prácticas de seguridad. Si estás seguro, es probable que cumplas.
Para Infraestructura, esa es la parte más difícil del cumplimiento. Usted puede construirlo usted mismo, pero la magnitud de las responsabilidades es muy alta y es muy costoso y requiere mucho tiempo hacerlo usted mismo. Por ejemplo, lea el modelo de responsabilidad compartida de AWS aquí: Modelo de responsabilidad compartida – Amazon Web Services (AWS)
Por lo tanto, la ruta más fácil, por el momento, para cumplir con ese límite es usar un socio como Datica, vinculado anteriormente a las políticas de código abierto. Sé que me estoy promocionando a mí mismo, pero es genuino: aproximadamente el 40% de su auditoría de cumplimiento se cubre de la noche a la mañana al firmar un BAA con un socio como Datica y utilizarlos para el segmento de Infraestructura.
Luego, después de todo eso, usted se relacionaría con un auditor para demostrar su cumplimiento. Siempre que tenga cuidado de concentrarse en los 3 segmentos, debería estar bien.