Del mismo modo que para agregar a la publicación de Marcas Neal, lo más importante a considerar es ¿quién aloja los datos una vez que se cargan?
Si el servicio está alentando a los clientes a cargar sus cuentas médicas en un almacenamiento en la nube, entonces deberían estar bastante seguros de que el servicio cumple con HIPAA para cubrirse. Como dijo Marcas, esto requiere un BAA. De lo contrario, para estar seguro, el servicio debería informar al cliente que el almacenamiento en la nube no cumple y el cliente debe asumir todos los riesgos.
La aclaración reciente de OCR hace que sea bastante explícito que si un cliente / paciente quiere acceder a sus datos y están de acuerdo con que vengan a través de un canal no encriptado, entonces está bien. Pero la clave es que el cliente / paciente necesita saber esto antes de tiempo.
Es razonable suponer que el servicio que aconseja al cliente que almacene la PHI en un servicio en la nube es responsable de asegurarse de que el servicio recomendado cumpla con los requisitos.
Es una situación diferente si el cliente carga por su propia cuenta su propia PHI a una solución no compatible como Dropbox.
Si aloja la PHI, entonces debe estar absolutamente seguro de que la solución de almacenamiento cumple con HIPAA. Aquí hay una publicación que tiene más información sobre eso y lo que debe considerar si pasa a través de la PHI o si la almacena: Cómo asegurarse de que tiene un sitio web compatible con HIPAA.