HIPAA-compatibele hosting voor in Europa gevestigde organisaties

Om medische gegevens die vanuit de Europese Unie (EU) worden overgedragen, te hosten en/of te migreren, moeten Amerikaanse hostingproviders het Certificeringsproces tussen de VS en de EU onderdompelen.

EU-richtlijn 95/46/EG is het mandaat van de Europese Unie (in samenhang met het Europees Verdrag (EG}) voor de bescherming van personen in verband met automatische verwerking van persoonsgegevens. Gezondheidsinformatie valt onder de werkingssfeer van deze Europese richtlijn. U.S.-EU Safe Harbor Framework is een proces voor Amerikaanse organisaties om te voldoen aan deze Europese norm voor privacybescherming van persoonsgegevens afkomstig uit landen die deelnemen aan de EU.

Bij het omgaan met dit soort gegevensbescherming zijn niet-productie (ontwikkelings)hostingomgevingen niet gebonden aan deze regelgeving (als beschermde gezondheidsinformatie (PHI) en/of elektronische medische dossiers (EMR) niet op deze systemen zijn gevestigd). Overwegende dat de "overgangs" en "productie"-systemen deze beperkingen op het verbeteren van gegevensbescherming zouden moeten volgen.

Er zijn verschillen tussen de AMERIKAANSE HIPAA Compliance en de VS-EU Safe Harbor-vereisten. Health Information Portability and Accountability Act (HIPAA) is meer een richtlijn, terwijl de EU-gegevensprivacy strenger is bij het aanpakken van maatregelen op het gebied van informatiebescherming en gegevensbeveiliging.

HIPAA-richtlijnen volgen code of federal regulations (CFR) om zich aan de naleving te houden; Us-EU Framework gebruikt de Safe Harbor Privacy Principles als de fundamentele regels.

Kortom, HIPAA en US-EU Safe Harbor dienen beide hetzelfde doel: de bescherming van privégegevens (met medische dossiers en patiëntgegevens).

- HIPAA wordt gereguleerd door de Amerikaanse federale overheid
- VS-EU wordt gereguleerd door de Amerikaanse federale regering en de Europese Unie
- Gegevens die in de VS worden gehost, zijn gebonden aan HIPAA, niet aan VS-EU
- Gegevens die in de EU worden gehost, zijn niet gebonden aan HIPAA, noch aan de VS-EU
- Gegevens die worden gehost in de VS [die privégegevens bevatten die van de EU naar de VS zijn overgedragen] zijn gebonden aan HIPAA en VS-EU

X