问对于HIPAA，美国患者数据是否必须留在美国服务器上？

EN

数据似乎可以储存在国外，但需要考虑服务地点和任何额外风险。

1. HIPAA规则是否允许被覆盖的实体或业务关联使用将ePHI存储在美国以外的服务器上的CSP？是的，只要被覆盖的实体(或业务伙伴)与CSP签订业务关联协议(BAA)，并以其他方式符合HIPAA规则的适用要求。然而，虽然该规则不包括特定于保护由CSP或美国以外任何其他业务伙伴处理或存储的电子受保护健康信息( ePHI )的要求，但OCR指出，这种ePHI的风险可能因其地理位置的不同而有很大差异。特别是，将ePHI的存储或其他服务外包到海外可能会增加信息的风险和脆弱性，或者在数据隐私和安全保护的可执行性方面提出特殊考虑。涵盖的实体(和业务伙伴，包括CSP)在进行安全规则所要求的风险分析和风险管理时，应考虑到这些风险。见45 CFR§164.308(A)(1)(2)(A)和(A)(1)(2)(B)。例如，如果ePHI被保存在一个有文件记载的黑客或其他恶意软件攻击增加的国家，则应考虑这种风险，各实体必须实施合理和适当的技术保障措施，以应对此类威胁。[来源]