<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Fri, Jan 8, 2016 at 10:49 AM Thierry Moreau <<a href="mailto:thierry.moreau@connotech.com">thierry.moreau@connotech.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> From the original post:<br>
"security protections in compliance with HIPAA rules"<br>
which would (indirectly?) mandate effective data protection (... whether<br>
this extends to proper key management procedures is another story ...).<br>
<br>
The US health sector is governed by HIPAA for privacy of medical<br>
records. With the battle between lawyers and insurance companies (for<br>
clinicians error liability coverage) in the private-organization-centric<br>
US health care system, I would suspect the HIPAA rules are implemented </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">with some dedication.<br></blockquote><div><br></div><div>I thought I'd seen mention of HIPAA but then couldn't find it again. But the complaint says "If dentists were aware that Dentrix G5 used
a form of data protection that was more vulnerable than widely-used, industry standard
encryption algorithms, they <i>may</i> have chosen to purchase another product." (Emphasis mine.) Which leads me to believe that using this product does NOT violate HIPAA, or I imagine they would have used different phrasing. Unless what you're saying is that HIPAA gives leeway in how providers' protect data and that dentists would potentially be exposed to additional liability because of using Dentrix G5, and thus dentists WOULD care about "data camouflage" versus "encryption," but I kinda doubt that most dentists are even capable of distinguishing between those terms. Certification by some private third party recognized by their data-theft insurance carrier would make more sense.</div></div></div>