Ce qui suit est la loi et sera une lecture aride.
http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hitechrfi.pdf
Si j'ai bien compris, la loi n'exige pas que vous mettiez en place un système spécifique, mais plutôt que le système anticipe et protège la confidentialité des informations médicales. C'est à vous d'interpréter ce que signifie la protection de la confidentialité des informations médicales.
Dans votre exemple, votre client se connecte à un serveur par le biais d'un VPN, dont je suppose que le trafic est crypté, pour obtenir des informations médicales. Votre question est de savoir si l'ordinateur doit avoir ses lecteurs cryptés ?
Pour moi, cela dépend de la question de savoir si les données sont stockées (sauvegardes de fichiers, copier-coller, fichiers temporaires) sur le disque de l'ordinateur. Si c'est le cas, je recommanderais le cryptage.
De plus, le contrôle d'accès est un élément à prendre en compte. Le cryptage et les mots de passe seraient contournés si le système d'exploitation et/ou le logiciel étaient configurés pour décrypter automatiquement le disque et stocker les mots de passe, ce qui permettrait à des personnes qui ne représentent pas l'entreprise d'accéder aux données sans autorisation. L'utilisateur pourrait même conserver des autocollants contenant ses mots de passe sur son écran ou sous son clavier.
En résumé, vous demandez quelles sont les exigences de l'HIPPA. Ces exigences, telles que je les interprète, consistent pour une entreprise ou une organisation à mettre en place des procédures visant à prévenir raisonnablement les fuites non autorisées d'informations médicales privées. Je pense que ce que vous recherchez, ce sont les meilleures pratiques pour résoudre ce problème. Les liens de Lance répondent très bien à cette question. L'objectif ultime est d'empêcher la fuite d'informations médicales.
