O seguinte é a lei e será uma leitura seca.
link
Pelo que entendi, a lei não exige que você implemente qualquer sistema específico, mas exige que o sistema preveja e proteja a privacidade das informações médicas. Cabe a você interpretar o que significa proteger a privacidade da informação médica.
No seu exemplo, seu cliente está se conectando a um servidor através de uma VPN, que eu suponho que o tráfego esteja criptografado, para obter informações médicas. Sua pergunta é se o computador precisa ter suas unidades criptografadas?
Isso depende de se os dados são armazenados (arquivos salvos, copiados e colados, arquivos temporários) na unidade do computador. Se sim, então a criptografia seria minha recomendação.
Além disso, o controle de acesso é uma consideração. Ele contornaria a criptografia e as senhas se o sistema operacional e / ou o software fossem configurados para descriptografar automaticamente a unidade e armazenar as senhas, permitindo o acesso não autorizado de pessoas que não representam a empresa aos dados. Isso se estenderia ao usuário mantendo stickies com suas senhas anexadas ao monitor ou sob o teclado.
Em resumo, você está perguntando quais são os requisitos do HIPPA. Esses requisitos, como eu os interpreto, são para uma empresa ou organização desenvolver procedimentos para evitar razoavelmente vazamentos não autorizados de informações médicas privadas. O que eu acho que você está procurando é melhores práticas para resolver este problema. Os links de Lance são muito bons para responder a essa pergunta. O objetivo final é evitar que informações médicas sejam vazadas.