L'email è meno sicura della posta vocale, della posta ordinaria o dei portali Internet per il trasferimento di informazioni sensibili?

Sì, l'e-mail non è sicura e non dovrebbe essere utilizzata per fornire dati sensibili. Ciò non significa che dovrebbero essere obbligati a rifiutare di inviare qualsiasi via e-mail, ma dato HIPAA e le potenziali sanzioni per non conformità, non sono sorpreso che alcuni provider scelgano di sbagliare lato di estrema cautela e evita completamente la posta elettronica.

Ecco perché l'email non è sicura: il provider non controlla l'intero canale. Una volta che un'e-mail ha lasciato il proprio sistema, non hanno modo di garantire che verrà crittografata e protetta da occhi indiscreti mentre si fa strada attraverso Internet e nella tua casella di posta. Infatti, con lo stato della posta elettronica di oggi, è molto probabile che non venga crittografato lungo l'intero percorso di transito. Quindi, se dovessero inviare PHI via e-mail e è stato rubato o usato in modo improprio, non sarebbe irragionevole sostenere che non hanno mostrato la dovuta attenzione e avrebbero dovuto saperlo meglio, quindi, essere ritenuti responsabili per la perdita. Quando cerchi il loro sito web in un browser, possono tranquillamente affermare che le informazioni sono inviate in modo sicuro al tuo schermo utilizzando HTTPS.

Questo rischio può essere (virtualmente) eliminato attraverso l'uso della crittografia come PGP. Sai qual è l'assorbimento di PGP? Percentuale di tutti gli utenti di posta elettronica, nel migliore dei casi con cifre singole basse. E anche quegli utenti tendono a odiarlo e vederlo come un male necessario. Ciò potrebbe cambiare in futuro, ma questa è la realtà oggi. Sai qual è l'assorbimento di HTTPS sul Web? 100%. Ogni browser lo supporta ed è completamente indolore per l'utente finale. Usa ciò che funziona per i tuoi utenti.

La posta di lumaca è più insicura? No. Perché no? Perché il pezzo di posta ha una singola posizione fisica e non può essere rubato senza la presenza fisica e il rischio personale per il ladro. Rubare cose da Internet è facile. Quella rete cattura la trappola, e i server di posta che registrano le e-mail non crittografate non sono tanto un rischio quanto un dato di fatto. È molto improbabile che la posta di lumache venga intercettata. L'USPS ha un'intera divisione di forze dell'ordine per proteggerlo. Hanno un record stellare (non perfetto per qualsiasi immaginazione, ma molto molto buono) di recapitare la posta ai destinatari previsti. È ragionevole che un'azienda esporti l'USPS a fornire informazioni confidenziali a voi indisturbate. Non è ragionevole aspettarsi lo stesso dall'e-mail SMTP.

Quindi, sì, il fatto che non forniscano alcuna informazione tramite email è eccessivamente prudente. Il fatto che non forniscano PHI in quel modo, certamente non lo è.

HIPAA rende complicato l'uso della posta elettronica.

99% of covered entities make the huge mistake of thinking they can become HIPAA Compliant by simply deploying an email encryption solution. What they fail to understand is there is a lot more to HIPAA Email Compliance than just using encryption.

Tuttavia, un banale promemoria per l'appuntamento potrebbe essere OK , se hai attivato e confermato il tuo indirizzo email,

The Security Rule does not prohibit communication via e-mail or other electronic means. Information can be sent over the Internet as long as it is adequately protected. In general, e-mailing information such as appointment reminders is allowable as a part of treatment and does not require authorization under the Privacy Rule. Providers should make sure that the e-mail contains the minimum amount of information needed, should verify the e-mail address, and confirm that the patient wants to receive e-mails. The privacy notice should include language about appointment reminders.

IMO i fornitori di assistenza sanitaria non sono esperti di sicurezza e pertanto non stanno facendo un reclamo notevole sull'email: invece stanno cercando di rispettare la legislazione HIPAA.