La comunicazione tramite e-mail / paziente crittografata richiesta da HIPAA, HITECH o uso significativo

Naviga le tue risposte
13

Voglio sottolineare, fin dall'inizio, che so tutto del Progetto diretto e sono un grande fan del lavoro per fornire e-mail sicura basata su standard basati sull'uso per la comunicazione medico-paziente. Non sto chiedendo una domanda "dovrebbe" qui. So che le comunicazioni medico-paziente dovrebbero essere criptate. So che i requisiti di utilizzo significativi ora sono in ricompensa per le comunicazioni basate su progetti diretti.

Ciò che vogliono sapere è, in definitiva, i fornitori di servizi sanitari possono avere pazienti che firmano deroghe che consentono ai medici di legalmente inviare email in testo normale con loro? Le persone sembrano leggere le diverse norme di legge HIPAA-HITECH in modo molto diverso. I venditori di prodotti sicuri dicono sempre che l'e-mail protetta è richiesta legalmente. Eppure conosco diversi operatori sanitari che comunicano PHI usando e-mail in chiaro con i loro pazienti, facendo firmare ai loro pazienti qualcosa che dice che il paziente capisce i problemi con e-mail in chiaro e lo considera ancora "protetto" sotto HIPAA.

Quindi ci sono almeno alcune persone che sostengono che è illegale (i venditori) e alcuni che sostengono che è legale e invia attivamente e-mail di testo semplice.

Non lo sto chiedendo perché non ho un'opinione su questo da solo. Sto chiedendo a qualcuno di fare un'asserzione riguardo a questo problema, e di confermarlo con citazioni e link corrispondenti alle varie sezioni delle leggi e delle norme federali in questione. Ovviamente tutte le norme e le leggi pertinenti a livello nazionale dovrebbero essere referenziate in una risposta accettata.

Perché questo può essere un po 'di lavoro, sto mettendo una taglia su questo.

    
posta 05.04.2012 - 00:25
fonte

2 risposte

7

L'Ufficio dei diritti civili è responsabile dell'applicazione dei regolamenti HIPAA.

Hanno rilasciato un documento che indirizza direttamente la tua domanda. Ecco il link a tale documento: Safeguards.pdf . Leggi la risposta alla domanda 3.

Nota, in particolare, questo paragrafo:

Patients may initiate communications with a provider using e-mail. If this situation occurs, the health care provider can assume (unless the patient has explicitly stated otherwise) that e-mail communications are acceptable to the individual. If the provider feels the patient may not be aware of the possible risks of using unencrypted e-mail, or has concerns about potential liability, the provider can alert the patient of those risks, and let the patient decide whether to continue e-mail communications.

Ulteriori informazioni HIPAA sono disponibili all'indirizzo: link .

Spero che questo aiuti.

    
risposta data 11.04.2012 - 01:54
fonte
2

C'è un problema che dovresti coprire per ottenere una risposta valida a questa domanda, quale struttura ... L'HIPAA è stato scritto in modo che ogni struttura potesse interpretare i suoi requisiti per soddisfare al meglio le loro esigenze, quindi il modo in cui una struttura interpreta il requisito potrebbe essere completamente diverso rispetto al modo in cui un altro lo fa.

Detto questo, il modo in cui l'abbiamo gestito nel mio precedente ospedale è che l'e-mail non ha bisogno di essere crittografata purché non includa informazioni sull'intitalità della privacy (SSN, indirizzo, ecc.). Oltre a ciò, fornire un messaggio di posta elettronica valido è stato indicato sul modulo di informazioni sul paziente come autorizzazione ad avviare comunicazioni via e-mail fino a quando il paziente non ha inoltrato una richiesta in forma scritta per non inviarle via e-mail.

Ad esempio, questo documento di Health and Human Services dice nelle sue FAQ:

Q3: Does the HIPAA Privacy Rule permit health care providers to use e-mail to discuss health issues and treatment with their patients?

A3: Yes. The Privacy Rule allows covered health care providers to communicate electronically, such as through e-mail, with their patients, provided they apply reasonable safeguards when doing so. See 45 C.F.R. § 164.530(c). For example, certain precautions may need to be taken when using e-mail to avoid unintentional disclosures, such as checking the e-mail address for accuracy before sending, or sending an e-mail alert to the patient for address confirmation prior to sending the message. Further, while the Privacy Rule does not prohibit the use of unencrypted e-mail for treatment-related communications between health care providers and patients, other safeguards should be applied to reasonably protect privacy, such as limiting the amount or type of information disclosed through the unencrypted e-mail. In addition, covered entities will want to ensure that any transmission of electronic protected health information is in compliance with the HIPAA Security Rule requirements at 45 C.F.R. Part 164, Subpart C. [...]

Patients may initiate communications with a provider using e-mail. If this situation occurs, the health care provider can assume (unless the patient has explicitly stated otherwise) that e-mail communications are acceptable to the individual. If the provider feels the patient may not be aware of the possible risks of using unencrypted e-mail, or has concerns about potential liability, the provider can alert the patient of those risks, and let the patient decide whether to continue e-mail communications.

    
risposta data 01.05.2012 - 17:12
fonte

Leggi altre domande sui tag

Qual è la differenza tra MITMproxy e SSLsplit? La funzione di importazione delle funzioni della shell bash genera inevitabilmente un problema di escalation dei privilegi?