Il nome di un paziente, la data di nascita e la data dello studio possono essere inviati in un messaggio di testo semplice a un documento di riferimento?

HIPAA non richiede esplicitamente che la PHI inviata per email sia crittografata. HIPAA richiede protezione / ragionamento "ragionevole" ecc. Quando si invia un'e-mail a PHI.

HIPAA richiede un transito sicuro di PHI, che potrebbe essere facilmente violato (ad esempio utilizzando un client webmail su http rispetto a https).

Quindi non è direttamente una violazione di HIPAA. TUTTAVIA, la linea di fondo è che l'e-mail non crittografata è un approccio rischioso. Sei dipendente dall'aderenza alle norme sulla privacy delle e-mail, sei dipendente dall'invio involontario alla persona sbagliata (che è un evento obbligatorio da segnalare come una violazione HIPAA) e da altre preoccupazioni.

DIRECT, come accennato da Freiheit, è un protocollo di scambio diretto sull'assorbimento che non solo garantisce il destinatario corretto, ma autentica anche il mittente come fonte attendibile, attraverso circoli di fiducia prestabiliti, per così dire.

Altri servizi di base come Zix (un servizio di posta elettronica molto semplice e sicuro che in sostanza invia al destinatario un messaggio "hey, alcune cose sono state inviate ... fai clic qui e dimostra che sei tu [accedi al server sicuro] per leggerlo).

Se si tratta di un dibattito teorico sulla tua discussione, puoi dire "tecnicamente è legale". Se è in considerazione per la creazione di un flusso di lavoro per condividere tale motivo, scegli un altro percorso.

Alcune opinioni / descrizioni decenti: link

Si tratta di informazioni sulla salute personalmente identificabili che sono state create da un fornitore di assistenza sanitaria.

Penso che dovresti crittografare quella email. Da: link

Protected Health Information

To get to protected health information, you have to examine two definitions that were in Section 1171 of Part C of Subtitle F of Public Law 104-191 (August 21, 1996): Health Insurance Portability and Accountability Act of 1996: Administrative Simplification. These statutory definitions are of health information and individually identifiable health information.

“Health information means any information, whether oral or recorded in any form or medium, that–

(A) is created or received by a health care provider, health plan, public health authority, employer, life insurer, school or university, or health care clearinghouse; and

(B) relates to the past, present, or future physical or mental health or condition of any individual, the provision of health care to an individual, or the past, present, or future payment for the provision of health care to an individual.”

“Individually identifiable health information is information that is a subset of health information, including demographic information collected from an individual, and:

(1) Is created or received by a health care provider, health plan, employer, or health care clearinghouse; and

(2) Relates to the past, present, or future physical or mental health or condition of an individual; the provision of health care to an individual; or the past, present, or future payment for the provision of health care to an individual; and

(i) That identifies the individual; or

(ii) With respect to which there is a reasonable basis to believe the information can be used to identify the individual.”