私は、満足のいくフィードバックなしに、次の質問が行われたメーリングリストに参加しており、正解に興味があります。
いくつかの紹介医師は、画像センターからそれぞれの最後に予定され、完了した患者のリストを送信するように要求しています。彼らは、電子メールに含まれる患者名、生年月日、および画像検査の日付を求めていました。
質問は、HIPAAによると、この情報は、紹介する医師に送信するときに安全/暗号化する必要があるかということです。または、プレーンテキストの電子メールで送信できるほど情報が制限されていますか?
HIPAAは、電子メールで送信されたPHIを暗号化することを明示的に要求しません。 HIPAAは、PHIに電子メールを送信するときに「合理的な」保護/考慮事項などを要求します。
HIPAAは、PHIの安全な通過を必要とします。これは、簡単に違反される可能性があります(たとえば、httpとhttpsを介したWebメールクライアントの使用)。
したがって、それは直接HIPAAの違反ではありません。しかし、肝心な点は、暗号化されていない電子メールは危険なアプローチであることです。あなたは、電子メールのプライバシーポリシーの遵守に依存し、間違った人に誤って送信しないこと(HIPAA違反として報告するために必要なイベントです)、およびその他の懸念に依存しています。
Freiheitによって言及されたDIRECTは、適切な受信者を保証するだけでなく、いわば事前に確立された信頼の輪を通じて、送信者を信頼できるソースとしても認証する、取り込みに関する直接交換プロトコルです。
Zixなどのその他の基本的なサービス(基本的に受信者に「ちょっと何かが送信されました...ここをクリックして、それを読むには[安全なサーバーにログイン]であることを証明してください」というメッセージを電子メールで送信する非常に単純な安全な電子メールサービス)。
スレッドでの理論的な議論であれば、「技術的には合法」と言えるでしょう。その理由を共有するワークフローの構築を検討している場合は、別のパスを選択してください。
まともな意見/説明: http://blogs.hcpro.com/hipaa/2010/01/phi-in-e-mail/
これは、医療提供者が作成した個人を特定できる健康情報です。
そのメールを暗号化するべきだと思います。差出人: http://www.hipaa.com/2009/09/hipaa-protected-health-information-what-does-phi-include/
保護された健康情報
保護された健康情報を取得するには、公法104-191(1996年8月21日)のサブタイトルFのパートCのセクション1171にあった2つの定義を調べる必要があります。1996年の医療保険の相互運用性と説明責任に関する法律:管理の簡略化。これらの法定の定義は、健康情報と個々に識別可能な健康情報です。
「健康情報とは、口頭であるか、何らかの形式や媒体で記録されているかにかかわらず、
(A)医療提供者、医療計画、公衆衛生当局、雇用主、生命保険会社、学校または大学、あるいは医療情報センターによって作成または受領されたもの;そして
(B)個人の過去、現在、または将来の身体的または精神的健康または状態、個人へのヘルスケアの提供、または個人へのヘルスケアの提供に対する過去、現在、または将来の支払いに関する。 」
「個人を特定できる健康情報とは、個人から収集された人口統計情報を含む、健康情報のサブセットである情報であり、
(1)ヘルスケアプロバイダー、ヘルスプラン、雇用主、またはヘルスケアクリアリングハウスによって作成または受信された。そして
(2)個人の過去、現在、または将来の身体的または精神的健康または状態に関連する。個人へのヘルスケアの提供;または、個人へのヘルスケアの提供に対する過去、現在、または将来の支払い。そして
(i)個人を識別します。または
(ii)個人を特定するために情報を使用できると信じる合理的な根拠があるものに関して。」