en af de vigtigste afgørende faktorer i HIPAA-overholdelse er arten af de oplysninger, der transmitteres: hvis det ikke er følsomt PII (personligt identificerbare oplysninger), kan det overføres sikkert elektronisk. Hvad er PII og hvad er det ikke? Hvad er følsomme PII og hvad er ikke? (Klik her for en udskrivbar version).
ifølge USA. Office of Management and Budget, PII – eller personligt identificerbare oplysninger-er enhver information, der kan bruges til entydigt at identificere, kontakte eller finde en person, eller kan bruges sammen med andre kilder til entydigt at identificere en person.
følsom PII er den, der, når den afsløres, kan resultere i skade på den person, hvis navn eller identitet er knyttet til informationen. Ved afgørelsen af, om PII er følsom eller ej, skal den sammenhæng, hvori Informationen bruges, tages i betragtning. For eksempel er en liste over abonnenter på et regeringsnyhedsbrev ikke PII; en liste over personer, der modtager behandling for psykiske lidelser er.
ud over overvejelsen af kontekst kan foreningen af PII-elementer skabe behovet for beskyttelse: for eksempel ville en persons navn blive betragtet som følsom PII, når de grupperes med deres mors pigenavn og fødselsdato, men disse elementer ville ikke blive betragtet som følsomme uafhængige af hinanden. Følgende typer PII betragtes som følsomme, når de er forbundet med en person og skal beskyttes, når de indsendes elektronisk:
- fødested
- fødselsdato
- mors pigenavn
- biometriske oplysninger (identifikation af mennesker ved deres egenskaber eller træk)
- medicinske oplysninger
- personlige økonomiske oplysninger
- kreditkort-eller købskortkontonumre
- pasnumre
- potentielt følsomme beskæftigelsesoplysninger, såsom disciplinære handlinger eller personalevurderinger
- kriminel historie
- alle oplysninger, der kan stigmatisere eller påvirke en person
li>
(denne liste er ikke udtømmende, og andre data kan være følsom afhængigt af specifikke omstændigheder.)
Social security numbers (SSN ‘er), herunder forkortede SSN’ er, der kun bruger de sidste fire cifre, betragtes som følsomme, uanset om de er forbundet med en person eller ej.
følgende typer PII kan overføres elektronisk uden beskyttelse, fordi de ikke betragtes som tilstrækkeligt følsomme til at kræve beskyttelse:
- arbejde, hjem og mobiltelefonnumre
- arbejde og hjemmeadresser
- arbejde og personlige e-mail-adresser
- genoptages, der ikke indeholder et SSN, eller hvor SSN er skjult
- generel baggrundsinformation om personer, der findes i CV ‘ er og biografier
- Positionsbeskrivelser og præstationsplaner uden ratings
bestemmelsen om, at PII er ikke-følsom, betyder ikke, at det er nødvendigt at er offentligt tilgængelig. Valget om at offentliggøre oplysninger kan kun træffes af den embedsmand, der er bemyndiget til at træffe sådanne beslutninger. Den elektroniske transmission af ikke-følsomme personlige oplysninger svarer til at overføre de samme oplysninger via amerikansk post, en privat leveringstjeneste, kurer, telefon eller stemme. Selvom hver af disse leverancer har sårbarheder, kan de overførte oplysninger kun kompromitteres som følge af tyveri, svig eller anden ulovlig aktivitet.