Einer der wichtigsten bestimmenden Faktoren für die HIPAA-Compliance ist die Art der übertragenen Informationen: Wenn es sich nicht um sensible PII (persönlich identifizierbare Informationen) handelt, können diese sicher elektronisch übertragen werden. Was sind PII und was nicht? Was sind sensible PII und was nicht? (Klicken Sie hier für eine Druckversion).
Nach Angaben der U.S. Office of Management and Budget, PII – oder persönlich identifizierbare Informationen – sind alle Informationen, die verwendet werden können, um eine Person eindeutig zu identifizieren, zu kontaktieren oder zu lokalisieren, oder mit anderen Quellen verwendet werden können, um eine Person eindeutig zu identifizieren.
Sensible PII sind solche, die, wenn sie offengelegt werden, zu einem Schaden für die Person führen könnten, deren Name oder Identität mit den Informationen verknüpft ist. Bei der Bestimmung, ob personenbezogene Daten sensibel sind oder nicht, muss der Kontext berücksichtigt werden, in dem die Informationen verwendet werden. Beispielsweise, Eine Liste der Abonnenten eines staatlichen Newsletters ist keine PII; eine Liste von Personen, die wegen psychischer Störungen behandelt werden, ist.Neben der Berücksichtigung des Kontexts kann die Zuordnung von PII-Elementen die Notwendigkeit des Schutzes schaffen: Zum Beispiel würde der Name einer Person als sensible PII betrachtet, wenn sie mit dem Mädchennamen und dem Geburtsdatum ihrer Mutter gruppiert würde, aber diese Elemente würden nicht unabhängig voneinander als sensibel betrachtet. Die folgenden Arten von PII gelten als sensibel, wenn sie mit einer Person verbunden sind, und müssen geschützt werden, wenn sie elektronisch übermittelt werden:
- Geburtsort
- Geburtsdatum
- Mädchenname der Mutter
- Biometrische Informationen (Identifizierung von Menschen anhand ihrer Merkmale oder Merkmale)
- Medizinische Informationen
- Persönliche Finanzinformationen
- Kreditkarten- oder Kreditkartenkontonummern
- Passnummern
- Potenziell sensible Beschäftigungsinformationen wie Disziplinarmaßnahmen oder Personalbewertungen
- Vorstrafen
- Alle Informationen, die eine Person stigmatisieren oder nachteilig beeinflussen können
(Diese Liste ist nicht erschöpfend, und andere Daten können sein empfindlich abhängig von spezifischen Umständen.Sozialversicherungsnummern (SSNs), einschließlich abgekürzter SSNs, die nur die letzten vier Ziffern verwenden, gelten als sensibel, unabhängig davon, ob sie mit einer Person verbunden sind oder nicht.
Die folgenden Arten von PII können elektronisch ohne Schutz übertragen werden, da sie nicht als ausreichend empfindlich angesehen werden, um geschützt zu werden:
- Arbeits-, Privat- und Handynummern
- Arbeits- und Privatadressen
- Arbeits- und persönliche E-Mail-Adressen
- Lebensläufe, die keine SSN enthalten oder bei denen die SSN verdeckt ist
- Allgemeine Hintergrundinformationen zu Personen, die in Lebensläufen und Biografien zu finden sind
- Positionsbeschreibungen und Leistungspläne ohne Bewertungen
Die Feststellung, dass personenbezogene Daten nicht sensibel sind, bedeutet nicht, dass sie öffentlich lösbar. Die Entscheidung, Informationen öffentlich freizugeben, kann nur von dem Beamten getroffen werden, der befugt ist, solche Entscheidungen zu treffen. Die elektronische Übermittlung nicht sensibler personenbezogener Daten entspricht der Übermittlung derselben Informationen per US-Post, einem privaten Zustelldienst, Kurier, Fax oder Sprache. Obwohl jede dieser Lieferungen Schwachstellen aufweist, können die übertragenen Informationen nur durch Diebstahl, Betrug oder andere illegale Aktivitäten kompromittiert werden.