yksi tärkeimmistä HIPAA-vaatimustenmukaisuuden määrittävistä tekijöistä on siirrettävän tiedon luonne: jos se ei ole arkaluonteinen PII (henkilökohtaisesti tunnistettavat tiedot), se voidaan siirtää turvallisesti sähköisesti. Mikä on PII ja mikä ei? Mikä on herkkä PII ja mikä ei? (Klikkaa tästä saadaksesi tulostettavan version).
Yhdysvaltain mukaan Office of Management and Budget, PII-tai henkilökohtaisesti tunnistettavat tiedot-on mitä tahansa tietoa, jota voidaan käyttää yksilölliseen tunnistamiseen, yhteydenottoon tai paikantamiseen tai jota voidaan käyttää muiden lähteiden kanssa henkilön yksilöivään tunnistamiseen.
herkkä PII on sellainen, joka voi paljastuessaan aiheuttaa haittaa henkilölle, jonka nimi tai identiteetti liittyy tietoon. Määritettäessä, onko PII arkaluonteinen vai ei, on otettava huomioon asiayhteys, jossa tietoja käytetään. Esimerkiksi hallituksen tiedotteen tilaajaluettelo ei ole PII; lista mielenterveyshäiriöiden hoidossa olevista ihmisistä on.
asiayhteyden huomioimisen ohella pii-elementtien assosiaatio voi luoda suojelutarpeen: esimerkiksi yksilön nimi katsottaisiin herkäksi PIIKSI, kun se ryhmitellään äitinsä tyttönimen ja syntymäajan kanssa, mutta näitä elementtejä ei katsottaisi herkiksi toisistaan riippumattomiksi. Seuraavat PII-tyypit katsotaan arkaluonteisiksi, kun ne liittyvät yksilöön, ja ne on suojattava sähköisesti toimitettaessa:
- Syntymäpaikka
- syntymäaika
- lääketieteelliset tiedot
- henkilökohtaiset taloudelliset tiedot
- luottokortin tai ostokortin tilinumerot
- passinumerot
- mahdollisesti arkaluonteiset työsuhdetiedot, kuten kurinpitotoimet tai henkilöstöluokitukset
- rikoshistoria
- kaikki tiedot, jotka voivat leimata tai vaikuttaa henkilöön haitallisesti
äidin tyttönimi
(Tämä luettelo ei ole tyhjentävä, ja muut tiedot voivat olla herkkä erityisolosuhteista riippuen.)
sosiaaliturvatunnukset, mukaan lukien lyhennetyt SSN: t, joissa käytetään vain neljää viimeistä numeroa, katsotaan arkaluonteisiksi riippumatta siitä, liittyvätkö ne yksilöön vai eivät.
seuraavat PII-tyypit voidaan siirtää sähköisesti ilman suojaa, koska niitä ei pidetä riittävän herkkinä suojan vaatimiseksi:
määritys siitä, että PII ei ole arkaluonteinen, ei tarkoita, että se olisi julkisesti vapautettavissa. Päätöksen julkisesta julkistamisesta voi tehdä vain virkamies, jolla on valtuudet tehdä tällaisia päätöksiä. Ei-arkaluonteisen PII: n sähköinen siirto vastaa saman tiedon välittämistä yhdysvaltalaisen postin, yksityisen jakelupalvelun, kuriirin, faksin tai puheyhteyden kautta. Vaikka jokaisessa näistä toimituksista on haavoittuvuuksia, välitetyt tiedot voivat vaarantua vain varkauden, petoksen tai muun laittoman toiminnan seurauksena.