a HIPAA-megfelelés egyik legfontosabb meghatározó tényezője a továbbított információ jellege: ha nem érzékeny PII (személyazonosításra alkalmas információ), akkor biztonságosan továbbítható elektronikusan. Mi az a PII és mi nem? Mi az érzékeny PII és mi nem? (Kattintson ide a nyomtatható változat).
az Egyesült Államok szerint. Office of Management and Budget, PII – vagy személyesen azonosítható információ – minden olyan információ, amely felhasználható az egyén egyedi azonosítására, kapcsolatfelvételére vagy lokalizálására, vagy más forrásokkal együtt felhasználható egy személy egyedi azonosítására.
érzékeny PII az, amely nyilvánosságra hozatal esetén kárt okozhat annak az egyénnek, akinek a neve vagy személyazonossága az információhoz kapcsolódik. Annak meghatározásakor, hogy a PII érzékeny-e vagy sem, figyelembe kell venni az információ felhasználásának kontextusát. Például a kormányzati hírlevél előfizetőinek listája nem PII; a mentális egészségi rendellenességek miatt kezelésben részesülő emberek listája.
a kontextus figyelembevétele mellett a PII elemek társítása is szükségessé teheti a védelmet: például az egyén neve érzékeny PII-nek tekinthető, ha anyja leánykori nevével és születési dátumával csoportosítják, de ezek az elemek nem tekinthetők érzékenynek egymástól függetlenül. A következő típusú PII-k akkor tekinthetők érzékenynek, ha egyénhez kapcsolódnak, és elektronikus benyújtáskor védeni kell őket:
- születési hely
- születési idő
- anyja leánykori neve
- biometrikus információk (az emberek azonosítása jellemzőik vagy vonásaik alapján)
- orvosi információk
- személyes pénzügyi információk
- hitelkártya vagy vásárlási kártya számlaszámok
- Útlevélszámok
- potenciálisan érzékeny foglalkoztatási információk, például fegyelmi intézkedések vagy személyi minősítések
- bűnügyi előzmények
- minden olyan információ, amely megbélyegezhet vagy hátrányosan érinthet egy személyt
(Ez a lista nem teljes, és egyéb adatok lehetnek érzékeny az adott körülményektől függően.)
társadalombiztosítási számok (SSN-ek), beleértve a rövidített SSN-eket, amelyek csak az utolsó négy számjegyet használják, érzékenynek tekinthetők, függetlenül attól, hogy egy egyénhez kapcsolódnak-e vagy sem.
a következő típusú PII-k védelem nélkül továbbíthatók elektronikusan, mivel nem tekinthetők kellően érzékenynek ahhoz, hogy védelmet igényeljenek:
- munka -, otthon-és mobiltelefonszámok
- munka-és otthoni címek
- munka-és személyes e-mail címek
- önéletrajzok, amelyek nem tartalmaznak SSN-t, vagy ahol az SSN el van takarva
- általános háttérinformációk az önéletrajzokban és életrajzokban található személyekről
- Pozícióleírások és teljesítménytervek értékelés nélkül
az a megállapítás, hogy a PII nem érzékeny, nem jelenti azt, hogy nyilvánosan hozzáférhető felszabadítható. Bármely információ nyilvánosságra hozatalát csak az ilyen döntések meghozatalára felhatalmazott tisztviselő hozhatja meg. A nem érzékeny PII elektronikus továbbítása egyenértékű ugyanazon információk amerikai postai úton, magánkézben lévő kézbesítési szolgáltatáson, futáron, faxon vagy hangon történő továbbításával. Bár ezeknek a szállításoknak mindegyikében vannak sebezhetőségek, a továbbított információkat csak lopás, csalás vagy más illegális tevékenység eredményeként lehet veszélyeztetni.