Uno dei fattori determinanti più importanti nella conformità HIPAA è la natura delle informazioni trasmesse: se non si tratta di PII sensibili (informazioni di identificazione personale), possono essere trasmesse in modo sicuro elettronicamente. Che cosa è PII e cosa non lo è? Cosa sono le PII sensibili e cosa no? (Clicca qui per una versione stampabile).
Secondo gli Stati Uniti. Office of Management and Budget, PII – o informazioni di identificazione personale-è qualsiasi informazione che può essere utilizzata per identificare in modo univoco, contattare o localizzare un individuo, o può essere utilizzata con altre fonti per identificare in modo univoco una persona.
Le PII sensibili sono quelle che, una volta divulgate, potrebbero causare danni all’individuo il cui nome o identità è collegato alle informazioni. Nel determinare se le PII sono sensibili o meno, deve essere preso in considerazione il contesto in cui vengono utilizzate le informazioni. Ad esempio, un elenco di abbonati a una newsletter governativa non è PII; un elenco di persone che ricevono un trattamento per disturbi della salute mentale è.
Oltre alla considerazione del contesto, l’associazione di elementi PII può creare la necessità di protezione: ad esempio, il nome di un individuo sarebbe considerato PII sensibile se raggruppato con il nome da nubile della madre e la data di nascita, ma questi elementi non sarebbero considerati sensibili indipendenti l’uno dall’altro. I seguenti tipi di PII sono considerati sensibili quando sono associati a un individuo e devono essere protetti quando inviati elettronicamente:
- Luogo di nascita
- Data di nascita
- nome da nubile della Madre
- informazioni Biometriche (identificazione degli esseri umani dai loro caratteristiche o tratti)
- informazioni Mediche
- informazioni finanziarie Personali
- carta di Credito o carta di acquisto numeri di conto
- numero di Passaporto
- Potenzialmente sensibili le informazioni sull’occupazione, quali azioni disciplinari o per il personale di rating
- storia Criminale
- tutte le informazioni che possono stigmatizzare o influire negativamente su una persona
(Questo elenco non è esaustivo, e gli altri dati possono essere sensibile a seconda delle circostanze specifiche.)
I numeri di previdenza sociale (SSN), inclusi gli SSN abbreviati che utilizzano solo le ultime quattro cifre, sono considerati sensibili indipendentemente dal fatto che siano associati o meno a un individuo.
I seguenti tipi di PII possono essere trasmessi elettronicamente senza protezione perché non sono considerati sufficientemente sensibili da richiedere protezione:
- il Lavoro, la casa, e i numeri di telefono cellulare
- Lavori e indirizzi di casa
- di Lavoro e personali, indirizzi e-mail
- Riprende che non contengono un SSN o in cui il SSN è oscurato
- informazioni di carattere Generale circa le persone presenti nelle riprende e biografie
- descrizioni di Posizione e piani di prestazioni senza rating
La determinazione che il PII non è sensibile non significa che si è pubblicamente rilasciabile. La scelta di rilasciare pubblicamente qualsiasi informazione può essere fatta solo dal funzionario autorizzato a prendere tali decisioni. La trasmissione elettronica di PII non sensibili equivale alla trasmissione delle stesse informazioni tramite posta statunitense, un servizio di consegna privato, corriere, fax o voce. Sebbene ciascuna di queste consegne presenta vulnerabilità, le informazioni trasmesse possono essere compromesse solo a seguito di furto, frode o altre attività illegali.