een van de belangrijkste bepalende factoren voor HIPAA-naleving is de aard van de informatie die wordt verzonden: als het geen gevoelige PII (persoonlijk identificeerbare informatie) is, kan deze veilig elektronisch worden verzonden. Wat is PII en wat niet? Wat is gevoelig en wat niet? (Klik hier voor een Afdrukbare versie).
volgens de VS Office of Management and Budget, PII – of persoonlijk identificeerbare informatie-is alle informatie die kan worden gebruikt om uniek te identificeren, contact op te nemen of een individu te lokaliseren, of kan worden gebruikt met andere bronnen om een persoon uniek te identificeren.
gevoelige PII is datgene wat, wanneer openbaar gemaakt, kan leiden tot schade aan de persoon wiens naam of identiteit is gekoppeld aan de informatie. Om te bepalen of PII al dan niet gevoelig is, moet rekening worden gehouden met de context waarin de informatie wordt gebruikt. Bijvoorbeeld, een lijst van abonnees op een nieuwsbrief van de overheid is niet PII; een lijst van mensen die worden behandeld voor psychische stoornissen is.
naast de overweging van de context kan de associatie van PII-elementen de behoefte aan bescherming creëren: bijvoorbeeld, de naam van een individu zou worden beschouwd als gevoelig PII wanneer gegroepeerd met de meisjesnaam en geboortedatum van zijn moeder, maar deze elementen zouden niet worden beschouwd als gevoelig onafhankelijk van elkaar. De volgende soorten PII worden als gevoelig beschouwd wanneer zij met een individu worden geassocieerd en moeten worden beschermd wanneer zij elektronisch worden ingediend.:
- de Plaats van geboorte –
- geboortedatum
- moeders meisjesnaam
- Biometrische gegevens (identificatie van de mens door hun kenmerken of eigenschappen)
- Medische informatie
- Persoonlijke financiële informatie
- Credit card of koop card nummers
- Paspoort nummers
- Potentieel gevoelige werkgelegenheid informatie zoals disciplinaire maatregelen of personeel beoordelingen
- Criminele geschiedenis
- Elke informatie die kan stigmatiseren of negatieve invloed hebben op een persoon
(Deze lijst is niet uitputtend en andere gegevens kan worden gevoelig afhankelijk van specifieke omstandigheden.)
sofinummers (SSNs), inclusief verkorte SSNs die alleen de laatste vier cijfers gebruiken, worden als gevoelig beschouwd, ongeacht of ze al dan niet geassocieerd zijn met een individu.
de volgende typen PII kunnen zonder bescherming elektronisch worden verzonden omdat zij niet voldoende gevoelig worden geacht om bescherming te vereisen:
- werk -, thuis-en mobiele telefoonnummers
- werk-en thuisadressen
- werk-en persoonlijke e-mailadressen
- CV ’s die geen SSN bevatten of waar de SSN wordt verduisterd
- algemene achtergrondinformatie over personen in cv’ s en biografieën
- Positiebeschrijvingen en prestatieplannen zonder ratings
de vaststelling dat PII niet-gevoelig is betekent niet dat het is publiekelijk beschikbaar. De keuze om informatie openbaar te maken kan alleen worden gemaakt door de ambtenaar die bevoegd is om dergelijke beslissingen te nemen. De elektronische overdracht van niet-gevoelige PII is gelijk aan het verzenden van dezelfde informatie via Amerikaanse post, een particuliere bezorgservice, koerier, fax of spraak. Hoewel elk van deze leveringen kwetsbaarheden heeft, kan de verzonden informatie alleen worden gecompromitteerd als gevolg van diefstal, fraude of andere illegale activiteiten.