jednym z najważniejszych czynników decydujących o zgodności z HIPAA jest charakter przesyłanych informacji: jeśli nie są to wrażliwe IIP (dane osobowe), mogą być bezpiecznie przesyłane drogą elektroniczną. Co to jest PII, a co nie? Co to jest wrażliwe PII, a co nie? (Kliknij tutaj, aby zobaczyć wersję do druku).
Biuro Zarządzania i budżetu, PII-lub dane osobowe-to wszelkie informacje, które mogą być wykorzystane do jednoznacznej identyfikacji, kontaktu lub zlokalizowania osoby, lub mogą być wykorzystane z innymi źródłami do jednoznacznej identyfikacji osoby.
wrażliwe IIP to takie, które po ujawnieniu mogą spowodować szkodę dla osoby, której imię i nazwisko lub tożsamość są powiązane z informacjami. Przy określaniu, czy IIP jest wrażliwa, należy wziąć pod uwagę kontekst, w którym informacje są wykorzystywane. Na przykład lista subskrybentów biuletynu rządowego nie jest PII; lista osób otrzymujących leczenie zaburzeń zdrowia psychicznego jest.
oprócz uwzględnienia kontekstu, powiązanie elementów PII może stwarzać potrzebę ochrony: na przykład, imię danej osoby byłoby uważane za wrażliwe PII, gdy zgrupowane jest z panieńskim nazwiskiem i datą urodzenia matki, ale elementy te nie byłyby uważane za wrażliwe niezależnie od siebie. Następujące rodzaje IIP są uważane za wrażliwe, gdy są powiązane z osobą fizyczną i muszą być chronione, gdy są przesyłane elektronicznie:
- miejsce urodzenia
- data urodzenia
- nazwisko panieńskie matki
- informacje biometryczne (identyfikacja ludzi po ich cechach lub cechach)
- Informacje medyczne
- osobiste informacje finansowe
- numery kart kredytowych lub kart zakupu
- numery paszportów
- potencjalnie wrażliwe informacje o zatrudnieniu, takie jak działania dyscyplinarne lub uprawnienia personelu
- Historia kryminalna
- wszelkie informacje, które mogą piętnować lub niekorzystnie wpływać na osobę
li>
(lista ta nie jest wyczerpująca, a inne dane mogą być wrażliwe w zależności od konkretnych okoliczności.)
numery ubezpieczenia społecznego (SSN), w tym skrócone SSN, które wykorzystują tylko cztery ostatnie cyfry, są uważane za wrażliwe, niezależnie od tego, czy są powiązane z osobą.
następujące rodzaje IIP mogą być przesyłane elektronicznie bez ochrony, ponieważ nie są uważane za wystarczająco wrażliwe, aby wymagały ochrony:
- numery do pracy, domu i telefonu komórkowego
- adresy do pracy i domu
- adresy do pracy i osobiste adresy e-mail
- życiorysy, które nie zawierają numeru SSN lub w których numer SSN jest zasłonięty
- Ogólne informacje ogólne o osobach znalezionych w życiorysach i biografiach
- opisy stanowisk i plany wydajności bez ocen
stwierdzenie, że PII nie jest wrażliwa, nie oznacza, że jest publicznie dostępna releasable. Wybór publicznego udostępnienia jakichkolwiek informacji może być dokonany wyłącznie przez urzędnika upoważnionego do podejmowania takich decyzji. Elektroniczna transmisja niewrażliwych IIP jest równoznaczna z przekazaniem tych samych informacji za pośrednictwem poczty amerykańskiej, prywatnej usługi dostawy, kuriera, faksu lub głosu. Chociaż każda z tych dostaw ma luki w zabezpieczeniach, przesyłane informacje mogą zostać naruszone tylko w wyniku kradzieży, oszustwa lub innej nielegalnej działalności.