en av de viktigaste avgörande faktorerna för HIPAA-överensstämmelse är typen av information som överförs: om det inte är känslig PII (personligt identifierbar information) kan den säkert överföras elektroniskt. Vad är PII och vad är det inte? Vad är känslig PII och vad är det inte? (Klicka här för en utskrivbar version).
enligt USA. Office of Management och Budget, PII – eller personligt identifierbar information-är all information som kan användas för att unikt identifiera, kontakta eller lokalisera en individ, eller kan användas med andra källor för att unikt identifiera en person.
känslig PII är det som, när det avslöjas, kan leda till skada för den person vars namn eller identitet är kopplad till informationen. Vid bedömningen av om PII är känsligt eller inte måste hänsyn tas till det sammanhang i vilket informationen används. Till exempel är en lista över prenumeranter på ett regeringsbrev inte PII; en lista över personer som får behandling för psykiska sjukdomar är.
förutom hänsyn till sammanhanget kan föreningen av PII-element skapa behovet av skydd: till exempel skulle en persons namn betraktas som känslig PII när den grupperas med sin mors flicknamn och födelsedatum, men dessa element skulle inte betraktas som känsliga oberoende av varandra. Följande typer av PII anses vara känsliga när de är associerade med en individ och måste skyddas när de skickas elektroniskt:
- födelseort
- födelsedatum
- mors flicknamn
- biometrisk information (identifiering av människor efter deras egenskaper eller egenskaper)
- medicinsk information
- personlig finansiell information
- kontonummer för kreditkort eller inköpskort
- passnummer
- potentiellt känslig anställningsinformation, såsom disciplinära åtgärder eller personalbetyg
- kriminell historia
- all information som kan stigmatisera eller negativt påverka en person
(denna lista är inte uttömmande och andra data kan vara känslig beroende på specifika omständigheter.)
Social security numbers (SSN), inklusive förkortade SSN som endast använder de fyra sista siffrorna, anses vara känsliga oavsett om de är associerade med en individ eller inte.
följande typer av PII kan överföras elektroniskt utan skydd eftersom de inte anses vara tillräckligt känsliga för att kräva skydd:
- arbets -, hem-och mobiltelefonnummer
- arbets-och hemadresser
- arbets-och personliga e-postadresser
- CV som inte innehåller en SSN eller där SSN är dold
- allmän bakgrundsinformation om individer som finns i CV och biografier
- positionsbeskrivningar och prestationsplaner utan betyg
bestämningen att PII är icke-känslig betyder inte att det är offentligt släppbar. Valet att offentliggöra all information kan endast göras av den tjänsteman som är behörig att fatta sådana beslut. Den elektroniska överföringen av icke-känslig PII motsvarar överföring av samma information via amerikansk post, en privat leveransservice, kurir, fax eller röst. Även om var och en av dessa leveranser har sårbarheter kan den överförda informationen endast äventyras till följd av stöld, bedrägeri eller annan olaglig aktivitet.