HIPAA no requiere explícitamente que la PHI enviada por correo electrónico esté encriptada. HIPAA requiere una protección / consideración "razonable", etc., al enviar un correo electrónico a la PHI.
HIPAA requiere tránsito seguro de PHI, que podría violarse fácilmente (por ejemplo, mediante el uso de un cliente de correo web en http vs. https).
Por lo tanto, no es directamente una violación de HIPAA. SIN EMBARGO, la conclusión es que el correo electrónico no cifrado es un enfoque arriesgado. Dependes de la adhesión a la política de privacidad del correo electrónico, dependes de no enviar accidentalmente a la persona equivocada (lo cual es un evento obligatorio para denunciar como un incumplimiento de HIPAA) y otras inquietudes.
DIRECT, como lo menciona Freiheit, es un protocolo de intercambio directo sobre la aceptación que no solo garantiza el destinatario adecuado, sino que también autentica al remitente como una fuente confiable, a través de círculos de confianza preestablecidos, por así decirlo.
Otros servicios básicos como Zix (servicio de correo electrónico seguro muy sencillo que básicamente envía un mensaje de correo electrónico a su destinatario "hey, se enviaron algunas cosas ... haga clic aquí y demuestre que es usted [inicie sesión en el servidor seguro] para leerlo).
Si se trata de un debate teórico en tu hilo, puedes decir "técnicamente es legal". Si está considerando construir un flujo de trabajo para compartir esa razón, elija otra ruta.
Algunas opiniones / descripciones decentes: enlace