Soy el Oficial de Cumplimiento para un laboratorio. ¿Se puede enviar un correo electrónico no cifrado con un número de acceso de paciente? No incluye el nombre del paciente, DOB, SS # o dirección. Es solo un número asociado asociado a una prueba.
En mi interpretación de HIPAA / HITECH, NO, debería estar cifrada.
De todo lo que he leído sobre esto a lo largo de los años, la traducción más amplia de EPHI es CUALQUIER información que PODRÍA usarse para IDENTIFICAR a un paciente. (Esto incluiría cualquier número de cuenta o de prueba) El debate sería "entidades que necesitan el acceso a "o" proporciona acceso a "sin embargo, si se determina que es negligente en un tribunal, no es una excusa y, dado que tiene el título de oficial de cumplimiento, requeriría cifrado (al menos por escrito). Si no tiene la capacidad de aprobar gastos en dicho correo electrónico cifrado, proporcione a quién tiene la autoridad con la Sección 164.312 (e) (2) (ii) de HIPAA y BCC su dirección de correo electrónico externa para cubrir que la compañía se va pícaro y no a ti mismo. Siempre digo que el correo electrónico sin cifrar es como escribir información en un pedazo de papel y ponerlo en el auto de "Joe" debajo del limpiaparabrisas. Enen, aunque está dirigido a "Joe", cualquier persona que pase por allí con "curiosidad" podría leer ese papel en el parabrisas del auto de Joe y tal vez nunca lo sepa. Si esos datos son valiosos de CUALQUIER manera, la gente intentará "adquirirlos".
Aquí hay una cita del sitio de wikipedia: PHI es cualquier información que posee una entidad cubierta que se relaciona con el estado de salud, la provisión de atención médica o el pago de la atención médica que se puede vincular a una persona. [13] Esto se interpreta de manera bastante amplia e incluye cualquier parte del historial médico o de pago de una persona.
tomado de: enlace
Desafortunadamente, un exempleado podría ser ingeniero social con esa información, información adicional como un número de SS.
Dependiendo de la cantidad de datos que se envíen y de la frecuencia con la que se enviarán, es posible que desee considerar la creación de un servidor SFTP (que generalmente se favorece sobre el FTPS por la mayoría de los departamentos de IH de hospitales)
Personalmente, he hecho esto para dos de los hospitales más grandes de mi estado y así es como envían informes y datos de pacientes. Utilicé una distribución linux llave en mano aquí: enlace
Es GRATUITO y muy fácil de configurar y cubrirá el problema del uso del cifrado mientras los datos están "en movimiento". También asegúrese de hacer un inicio de sesión único para CADA entidad que se conectará ya que todos los intentos de inicio de sesión se registran y asegúrese de usar una contraseña larga y aleatoria y solo proporcione esa información por teléfono o fax, ya que su correo electrónico no suena como si estuviera encriptado.
Una palabra de experiencia en el cifrado de correo electrónico, aléjese de Trend Micro, es muy difícil para los usuarios computarizados contar con los dedos de las manos y los marcadores numéricos de sus contraseñas.
ej. contraseña: doggypuppy123 ingrese los caracteres 1, 2, 7 y 9 de su contraseña respuesta: d o u p
además, también tienen preguntas de seguridad.
Es horrible, me quedé con él durante un año a partir del administrador anterior y ahora tenemos algo mucho más fácil de usar por computadora. Déjame saber si tienes alguna otra pregunta.
Si solo desea enviar la información a través del correo electrónico y no tiene la capacidad de ejecutar un servidor SFTP que pueda usar enlace que ofrece GRATIS correos electrónicos cifrados de bajo volumen. Lo único en cuestión es cuando nos fijamos en la versión compatible con HIPAA del servicio "GRATUITO" que dicen que cobran $ 49.95 / año por cuenta de usuario.
No soy abogado y esto no es un consejo legal.
Me he encontrado con un problema similar y he preguntado lo mismo pregunta sobre healthcareit (recientemente se trasladó a seguridad) .
Como probablemente sepa, un número de acceso es un identificador único emitido por su entidad (por ejemplo, su hospital), típicamente un número de 6 a 10 dígitos para rastrear una orden de paciente en su sistema de información (por ejemplo, programar para proporcionar el servicio). para almacenar el informe / datos para el servicio). Al anular la identificación de datos en HIPAA, las directrices establecen explícitamente que deben eliminarse los "números identificadores únicos", a menos que un experto haya determinado que el riesgo es muy pequeño y que el riesgo es muy pequeño. la información podría usarse sola o en combinación con otra información razonablemente disponible ... para identificar a una persona y documentar los métodos y resultados del análisis que justifica dicha determinación ".
No dejaría números de acceso al anular la identificación de datos de investigación, ya que este es un 'número de identificación único'. Digamos que estoy haciendo un estudio de investigación y he estado compartiendo los datos de MRI no identificados con los co-investigadores y no se eliminó algún "número de identificación único". Posiblemente, un co-investigador podría ingresar al RIS para averiguar a qué paciente pertenece ese número de identificación único y luego se le realizará una MRI de ese paciente sin ningún registro de auditoría que indique que ha descargado el MRI de este paciente (puede haber un rastro que indique que He visto su número de acceso, pero muchos empleados ven muchos números de acceso en el curso del trabajo de rutina). HIPAA le permite tener un código de reidentificación en sus datos no identificados, pero no puede derivarse de ningún "número de identificación único" existente y estos códigos de reidentificación deben mantenerse en secreto.
Vea la página 66 de (sección 164.514) enlace
Sin comentar sobre la legalidad del asunto, lo que está diciendo en la práctica no violaría la privacidad del paciente. Al decirle a un médico que tiene una tarea sobresaliente (alguien debe leer el informe sobre el número de acceso 1234567 ) no le da ninguna información de salud privada a un intruso. El número de acceso a alguien que no tiene acceso a sus sistemas de información no puede estar vinculado a un paciente. Concedido, posiblemente sería una violación de la privacidad del paciente enviar por correo electrónico un número de acceso + cualquier información médica sobre la persona. Por ejemplo, el acceso # 1234567 tiene un hallazgo de la enfermedad X. Debido a que los registros de auditoría para las búsquedas de un número de acceso en el sistema de información pueden no ser analizados tan exhaustivamente como si alguien buscara los informes por paciente / número de acceso. (Para los números de registros médicos (MRN), este argumento no se aplicaría; como MRN tiene una correspondencia personal con un paciente. Por ejemplo, un intruso puede tener conocimiento previo de un paciente a MRN y saber que ingresó observando correos electrónicos que contienen su MRN).
Sin embargo, esto no significa que no estaría en violación de la ley. Supongo que sería menos probable que sea procesado / condenado, pero probablemente no valga la pena el riesgo. Para mi sistema terminé agregando un paso; Envío un correo electrónico y luego tienen que hacer clic en mi sistema VPN / intranet protegido por contraseña para ver los números de acceso.
Según el sitio web a continuación, esto no se considera parte de su información privada y, como tal, sería aceptable enviar un correo electrónico sin cifrar. El cumplimiento de HIPAA se aplica específicamente a la información personal a la que no corresponde.
Lea otras preguntas en las etiquetas privacy