在一家小型办公室,我客户的人力资源部门需要与一些供应商就 HIPAA 涵盖的材料进行沟通。大多数公司如何处理有关 HIPAA 的安全电子邮件发送。我更愿意加密电子邮件本身,而不是要求供应商登录安全的消息服务器,但我不知道这是否很常见
答案1
您需要对数据进行端到端加密。您可以使用 TLS 将电子邮件发送到他们的系统。请注意,您不能向其他公司发送电子邮件,除非他们也符合 HIPAA 和 Hitech 标准。由于他们的 ePHI 必须已经以加密格式存储,因此您不必担心在传输之前加密数据。话虽如此,由于消息加密是一种可寻址的安全措施,您必须说明为什么这是不合理的。您还必须确保只有电子邮件的收件人才能打开电子邮件。最简单的解决方案是使用 Outlook 签名和加密消息的功能,并向收件人发送您的证书(通过首先向对方发送签名消息)。
我不推荐任何基于独立网站的电子邮件,因为这需要大量的基础设施来确保安全。如果最终用户做了一些事情(例如共享密码),这也可能会产生责任。最好让另一方对其安全负责。
答案2
我认为最常见的方式是发送纯文本电子邮件(因为它可以在 iphone、android 等设备上阅读 - 这些设备没有内置电子邮件解密功能)。另一方面,所有设备都理解 HTTPS。因此纯文本电子邮件会显示类似“您有来自医疗保健提供商的安全消息。请单击此链接登录查看您的消息。”