我在一家医院工作,并开发了一种方法来估计患者对服务的总财务责任,在保险支付其义务之后,在提供任何服务之前。很多患者都在要求报价,我想找到一种安全的方式,根据他们的要求将这些结果通过电子邮件发送给患者。
我正在考虑从生成的报价中删除所有患者信息,因此不会有任何安全问题,但想找到一种方法来加密电子邮件,发送它,并允许患者的电子邮件客户端解密电子邮件。
我不确定如何使用安全证书,尽管它们可能对我来说是最好的选择,即使我必须跳过公司的圈子才能被授予访问面向互联网的证书托管的权限,除了电子邮件之外的所有应用程序都是医院只有一边。
我还在考虑从生成的信件创建 PDF 并加密 PDF,将他们的最后四个社交信息或他们在报价生成过程中与我们共享的其他一些私人信息分配为他们的密码。
您最好发送一个指向包含所有信息的 SSL 加密站点的链接。它不需要客户端上的任何其他软件,并且可以让您对谁在访问它有更多的控制和核算。
您当然必须使用某种用户名/密码来保护它,您甚至可以只使用他们的社会保障 + 在电子邮件中发送的生成的哈希值。哈希防止用户猜测随机 ssn。
如果您受雇于美国的一家医院,您最好不要尝试通过电子邮件发送受保护的健康信息。(在其他国家也是如此。)即使您从消息中删除了患者的姓名,您也肯定会在消息中包含患者的电子邮件地址(呃!)。您很可能会有诊断、出生日期、建议护理日期、医疗记录编号或帐号。这就是所有受保护的数据。坏的。坏的。请参阅此处了解严格的规定。
http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html
如果您想这样做,您必须使用 TLS (https) 安全性,并且您必须竭尽全力确保登录到您的安全网站的人是他们声称的身份,并且您必须记录访问。
如果您重视自己的工作和储蓄账户,请在发送包含 PHI 的电子邮件之前咨询您医院的隐私官。ARRA 2009 法律规定,即使个人为公司工作,也要对违规行为承担个人责任。另外,您的医院不希望它的名字出现在这里。
http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/postedbreaches.html
您可以使用加密的电子邮件,只要未加密的部分(例如主题行)只说“这是您要求的信息”或类似的内容。但是,您知道,许多寻求医疗护理的人将无法应对邮件客户端软件的复杂插件。
PGP 公司提供了一个加密的电子邮件网关系统,一些 PHI 用户使用它。
http://www.pgp.com/products/universal_gateway_email/index.html
但您仍应咨询您的隐私官。
据我所知,除非收件人也使用相同的电子邮件客户端,否则这基本上是不可能的。问题是,即使您最终加密,收件人也会收到垃圾消息,因为他们没有解密的功能。
在我输入此内容时,TomWilsonFL 发布了有关可能的加密方法的信息,但您仍需要向收件人提供解密数据的应用程序。