在我对 HIPAA/HITECH 的解释中，不，它应该被加密。

从我多年来阅读的所有内容来看，EPHI 最广泛的翻译是任何可用于识别患者的信息。（这将包括任何帐户或测试号码）辩论将是“需要访问的实体”或“提供访问权限”，但是如果在法庭上被裁定为疏忽，这不是借口，因为您拥有合规官的头衔，我需要加密（至少以书面形式）。如果您没有能力批准在加密电子邮件上的支出，请向谁拥有 HIPAA 第 164.312(e)(2)(ii) 节的授权，并密件抄送您的外部电子邮件地址，以说明公司将要运营流氓而不是你自己。我总是说未加密的电子邮件就像在一张纸上写下信息并放在“乔的”上 汽车在挡风玻璃雨刷下。恩恩虽然它是写给“乔”的，但任何怀着“好奇心”路过的人都可以读到乔汽车挡风玻璃上的那张纸，而他可能永远不会知道。如果该数据以任何方式有价值，人们就会尝试“获取它”。

以下是维基百科网站的引述：PHI 是涵盖实体持有的任何与个人相关的与健康状况、医疗保健提供或医疗保健支付有关的信息。 [13] 这被解释得相当广泛，包括个人医疗记录或付款历史的任何部分。

取自：http ://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act

不幸的是，前雇员可以使用该信息进行社会工程，例如 SS# 等附加信息。

根据发送的数据量和发送频率，您可能需要考虑构建 SFTP 服务器（大多数医院 IT 部门通常更喜欢 FTPS）

就我个人而言，我已经为我所在州的两家最大的医院做过这件事，这就是他们发送报告和患者数据的方式。我在这里使用了一个交钥匙 linux 发行版：http ://www.turnkeylinux.org/fileserver

它是免费的并且非常易于设置，并且将涵盖在数据“运动”时使用加密的问题另外，请确保为每个将连接的实体进行唯一登录，因为所有登录尝试都会被记录，并确保使用长随机密码，并且只能通过电话或传真提供该信息，因为您的电子邮件听起来不像是被加密的。

关于电子邮件加密的经验，远离趋势科技，计算机用户很难指望他们的手指和脚趾他们的密码的数字占位符。

前任。密码：doggypuppy123 输入密码的第 1、2、7 和 9 个字符 答案：doup

此外，他们还有安全问题。

这太可怕了，我被以前的管理员坚持了一年，现在我们有了一些更加计算机化的用户友好的东西。如果您还有其他问题，请告诉我。

如果您只想通过电子邮件发送信息并且没有能力运行 SFTP 服务器，那么您可以使用http://www.jumbleme.com/，它提供免费的低容量加密电子邮件。唯一的问题是，当您查看符合 HIPAA 的“免费”服务版本时，他们说每个用户帐户每年收费 49.95 美元。

我不是律师，这不是法律建议。

我遇到了类似的问题，并在healthcareit 上提出了同样的问题（最近转向安全性）。

您可能知道，登记号是由您的实体（例如，您的医院）颁发的唯一标识符，通常是一个 6-10 位数字，用于在您的信息系统中跟踪患者订单（例如，安排提供服务以存储服务的报告/数据）。在对 HIPAA 中的数据进行去标识化时，应删除指南明确规定的“唯一标识号”，除非专家“确定 [d] 信息可以单独使用或与其他合理的信息结合使用的风险非常小”可用的信息......以识别个人，并记录[ed]分析的方法和结果，以证明[ies]这样的决定'。

在对研究数据进行去识别化时，我不会留下入藏号，因为这是一个“唯一识别号”。假设我正在进行一项研究，并且一直在与共同研究人员共享去识别的 MRI 数据，并且一些“唯一识别号”没有被删除。可以想象，一个共同研究人员可以进入 RIS 找出该唯一识别号属于哪个患者，然后将获得该患者的 MRI，而无需任何审计线索，说他们已经下载了该患者的 MRI（可能有一条线索说他们“已经看到了他们的入藏号——但许多员工在日常工作中看到了很多入藏号）。HIPAA 确实允许您在您的去识别化数据中拥有一个重新识别码，但它不能从任何现有的“唯一识别码”派生而来

请参阅（第 164.514 节）第 66 页 https://www.hhs.gov/hipaa/for-professionals/privacy/

不评论此事的合法性，您在实践中所说的话不会侵犯患者隐私。告诉医生他们有一项出色的任务（有人需要阅读关于登记号的报告1234567）并不会向窃听者提供任何私人健康信息。无法访问您的信息系统的人的登录号不能与患者绑定。当然，通过电子邮件发送登录号 + 有关此人的任何医疗数据可能会侵犯患者隐私。例如，加入#1234567发现了疾病 X。因为在信息系统上搜索登录号的审核日志可能不像通过患者/登录号搜索报告的人那样彻底分析。（对于医疗记录编号 (MRN)，此论点不适用；因为 MRN 与患者具有一对一的对应关系。例如，窃听者可能对 MRN 了解患者的先验知识并得知他们是通过观察包含其 MRN 的电子邮件）。

但是，这并不意味着它不会违反法律。我猜想被起诉/定罪的可能性较小，但可能不值得冒险。对于我的系统，我最终添加了一个步骤；我发送一封电子邮件，然后他们必须单击我的受密码保护的 VPN/内联网系统才能查看加入 #s。

根据下面的网站，这不被视为您的私人信息的一部分，因此发送未加密的电子邮件是可以接受的。HIPAA 合规性特别适用于不属于此范围的个人信息。

http://web.mit.edu/committees/couhes/hipaa.shtml