发送符合HIPAA的电子邮件

Question

在一个小办公室，我的客户人力资源部需要与一些供应商就HIPAA覆盖的材料进行沟通。大多数公司如何安全地发送有关HIPAA的电子邮件？我更愿意自己加密电子邮件，而不是要求供应商登录到安全的消息服务器，但我不知道这是否很常见。

Answer 1

您需要对数据进行端到端加密。您可以使用TLS将电子邮件发送到他们的系统。请注意，如果没有HIPAA和hitech兼容，您就不能向另一家公司发送电子邮件。由于它们的ePHI必须以加密格式存储，所以您不必担心在传输之前对数据进行加密。尽管如此，由于消息的加密是一种可寻址的安全措施，您必须说明为什么这是不合理的。您还必须确保只有电子邮件地址的人才能打开电子邮件。最简单的解决方案是使用外观能力来对消息进行签名和加密，并将证书发送给收件人(首先向对方发送已签名的消息)。

我不推荐任何单独的网站为基础的邮件，因为它使它需要一个完整的基础设施，以确保安全。如果最终用户做了一些事情，比如共享他们的密码，这也会让他们承担责任。最好让对方继续对他们的安全负责。

Answer 2

我认为最常见的方式是发送一封纯文本电子邮件(可以在iphone、android等手机上阅读--这是一种没有电子邮件解密的设备)。所有设备都了解HTTPS。因此，纯文本电子邮件说，“您有来自您的医疗服务提供商的安全消息。请单击此链接登录查看您的消息。”