Primeiro você sugere isso:
“Encrypt the email using private/public keys.”
Então você sugere isso:
“Encrypt the file (not the email) using some software and a phrase for the key, and give the phrase to the patient in person or over the phone.”
As chances de qualquer solução funcionar para pacientes médios é de 100% zero. A maioria das pessoas não entende o que é criptografia PGP / GPG e enviar um anexo criptografado e, em seguida, fornecer uma senha pelo telefone é uma confusão que está por acontecer.
Dito isso, acho que a única solução que poderia praticamente funcionar seria um PDF criptografado com proteção por senha. O PDF pode ser enviado como um anexo e uma senha pode ser passada por telefone, correio ou até por e-mail.
Mas isso disse que você também declara isso; ênfase ousada é minha:
A doctor friend of mine wants to email reports to her patients, but doesn’t do so as she only wants it to be viewed by the patient.
No final do dia, você só pode controlar como bloquear algo, mas não pode impedir que alguém veja o conteúdo se a pessoa do outro lado estiver desleixada com o armazenamento de senhas. Ou seja, um PDF criptografado é uma boa solução, mas se seu paciente deixar a senha em uma nota PostIt ™ em sua mesa ou imprimi-la, não há nada que impeça alguém próximo de ler esse conteúdo.
É claro que esse é um risco esperado, mas achei que seria melhor mencioná-lo. No final do dia, o melhor que você pode esperar é proteger o PDF na transmissão do médico para o paciente; passado que todas as apostas estão desativadas.
E FWIW,
Does the HIPAA Privacy Rule permit health care providers to use e-mail to discuss health issues and treatment with their patients?
Yes. The Privacy Rule allows covered health care providers to communicate electronically, such as through e-mail, with their patients, provided they apply reasonable safeguards when doing so. See 45 C.F.R. § 164.530(c). For example, certain precautions may need to be taken when using e-mail to avoid unintentional disclosures, such as checking the e-mail address for accuracy before sending, or sending an e-mail alert to the patient for address confirmation prior to sending the message. Further, while the Privacy Rule does not prohibit the use of unencrypted e-mail for treatment-related communications between health care providers and patients, other safeguards should be applied to reasonably protect privacy, such as limiting the amount or type of information disclosed through the unencrypted e-mail. In addition, covered entities will want to ensure that any transmission of electronic protected health information is in compliance with the HIPAA Security Rule requirements at 45 C.F.R. Part 164, Subpart C.
Aparentemente requisitos da Regra de Segurança da HIPAA a 45 C.F.R. Parte 164, Subparte C pode ser encontrada em algum lugar aqui , mas não consigo encontrar os detalhes.