Enviando e-mails compatíveis com HIPAA

É necessário criptografar os dados de ponta a ponta. Você pode usar o TLS para enviar o email para seus sistemas. Observe que você não pode enviar e-mails para outra empresa sem que eles também sejam compatíveis com HIPAA e hitech. Como o seu ePHI já deve estar armazenado em um formato criptografado, você não precisa se preocupar com a criptografia dos dados antes da transmissão. Dito isto, uma vez que a criptografia da mensagem é uma medida de segurança endereçável, você teria que mostrar por que isso não era razoável. Você também precisa garantir que apenas a pessoa para quem o email está endereçado possa abrir o email. A solução mais simples é usar a capacidade do Outlook para assinar e criptografar mensagens e enviar ao destinatário seu certificado (enviando uma mensagem assinada entre si primeiro.

Eu não recomendo nenhum tipo de email separado baseado em sites, pois isso exige uma grande quantidade de infraestrutura para torná-lo seguro. Isso também poderia abrir passivos se o usuário final fizesse algo como compartilhar sua senha. É melhor deixar a outra parte responsável pela sua segurança.

Acho que a maneira mais comum é enviar um e-mail de texto simples (como pode ser lido no iphone, android, etc - um dispositivo que não tenha sido construído na descriptografia de e-mail). OTOH, todos os dispositivos compreendem HTTPS. Assim, o e-mail de texto simples diz algo como: "Você tem uma mensagem segura do seu provedor de serviços de saúde. Clique neste link para fazer login para visualizar sua mensagem".