Was sind geschützte Gesundheitsinformationen (PHI)?
Das Akronym: PHI steht für Protected Health Information – keine persönlichen Gesundheitsinformationen (obwohl das im Wesentlichen das ist, was es impliziert), keine persönlich identifizierbaren Gesundheitsinformationen (ich habe gesehen, dass es verwendet wird, obwohl das technisch PIHI wäre) und ich bin sicher, dass es Varianten davon gibt, die Sie auch gehört haben.
Die Definition: Hier ist die Wikipedia-Definition. Geschützte Gesundheitsinformationen (PHI) sind alle Informationen über den Gesundheitszustand, die Bereitstellung von Gesundheitsversorgung oder die Bezahlung von Gesundheitsversorgung, die mit einer bestimmten Person verknüpft werden können. HHS bietet eine noch einfachere PHI – individuell identifizierbare Gesundheitsinformationen, die in irgendeiner Form oder in einem Medium von einem abgedeckten Unternehmen oder seinem Geschäftspartner übertragen oder verwaltet werden; Die Definition eines „Geschäftspartners“ wurde mit der HIPAA Omnibus Rule erweitert, die 2013 in Kraft trat. Dieser Begriff „Information“ wird ziemlich breit interpretiert und umfasst jeden Teil der Krankenakte oder des Zahlungsverlaufs eines Patienten. Der Schlüssel hier ist dieser Satz, „der mit einer bestimmten Person verknüpft werden kann“. Hier wird das andere Akronym PII (Personally Identifiable Information) – hier ist der Link zum Wikipedia-Artikel dazu – relevant. Der Hauptunterschied zwischen PHI und PII besteht darin, dass PII eine rechtliche Definition ist – dh PII ist alles, was verwendet werden könnte, um eine Person eindeutig zu identifizieren. PHI ist eine Teilmenge von PII, da eine Krankenakte verwendet werden kann, um eine Person zu identifizieren – insbesondere wenn die Krankheit oder der Zustand selten genug ist.
Schutz
Der Kern der HIPAA-Vorschriften besteht darin, sicherzustellen, dass das Eigentum an allen medizinischen Daten ausschließlich dem Einzelnen vorbehalten bleibt. Die Person kann dann entscheiden, den Zugang zu anderen Anbietern, Familienmitgliedern, Arbeitgebern, wenn nötig oder notwendig, oder einfach durch die Präferenz des Datensatzbesitzers zu verteilen. Nur eine Person hat das Recht, Zugang zu ihren medizinischen Daten zu gewähren. Dies geschah hauptsächlich aus folgenden Gründen:
-
Datenschutz: Offensichtlich würden wir es vorziehen, dass unser Nachbar (oder in einigen Fällen Familienmitglieder) nicht weiß, unter welchem Zustand wir leiden oder welche Medikamente wir einnehmen.
-
Voreingenommenheit und Diskriminierung: AIDS, psychische Gesundheit und andere Erkrankungen sind mit einem gewissen (wenn auch rückläufigen) sozialen Stigma verbunden. Die HIPAA-PHI-Bestimmungen stellen sicher, dass Arbeitgeber und andere keinen Zugang zu ihrer Krankenakte haben und die darin enthaltenen Informationen verwenden, um die Person aufgrund ihrer Gesundheitsinformationen zu diskriminieren.
Einzigartigkeit
Offensichtlich kommen Schutz und Privatsphäre ins Spiel, sobald die Person eindeutig identifiziert werden kann / wurde. 25,8 Millionen Amerikaner haben Diabetes. Dies führt zu der Frage, mit welchen Daten eine Person eindeutig identifiziert werden kann. Der allgemein akzeptierte Satz von individuell eindeutigen Datenelementen umfasst Folgendes:
| # | Kennung | Beschreibung |
|---|---|---|
| 1 | Name | Nun, natürlich, dh Kombinationen aus Vorname, Nachname und Mädchenname. Man könnte argumentieren, dass nur einer der oben genannten eine Person nicht eindeutig identifiziert, schließlich ist „James“ ein ziemlich gebräuchlicher Name. Es könnte jedoch möglich sein, eine Person anhand einer Kombination von Daten zu identifizieren, z. B. Vorname, Postleitzahl, Straße usw. |
| 2 | Geographische Locators | Alles (Adresse, Stadt, Bezirk, Postleitzahl, Lat-Long-Koordinaten usw.) gilt als PII. Die ersten drei Ziffern der Postleitzahl gelten normalerweise als ok, außer bei bestimmten Postleitzahlen, die eine kleine Bevölkerung (weniger als 20.000) abdecken. Es gibt derzeit 17 Postleitzahlen, die zu diesem Profil passen – 036, 692, 878, 059, 790, 879, 063, 821, 884, 102, 823, 890, 203, 830, 893, 556, 831. Dreistellige Postleitzahlen sind also in Ordnung, mit Ausnahme der oben aufgeführten. |
| 3 | Daten | , die sich auf bedeutende Ereignisse im Leben einer Person beziehen – Geburt, Tod, Heirat, Zulassung, Entlassung usw. Nur das Jahr wird im Allgemeinen als in Ordnung angesehen, außer bei sehr älteren Menschen (>89 Jahre; In diesem Fall würden sie durch eine aggregierte Kategorie dargestellt, z. B. <90) |
| 4 | Telefonnummern | Natürlich. |
| 5 | Faxnummern | Dies ist meiner Meinung nach eine Verschleppung aus alten Zeiten. Kennen Sie viele Leute mit einer persönlichen Faxnummer? Aber es macht Sinn. |
| 6 | E-Mail-Adressen (E-Mail) | Check |
| 7 | Sozialversicherungsnummern | Check |
| 8 | Krankenakten | Dies ist normalerweise eine „zufällige“ Nummer und könnte verwendet werden, wenn man auch die Institution kennt, die sie zugewiesen hat. |
| 9 | Krankenversicherungsnummer | Dies ist Ihre Versicherungskarte / Mitgliedsnummer. |
| 10 | Kontonummern | Banknummern usw. |
| 11 | Zertifikat / Lizenznummern | Führerschein, Geburtsurkunde usw. |
| 12 | Fahrzeugkennzeichen und Seriennummern, einschließlich Kennzeichennummern | Wenn es für die Polizei gut genug ist, jemanden aufzuspüren… |
| 13 | Gerätekennungen und Seriennummern | Medizinprodukte haben eindeutige Seriennummern. Die MAC-ID Ihres Computers ist ebenfalls eindeutig. |
| 14 | Web Universal Resource Locators (URLs) | Dies ist ein bisschen trüb, aber ist hier, um alle Möglichkeiten abzudecken. http://www.facebook.com ist nicht sehr eindeutig. Aber wenn innerhalb einer bestimmten Anwendung angemeldet, könnte in der Tat sehr einzigartig für eine Person sein. |
| 15 | IP-Adressnummern | Ihre IP-Adresse kann verwendet werden, um Ihre Adresse leicht zu identifizieren. Es gibt mehrere kostenlose Dienste, die dies anbieten (machen Sie eine schnelle Google-Suche nach einer Adresse von IP und versuchen Sie dies als Beispiel |
| 16 | Biometrische Identifikatoren, einschließlich Finger- und Sprachabdrücke | Vergessen Sie nicht Netzhautbilder. |
| 17 | Fotografische Vollgesichtsbilder und vergleichbare Bilder | Überprüfen Sie |
| 18 | Jede andere eindeutige Identifikationsnummer, Eigenschaft oder Code | Recode – Beachten Sie, dass dies nicht der eindeutige Code ist, der vom System zum Codieren der Daten zugewiesen wurde. |
Diese 18 Elemente sind der Kernsatz von Datenelementen, die einzeln oder in Kombination verwendet werden können, um eine Person eindeutig zu identifizieren. Und angesichts der Tatsache, dass die obige Liste von Kennungen Faxnummern und keine Twitter @-Benutzernamen, Facebook-IDs oder eine Vielzahl anderer moderner, gebräuchlicherer Kennungen enthält, ist es klar, dass die PII-Liste nicht die aktuellste ist und einige weitere Gedanken sollten in die Erkennung und den Schutz identifizierbarer Informationen gehen. Da Patientendaten jedoch in klinischen Studien, medizinischen Fallstudien usw. wertvoll sind., die obige Liste wird als Richtlinie verwendet, um Privatsphäre zu gewährleisten. Dies führt zu…
Anonymisierung & De-Identifikation
Anonymisierung ist ein Prozess, bei dem PHI-Elemente entfernt oder geändert werden, um die Möglichkeit zu minimieren / zu entfernen, zum ursprünglichen Datensatz zurückzukehren. Dabei werden alle identifizierenden Daten entfernt, um nicht verknüpfbare Daten zu erstellen.
De-Identifikation unter HIPAA tritt auf, wenn Daten von gemeinsamen Identifikatoren durch zwei Methoden entfernt wurden:
-
Entfernen Sie die 18 oben aufgeführten Elemente;
-
Wenn ein anderer Ansatz verwendet wird, stellen Sie ein statistisch kleines / vernachlässigbares Risiko einer erneuten Identifizierung sicher, das von einem Statistikexperten validiert wird (Sie müssen die Interpretierbarkeit dieser Regel lieben).
HIPAA-konforme Lösungen entwerfen
Angesichts der oben genannten Einschränkungen ist es wichtig, dass jede Anwendung, die Sie entwerfen, diese Anonymisierungs- und / oder De-Identifikationsanforderungen berücksichtigt, bevor Daten an eine externe Entität weitergegeben werden. PHI-Daten können mit einer externen Einheit „geteilt“ werden, vorausgesetzt, Sie haben ein BAA (Business Associate Agreement) und die Person hat die entsprechenden Einwilligungsdokumente unterzeichnet. Wie PHI unter HIPAA verwaltet werden muss, ist ein ganzes Thema für sich. Suchen Sie nach einem Blogbeitrag von uns, der in Kürze beschreibt, wie wir die HIPAA-Compliance ermöglichen und die Einhaltung des Buchstabens und des Geistes des Gesetzes bei Datica vereinfachen.
Leave a Reply