Der Begriff PHI wird häufig im Zusammenhang mit Gesundheitsdaten verwendet, aber wofür steht PHI und welche Informationen sind in der Definition von PHI enthalten?

Wofür steht PHI?

PHI ist eine Abkürzung für Protected Health Information. Der Begriff wird allgemein im Health Insurance Portability and Accountability Act (HIPAA) und den damit verbundenen Gesetzen wie dem Health Information Technology for Economic and Clinical Health Act (HITECH) bezeichnet und bezieht sich auf alle Daten in Bezug auf einen Patienten, eine Patientenversorgung oder die Zahlung für diese Gesundheitsversorgung, die von HIPAA-abgedeckten Stellen erstellt, empfangen, gespeichert oder übertragen wird.HIPAA-abgedeckte Einheiten sind meist Gesundheitsdienstleister, Gesundheitspläne, Healthcare Clearinghäuser und ihre Geschäftspartner oder Drittanbieter, die Zugang zu geschützten Gesundheitsinformationen haben. Diese Unternehmen müssen Maßnahmen zum Schutz vor unbefugter Offenlegung, Änderung oder Zerstörung geschützter Gesundheitsinformationen gemäß der HIPAA-Datenschutzregel ergreifen.

Das Gesundheitsministerium & Human Services Office for Civil Rights hat PHI als alle persönlichen Identifizierungsinformationen definiert, die – einzeln oder kombiniert – möglicherweise eine bestimmte Person, ihre vergangene, gegenwärtige oder zukünftige Gesundheitsversorgung oder die Zahlungsmethode identifizieren könnten. PHI enthält keine Informationen, die in Bildungsunterlagen enthalten sind, und auch keine Informationen, die von Gesundheitsorganisationen in ihrer Eigenschaft als Arbeitgeber gepflegt werden.

Insgesamt gibt es achtzehn eindeutige Bezeichner, die als PHI betrachtet werden:

• Namen
• Geografische Daten
• Alle Elemente von Daten
• Telefonnummern
• Faxnummern
• E-Mail-Adressen
• Sozialversicherungsnummern
• Krankenakten
• Krankenversicherungsnummern
• Kontonummern
• Zertifikat- /Lizenznummern
• Fahrzeugidentifikatoren und Seriennummern einschließlich Nummernschilder
• Geräte-Identifikatoren und Seriennummern
• Web-URLs
• Internetprotokoll-Adressen
• Biometrische Identifikatoren (z. b. Netzhautscan, Fingerabdrücke)
• Vollgesichtsfotos und vergleichbare Bilder
• Jede eindeutige Identifikationsnummer, jedes Merkmal oder jeder Code

PHI ist keine PHI mehr, wenn alle achtzehn eindeutigen Identifikatoren für Marketing- oder Forschungszwecke entfernt werden. Nichtsdestotrotz gelten die Daten nach wie vor als „geschützt“ gemäß der Common Rule von 1981 – einem Gesetz des Kongresses, das den ethischen Grundstandard festlegt, nach dem jede staatlich finanzierte Forschung in den USA durchgeführt wird. Fast alle akademischen Einrichtungen in den USA halten ihre Forscher unabhängig von der Finanzierung an diesen ethischen Standard.

Der Unterschied zwischen PHI und ePHI

ePHI ist eine Abkürzung für Electronic Protected Health Information und bezieht sich auf alle PHI, die von HIPAA-abgedeckten Unternehmen elektronisch erstellt, empfangen, gespeichert oder übertragen werden. Aufgrund der Leichtigkeit, mit der elektronisch gespeicherte Daten abgerufen und geteilt werden können, unterliegt ePHI der HIPAA-Sicherheitsregel sowie der HIPAA-Datenschutzregel. Es unterliegt auch dem HITECH ACT, wenn ein Gesundheitsdienstleister am Meaningful Use Program teilnimmt.Die Sicherheitsregel besteht hauptsächlich aus physischen, technischen und administrativen Sicherheitsvorkehrungen, um unbefugten Zugriff und Offenlegung von ePHI zu verhindern. Diese Sicherheitsvorkehrungen sollten von HIPAA-Unternehmen sorgfältig geprüft werden, da die Strafen für einen Verstoß gegen die HIPAA–Sicherheitsregel erheblich sein können – in einigen Fällen sogar dann, wenn kein autorisierter Zugriff auf PHI oder keine Offenlegung von PHI erfolgt ist.

Was ist PHI in medizinischer Hinsicht?

In HIPAA steht PHI für geschützte Gesundheitsinformationen, aber der Begriff PHI wird auch häufig verwendet, um sich auf Patientengesundheitsinformationen oder persönliche Gesundheitsinformationen zu beziehen – alle Gesundheitsinformationen, die in einer Krankenakte enthalten sind, die sich auf eine Person bezieht, die von einer von HIPAA abgedeckten Einrichtung zum Zwecke der Erbringung von Gesundheitsdienstleistungen oder der Bezahlung von Gesundheitsdienstleistungen erstellt, empfangen, verwendet oder gepflegt wurde.PHI kann auch verwendet werden, um sich auf private Krankenversicherung, ständige Krankenversicherung, öffentliche Gesundheitsinformatik, ein öffentliches Gesundheitsinstitut und in der Medizin auf das Enzym Phosphoexose-Isomerase zu beziehen.