¿Qué es la Información de Salud Protegida (PHI)?
El acrónimo: PHI significa Información de Salud protegida, no información de salud personal (aunque eso es en esencia lo que implica), no información de salud de identificación personal (la he visto utilizada, aunque técnicamente sería PIHI) y estoy seguro de que también ha escuchado variantes de esto.
La definición: Aquí está la definición de Wikipedia. La información de salud protegida (PHI, por sus siglas en inglés) es cualquier información sobre el estado de salud, la provisión de atención médica o el pago de atención médica que se puede vincular a una persona específica. El HHS proporciona una información de salud identificable individualmente, aún más simple, transmitida o mantenida en cualquier forma o medio por una Entidad Cubierta o su Socio comercial; la definición de «socio comercial» se ha ampliado con la regla General HIPAA que entró en vigor en 2013. Este término «información» se interpreta de manera bastante amplia e incluye cualquier parte de la historia clínica o el historial de pagos de un paciente. La clave aquí es esta frase «que se puede vincular a un individuo específico». Aquí es donde el otro acrónimo, PII (Información de identificación personal), aquí está el enlace al artículo de Wikipedia sobre eso, se vuelve relevante. La principal diferencia entre la PHI y la PII es que la PII es una definición legal, es decir, la PII es cualquier cosa que se pueda usar para identificar de manera única a un individuo. La PHI es un subconjunto de la IIP en el sentido de que un registro médico podría usarse para identificar a una persona, especialmente si la enfermedad o afección es lo suficientemente rara.
Protección
El núcleo de las regulaciones de HIPAA es garantizar que la propiedad de todos y cada uno de los datos médicos sea retenida únicamente por el individuo. El individuo puede entonces decidir repartir el acceso a otros-proveedores, miembros de la familia, empleadores si es necesario o necesario o simplemente por la preferencia del propietario del registro. Sólo una persona tiene derecho a acceder a sus datos médicos. Esto se hizo principalmente por las siguientes razones:
-
Privacidad: Obviamente, preferiríamos que nuestro vecino (o en algunos casos, miembros de la familia) no supiera sobre cualquier condición que podamos estar sufriendo o los medicamentos que estemos tomando.
-
Sesgo y discriminación: El SIDA, la salud mental y otras afecciones tienen un cierto estigma social asociado (aunque en declive). Las disposiciones de HIPAA PHI aseguran que los empleadores y otras personas no tengan acceso a su historial médico y utilicen la información contenida en él para discriminar a la persona en función de su información de salud.
Singularidad
Obviamente, la protección y la privacidad entran en juego una vez que el individuo puede / ha sido identificado de forma única. Después de todo, hay 25.8 millones de estadounidenses que tienen diabetes. Esto lleva a la pregunta de qué datos se pueden usar para identificar de manera única a un individuo. El generalmente aceptado de forma individual de datos única de los elementos son los siguientes:
# | Identificador | Descripción |
---|---|---|
1 | Nombre | Bueno, por supuesto, es decir, nombre, apellido, nombre de soltera de combinaciones. Uno podría argumentar que cualquiera de los anteriores no identifica de manera única a un individuo después de todo, «James» es un nombre bastante común. Pero podría ser posible identificar a un individuo usando una combinación de datos, por ejemplo, nombre, código postal, dirección, etc. |
2 | Localizadores geográficos | Todo (dirección, ciudad, distrito, código postal, coordenadas lat-long, etc.).) se considera PII. Los primeros tres dígitos del código postal generalmente se consideran adecuados para su uso, excepto en el caso de ciertos códigos postales que cubren una población pequeña (menos de 20,000). Actualmente hay 17 códigos postales que se ajustan a ese perfil – 036, 692, 878, 059, 790, 879, 063, 821, 884, 102, 823, 890, 203, 830, 893, 556, 831. Por lo tanto, está bien usar códigos postales de tres dígitos, excepto los mencionados anteriormente. |
3 | Fechas | Relativas a eventos significativos en la vida de una persona: nacimiento, muerte, matrimonio, admisión, alta, etc. Solo el año se considera generalmente adecuado para su uso, excepto en el caso de personas muy mayores (>89 años de edad; en cuyo caso estarían representados por una categoría agregada, por ejemplo, <90) |
4 | Números de teléfono | Bueno, por supuesto. |
5 | números de Fax | Esta es, en mi humilde opinión, un remanente de los viejos días. ¿Conoce a mucha gente con un número de fax personal? Pero tiene sentido. |
6 | Direcciones de correo electrónico (correo electrónico) | Comprobar |
7 | Números de seguro social | Comprobar |
8 | Números de registros médicos | Este es generalmente un número «aleatorio» y se puede usar si también se conoce la institución que lo asignó. |
9 | Números de beneficiarios del plan de salud | Esta es su tarjeta de seguro / identificación de miembro. |
10 | números de Cuenta | números de Banco, etc. |
11 | Certificado/licencia de números | licencia de conducir, certificado de nacimiento, número, etc. |
12 | Identificadores de vehículos y números de serie, incluidos los números de matrícula | Si es lo suficientemente bueno para que la policía localice a alguien… |
13 | identificadores de Dispositivo y el número de serie | dispositivos Médicos tienen números de serie únicos. El id de MAC de su computadora también es único. |
14 | Localizadores de recursos Universales Web (URLs) | Esto es un poco turbio, pero está aquí para cubrir todas las posibilidades. http://www.facebook.com no es muy único. Pero si se registra dentro de una aplicación específica, de hecho podría ser muy exclusivo de un individuo. |
15 | Números de direcciones de protocolo de Internet (IP) | Su dirección IP se puede utilizar para identificar fácilmente su dirección. Hay varios servicios gratuitos que ofrecen esto (haga una búsqueda rápida en Google de una dirección ip y pruebe esto como ejemplo |
16 identificadores biométricos, incluidas huellas dactilares y de voz | No olvide las imágenes de retina. | |
17 | Imágenes fotográficas de cara completa y cualquier imagen comparable | Marque |
18 | Cualquier otro número, característica o código de identificación único | Recodificar: tenga en cuenta que esto no significa el código único asignado por el sistema para codificar los datos. |
Estos 18 elementos son el conjunto básico de elementos de datos que, individualmente o en combinación, se pueden usar para identificar de forma única a un individuo. Y, teniendo en cuenta el hecho de que la lista de identificadores anterior tiene números de fax y no @nombres de usuario de Twitter, ID de Facebook o una gran cantidad de otros identificadores modernos y más comunes, está claro que la lista de PII no es la más actualizada y debería pensarse más en reconocer y proteger la información identificable. Sin embargo, dado que los datos de los pacientes son valiosos en ensayos clínicos, estudios de casos médicos, etc., la lista anterior se utiliza como guía para garantizar la privacidad. Esto lleva a…
Anonimización& Desidentificación
La anonimización es un proceso mediante el cual se eliminan o modifican elementos PHI con el fin de minimizar / eliminar la posibilidad de volver al conjunto de datos original. Esto implica eliminar todos los datos de identificación para crear datos no asimilables.
La desidentificación bajo HIPAA ocurre cuando los datos han sido despojados de identificadores comunes por dos métodos:
-
Elimine los 18 elementos enumerados anteriormente;
-
Si se utiliza otro enfoque, asegure un riesgo estadísticamente pequeño / insignificante de reidentificación que sea validado por un experto en estadísticas (debe encantar la interpretabilidad de esa regla).
Diseñar soluciones compatibles con HIPAA
Dadas las restricciones anteriores, es esencial que cualquier aplicación que diseñe tenga en cuenta estos requisitos de anonimización y/o desidentificación antes de compartir cualquier dato con cualquier entidad externa. Los datos de PHI se pueden» compartir » con una entidad externa, siempre que tenga un acuerdo de asociado comercial (BAA, por sus siglas en inglés) y que la persona haya firmado los documentos de consentimiento apropiados. La forma en que se debe administrar la PHI en virtud de la HIPAA es un tema en sí mismo. Busque una publicación en nuestro blog que describa brevemente cómo facilitamos el cumplimiento de la HIPAA y simplificamos el cumplimiento de la letra y el espíritu de la ley en Datica.
Leave a Reply