Articles

Wat is Protected Health Information (PHI)?

by admin

het acroniem: PHI staat voor Protected Health Information – not personal health information (hoewel dat in essentie wat het impliceert), not personal identificable health information (ik heb het gebruikt gezien hoewel dat technisch gezien PIHI zou zijn) en ik weet zeker dat er varianten hiervan zijn die u ook hebt gehoord.

de definitie: hier is de Wikipedia definitie. Protected health information (PHI) is alle informatie over de gezondheidstoestand, het verstrekken van gezondheidszorg, of betaling voor gezondheidszorg die kan worden gekoppeld aan een specifiek individu. HHS biedt een nog eenvoudiger van PHI-individueel identificeerbare gezondheidsinformatie verzonden of onderhouden in elke vorm of medium door een gedekte entiteit of haar Business Associate; de definitie van een “business associate” is uitgebreid met de HIPAA omnibus regel die van kracht ging in 2013. Deze term “informatie” wordt vrij ruim geïnterpreteerd en omvat elk deel van het medisch dossier of de betalingsgeschiedenis van een patiënt. De sleutel hier is deze zinsnede “die kan worden gekoppeld aan een specifiek individu”. Dit is waar de andere acroniem, PII (persoonlijk identificeerbare informatie) – hier is de link naar de Wikipedia artikel over dat – wordt relevant. Het belangrijkste verschil tussen PHI en PII is dat PII is een wettelijke definitie – dat wil zeggen PII is alles dat kan worden gebruikt om een uniek persoon te identificeren. PHI is een subset van PII in dat een medisch dossier kan worden gebruikt om een persoon te identificeren-vooral als de ziekte of aandoening is zeldzaam genoeg.

bescherming

de kern van de HIPAA-regelgeving is ervoor te zorgen dat de eigendom van alle medische gegevens uitsluitend door het individu wordt bewaard. Het individu kan dan beslissen om de toegang tot anderen – providers, familieleden, werkgevers als dat nodig of nodig is of gewoon door de voorkeur van de eigenaar van het record. Alleen een individu heeft het recht om toegang te verlenen tot zijn medische gegevens. Dit werd voornamelijk gedaan om de volgende redenen:

  1. Privacy: uiteraard zouden we liever hebben dat onze buurman (of in sommige gevallen familieleden) niet weet van welke aandoening we zouden kunnen lijden of medicatie die we nemen.

  2. Bias en discriminatie: AIDS, geestelijke gezondheid, en andere voorwaarden hebben sommige (zij het dalende) sociale stigma geassocieerd met het. De HIPAA PHI-Bepalingen zorgen ervoor dat werkgevers en anderen geen toegang hebben tot hun medisch dossier en de daarin opgenomen informatie gebruiken om het individu te discrimineren op basis van hun gezondheidsinformatie.

uniciteit

uiteraard spelen bescherming en privacy een rol zodra het individu uniek kan / is geïdentificeerd. Er zijn immers 25,8 miljoen Amerikanen hebben diabetes. Dit leidt tot de vraag welke gegevens kunnen worden gebruikt om een individu uniek te identificeren. De algemeen aanvaarde set van individueel unieke data-elementen zijn de volgende:

# Id Beschrijving
1 Naam tja, d.w.z. de eerste naam, achternaam, meisjesnaam combinaties. Men zou kunnen stellen dat slechts een van de bovenstaande niet uniek identificeren een individu immers “James” is een vrij veel voorkomende naam. Maar het zou mogelijk kunnen zijn om een individu te identificeren met behulp van een combinatie van gegevens dat wil zeggen voornaam, Postcode, Adres, enz.
2 geografische locatoren alles (adres, stad, district, Postcode, latlangcoördinaten, enz.) wordt beschouwd als PII. De eerste drie cijfers van de postcode worden meestal beschouwd als ok voor gebruik, behalve in het geval van bepaalde postcodes die een kleine populatie (minder dan 20.000) dekken. Er zijn momenteel 17 postcodes die in dat profiel passen – 036, 692, 878, 059, 790, 879, 063, 821, 884, 102, 823, 890, 203, 830, 893, 556, 831. Dus drie-cijferige postcodes zijn ok om te worden gebruikt, behalve voor de hierboven genoemde degenen.
3 data met betrekking tot belangrijke gebeurtenissen in het leven van een individu – geboorte, overlijden, huwelijk, opname, ontslag, enz. Alleen het jaar wordt in het algemeen als prima beschouwd voor gebruik, behalve in het geval van zeer ouderen (>89 jaar; in dat geval zouden zij worden weergegeven door een geaggregeerde categorie, bijvoorbeeld <90)
4 telefoonnummers
5 faxnummers dit is, IMHO, een overdracht van vroeger. Ken je veel mensen met een persoonlijk faxnummer? Maar het is wel logisch.
6 e-mailadressen (e-mail) Check
7 sociale zekerheidsnummers Check
8 medische recordnummers Dit is meestal een “willekeurig” nummer en kan worden gebruikt als men ook de instelling kent die het heeft toegewezen.
9 gezondheidszorgplan begunstigde nummers dit is uw verzekeringskaart/lid-ID.
10 rekeningnummers banknummers etc.
11 certificaat/rijbewijsnummers rijbewijs, nummer geboorteakte, enz.
12 Voertuigidentifiers en serienummers, inclusief kentekenplaatnummers als het goed genoeg is voor de politie om iemand op te sporen…
13 identificatiemiddelen en serienummers medische hulpmiddelen hebben unieke serienummers. MAC-id van uw computer is ook uniek.
14 Web Universal Resource Locators (URL ‘ s) dit is een beetje troebel, maar staat hier om alle mogelijkheden te dekken. http://www.facebook.com is niet erg uniek. Maar als ingelogd binnen een specifieke toepassing, kan inderdaad zeer uniek zijn voor een individu.
15 Internet Protocol (IP) adresnummers uw IP-adres kan worden gebruikt om uw adres gemakkelijk te identificeren. Er zijn verschillende gratis services die dit aanbieden (doe een snelle google-zoekopdracht naar een IP-adres en probeer dit als voorbeeld
16 biometrische identificatiemiddelen, inclusief vinger-en stemafdrukken vergeet retinale afbeeldingen niet.
17 Full face fotografische beelden en vergelijkbare afbeeldingen Controleer
18 enig ander uniek identificatienummer, kenmerk of code hercoderen – dit betekent niet de unieke code die door het systeem is toegekend om de gegevens te coderen.

deze 18 elementen zijn de kernset van gegevenselementen die afzonderlijk of in combinatie kunnen worden gebruikt om een individu uniek te identificeren. En, gezien het feit dat de bovenstaande lijst van identificatoren faxnummers heeft en niet Twitter @gebruikersnamen, Facebook-ID ‘ s, of een groot aantal andere moderne, meer voorkomende identificatoren, is het duidelijk dat de PII-lijst is niet de meest up-to-date en wat meer gedachte moet gaan in het herkennen en beschermen van identificeerbare informatie. Echter, omdat de gegevens van de patiënt is waardevol in klinische proeven, medische case studies, enz., de bovenstaande lijst wordt gebruikt als een richtlijn om de privacy te waarborgen. Dit leidt tot…

anonimisering& De-identificatie

anonimisering is een proces waarbij PHI-elementen worden verwijderd of gewijzigd met als doel het minimaliseren / verwijderen van de mogelijkheid om terug te gaan naar de oorspronkelijke dataset. Dit houdt in het verwijderen van alle identificerende gegevens om onlinkbare gegevens te creëren.

De-identificatie onder HIPAA treedt op wanneer gegevens zijn ontdaan van gemeenschappelijke identificatoren door twee methoden:

  1. verwijder de 18 bovenstaande elementen;

  2. indien een andere benadering wordt gebruikt, zorg dan voor een statistisch klein / verwaarloosbaar risico van heridentificatie dat wordt gevalideerd door een statistiekdeskundige (u moet de interpreteerbaarheid van die regel waarderen).

Designing HIPAA compliant solutions

gezien de bovenstaande beperkingen, is het essentieel dat elke toepassing die u ontwerpt rekening houdt met deze anonimisatie-en / of de-identificatievereisten voordat gegevens worden gedeeld met een externe entiteit. PHI-gegevens kunnen worden ‘gedeeld’ met een externe entiteit op voorwaarde dat u BAA (business associate agreement) hebt en de persoon de juiste toestemmingsdocumenten heeft ondertekend. Hoe PHI moet worden beheerd onder HIPAA is een heel onderwerp op zich. Kijk voor een blog post van ons kort beschrijven hoe we HIPAA compliance mogelijk te maken en de naleving van de letter en de geest van de wet bij Datica te vereenvoudigen.