Co To jest chroniona informacja zdrowotna (PHI)?
akronim: PHI oznacza chronione informacje zdrowotne – nie osobiste informacje zdrowotne (chociaż to w istocie, co to oznacza), NIE dane osobowe informacje zdrowotne (widziałem, że używany, choć technicznie byłoby PIHI) i jestem pewien, że istnieją warianty tego, że słyszałeś, jak również.
definicja: oto definicja Wikipedii. Chronione informacje zdrowotne (PHI) TO wszelkie informacje o stanie zdrowia, świadczeniu opieki zdrowotnej lub płatności za opiekę zdrowotną, które mogą być powiązane z konkretną osobą. HHS zapewnia jeszcze prostsze informacje o stanie zdrowia, które można identyfikować indywidualnie, przekazywane lub przechowywane w jakiejkolwiek formie lub nośniku przez podmiot objęty ochroną lub jego Osobę powiązaną; definicja „Osoby powiązanej” została rozszerzona o zasadę HIPAA Omnibus, która weszła w życie w 2013 roku. Termin „informacja” jest interpretowany dość szeroko i obejmuje dowolną część dokumentacji medycznej pacjenta lub historii płatności. Kluczem jest tutaj to zdanie „które można powiązać z konkretną osobą”. To jest, gdzie drugi akronim, Pii (Personally Identificated Information) – tutaj jest link do artykułu Wikipedii na ten temat-staje się istotne. Główną różnicą między PHI a PII jest to, że PII jest definicją prawną – tj. PII to wszystko, co można wykorzystać do jednoznacznej identyfikacji osoby. PHI jest podzbiorem PII w tym, że dokumentacja medyczna może być wykorzystana do identyfikacji osoby-zwłaszcza jeśli choroba lub stan jest wystarczająco Rzadki.
Ochrona
podstawą przepisów HIPAA jest zapewnienie, że własność wszelkich danych medycznych jest zachowana wyłącznie przez osobę fizyczną. Osoba może następnie zdecydować się na przydzielenie dostępu innym-dostawcom, członkom rodziny, pracodawcom, jeśli jest to konieczne lub konieczne, lub po prostu na podstawie preferencji właściciela rekordu. Prawo dostępu do swoich danych medycznych ma tylko osoba fizyczna. Zrobiono to głównie z następujących powodów:
-
Prywatność: oczywiście wolelibyśmy, aby nasz sąsiad (lub w niektórych przypadkach członkowie rodziny) nie wiedzieli o jakimkolwiek stanie, na który cierpimy lub przyjmujemy leki.
-
stronniczość i dyskryminacja: AIDS, Zdrowie psychiczne i inne choroby mają pewne (choć malejące) piętno społeczne związane z nim. Przepisy HIPAA PHI zapewniają, że pracodawcy i inne osoby nie mają dostępu do dokumentacji medycznej i wykorzystują zawarte w niej informacje do dyskryminowania danej osoby w oparciu o jej informacje zdrowotne.
wyjątkowość
oczywiście ochrona i prywatność wchodzą w grę, gdy dana osoba może / została jednoznacznie zidentyfikowana. W końcu 25,8 miliona Amerykanów ma cukrzycę. Prowadzi to do pytania, jakie dane można wykorzystać do jednoznacznej identyfikacji osoby. Ogólnie przyjęty zestaw indywidualnych unikalnych elementów danych obejmuje następujące elementy:
# | identyfikator | opis |
---|---|---|
1 | nazwa | no oczywiście tj. imię, nazwisko, nazwisko panieńskie. Można by argumentować, że każdy z powyższych nie identyfikuje jednoznacznie osoby, ponieważ „James” jest dość powszechną nazwą. Ale możliwe jest zidentyfikowanie osoby za pomocą kombinacji danych, takich jak imię, Kod Pocztowy, adres zamieszkania itp. |
2 | lokalizatory geograficzne | wszystko (ulica, miasto, dzielnica, Kod Pocztowy, współrzędne lat, itp.) jest uważany za PII. Pierwsze trzy cyfry kodu pocztowego są zwykle uważane za ok do użycia, z wyjątkiem niektórych kodów pocztowych, które obejmują niewielką populację (mniej niż 20 000). Obecnie istnieje 17 kodów pocztowych, które pasują do tego profilu – 036, 692, 878, 059, 790, 879, 063, 821, 884, 102, 823, 890, 203, 830, 893, 556, 831. Tak więc trzycyfrowe kody pocztowe mogą być używane, z wyjątkiem wyżej wymienionych. |
3 | daty | odnoszące się do istotnych wydarzeń w życiu jednostki – narodzin, śmierci, małżeństwa, przyjęcia, zwolnienia itp. Tylko rok jest ogólnie uważany za dobry do użytku, z wyjątkiem bardzo starszych osób (>89 lat; w takim przypadku będą one reprezentowane przez zbiorczą kategorię, np. <90) |
4 | numery telefonów | oczywiście. |
5 | numery faksów | to IMHO przeniesienie z dawnych czasów. Znasz wielu ludzi z osobistym numerem faksu? Ale to ma sens. |
6 | adresy poczty elektronicznej (e-mail) | Sprawdź |
7 | numery ubezpieczenia społecznego | Sprawdź |
8 | numery dokumentacji medycznej | jest to zwykle „losowe” numer i mógłby być użyty, gdyby znano również instytucję, która go przydzieliła. |
9 | numery beneficjentów planu zdrowotnego | to jest Twoja karta ubezpieczeniowa/identyfikator członka. |
10 | numery kont | numery banków itp. |
11 | numery świadectw/praw jazdy | prawo jazdy, numer aktu urodzenia itp. |
12 | identyfikatory pojazdów i numery seryjne, w tym numery tablic rejestracyjnych | , jeśli policja może kogoś namierzyć… |
13 | identyfikatory urządzeń i numery seryjne | urządzenia medyczne mają unikalne numery seryjne. Identyfikator MAC komputera jest również unikalny. |
14 | Web Universal Resource Locators (URLs) | to jest trochę mroczne, ale jest tutaj, aby pokryć wszystkie możliwości. http://www.facebook.com nie jest zbyt wyjątkowy. Ale jeśli zalogowany w konkretnej aplikacji, może rzeczywiście być bardzo unikalny dla danej osoby. |
15 | numery adresów protokołu internetowego (IP) | Twój adres IP może być użyty do łatwej identyfikacji twojego adresu. Istnieje kilka bezpłatnych usług, które oferują to (wykonaj szybkie wyszukiwanie w google adresu z ip i spróbuj tego jako przykład |
16 | identyfikatory biometryczne, w tym odciski palców i głosowe | nie zapomnij o obrazach siatkówki. |
17 | pełne obrazy fotograficzne i wszelkie porównywalne obrazy | Sprawdź |
18 | każdy inny unikalny numer identyfikacyjny, cecha lub kod | Recode – uwaga nie oznacza to unikalnego kodu przypisanego przez system do kodowania danych. |
te 18 elementów to podstawowy zestaw elementów danych, które pojedynczo lub w połączeniu mogą być użyte do jednoznacznej identyfikacji osoby. Biorąc pod uwagę fakt, że powyższa lista identyfikatorów ma numery faksów, a nie Nazwy użytkowników Twittera@, identyfikatory Facebooka lub wiele innych nowoczesnych, bardziej powszechnych identyfikatorów, oczywiste jest, że lista PII nie jest najbardziej aktualna i należy zastanowić się nad rozpoznawaniem i ochroną identyfikowalnych informacji. Jednak ponieważ dane pacjentów są cenne w badaniach klinicznych, medycznych studiach przypadków itp., Powyższa lista służy jako wskazówka w celu zapewnienia prywatności. To prowadzi do…
anonimizacja& De-identification
anonimizacja jest procesem, w którym elementy PHI są usuwane lub zmieniane w celu zminimalizowania / usunięcia możliwości powrotu do oryginalnego zestawu danych. Wiąże się to z usunięciem wszystkich danych identyfikacyjnych w celu utworzenia danych niezłączalnych.
De-Identyfikacja w ramach HIPAA występuje, gdy dane zostały pozbawione wspólnych identyfikatorów za pomocą dwóch metod:
-
Usuń 18 elementów wymienionych powyżej;
-
jeśli stosowane jest inne podejście, upewnij się, że statystycznie małe/znikome ryzyko ponownej identyfikacji jest potwierdzone przez eksperta ds. statystyki (musisz pokochać interpretację tej reguły).
Projektowanie rozwiązań zgodnych z HIPAA
biorąc pod uwagę powyższe ograniczenia, ważne jest, aby każda projektowana aplikacja uwzględniała te wymogi anonimizacji i / lub dezidentyfikacji, zanim jakiekolwiek dane zostaną udostępnione jakimkolwiek podmiotom zewnętrznym. Dane PHI mogą być „udostępniane” podmiotowi zewnętrznemu pod warunkiem, że masz BAA (business associate agreement) i osoba fizyczna podpisała odpowiednie dokumenty zgody. Sposób zarządzania PHI w ramach HIPAA to cały temat sam w sobie. Poszukaj od nas postu na blogu opisującego, w jaki sposób umożliwiamy przestrzeganie przepisów HIPAA i upraszczamy przestrzeganie litery i ducha prawa w firmie Datica.
Leave a Reply