Articles

Ce sunt informațiile de sănătate protejate (Phi)?

acronimul: PHI înseamnă informații de sănătate protejate – nu informații personale de sănătate (deși asta este în esență ceea ce implică), nu Informații de sănătate identificabile personal (am văzut-o folosită deși asta ar fi tehnic PIHI) și sunt sigur că există variante ale acestui lucru pe care le-ați auzit și voi.

definiția: Iată definiția Wikipedia. Informațiile de sănătate protejate (phi) sunt orice informații despre starea de sănătate, furnizarea de asistență medicală sau plata pentru îngrijirea sănătății care pot fi legate de o anumită persoană. HHS oferă o chiar mai simplu de Phi-informații de sănătate identificabile individual transmise sau menținute în orice formă sau mediu de către o entitate acoperită sau asociat de afaceri; definiția unui „asociat de afaceri” a fost extins cu regula Omnibus HIPAA care a intrat în vigoare în 2013. Acest termen „informație” este interpretat destul de larg și include orice parte a dosarului medical al pacientului sau a istoricului plăților. Cheia aici este această frază”care poate fi legată de un anumit individ”. Acesta este locul în care celălalt acronim, PII (informații de identificare personală) – iată linkul către articolul Wikipedia despre asta – devine relevant. Diferența majoră dintre PHI și PII este că PII este o definiție legală – adică PII este orice ar putea fi folosit pentru a identifica în mod unic un individ. PHI este un subset de PII prin faptul că o fișă medicală ar putea fi utilizată pentru a identifica o persoană – mai ales dacă boala sau starea este suficient de rară.

protecție

nucleul reglementărilor HIPAA este de a se asigura că proprietatea asupra oricăror date medicale este păstrată exclusiv de către individ. Individul poate decide apoi să împartă accesul la alții-furnizori, membri ai familiei, angajatori, dacă este necesar sau necesar sau pur și simplu prin preferința proprietarului înregistrării. Numai o persoană are dreptul de a acorda acces la datele sale medicale. Acest lucru a fost făcut în principal din următoarele motive:

  1. Confidențialitate: evident, am prefera ca vecinul nostru (sau, în unele cazuri, membrii familiei) să nu știe despre orice afecțiune am putea suferi sau despre medicamentele pe care le luăm.

  2. prejudecată și discriminare: SIDA, sănătatea mintală și alte afecțiuni au un anumit stigmat social (deși în scădere) asociat cu acesta. Dispozițiile HIPAA PHI asigura că angajatorii și alții nu au acces la dosarul medical și de a folosi informațiile conținute în a discrimina individul pe baza informațiilor lor de sănătate.

unicitate

evident, protecția și confidențialitatea intră în joc odată ce individul poate / a fost identificat în mod unic. La urma urmei, 25,8 milioane de americani au diabet. Acest lucru duce la întrebarea ce date pot fi utilizate pentru a identifica în mod unic un individ. Setul general acceptat de elemente de date unice individual include următoarele:

# identificator descriere
1 nume ei bine, desigur, adică prenume, prenume, combinații de nume de fată. S-ar putea argumenta că oricare dintre cele de mai sus nu identifică în mod unic un individ, după toate „James” este un nume destul de comun. Dar ar putea fi posibil să se identifice o persoană folosind o combinație de date, adică prenumele, codul poștal, adresa stradală etc.
2 Localizatori geografici totul (adresă, oraș, incintă, Cod poștal, coordonate lat-lungi etc.) este considerat PII. Primele trei cifre ale codului poștal sunt de obicei considerate ok pentru utilizare, cu excepția anumitor coduri poștale care acoperă o populație mică (mai puțin de 20.000). În prezent, există 17 coduri poștale care se potrivesc acestui profil – 036, 692, 878, 059, 790, 879, 063, 821, 884, 102, 823, 890, 203, 830, 893, 556, 831. Deci, codurile zip de trei cifre sunt ok pentru a fi utilizate, cu excepția celor enumerate mai sus.
3 date referitoare la evenimente semnificative din viața unui individ – naștere, moarte, căsătorie, admitere, externare etc. Doar anul este în general considerat bun pentru utilizare, cu excepția cazului persoanelor foarte în vârstă (>89 de ani; caz în care acestea ar fi reprezentate de o categorie agregată, de exemplu <90)
4 numere de telefon bine desigur.
5 numere de Fax acesta este, IMHO, un reportaj din vremurile vechi. Cunoști o mulțime de oameni cu un număr de fax personal? Dar are sens.
6 adrese de poștă electronică (e-mail) verificați
7 numere de securitate socială verificați
8 numere de înregistrare medicală aceasta este de obicei o „întâmplare” numărul și ar putea fi utilizat dacă cineva ar cunoaște și instituția care i-a atribuit-o.
9 numerele beneficiarului planului de sănătate acesta este cardul dvs. de asigurare / ID-ul dvs. de membru.
10 numere de cont numere bancare etc.
11 certificat/numere de licență permis de conducere, numărul certificatului de naștere etc.
12 identificatori de vehicule și numere de serie, inclusiv numere de înmatriculare dacă este suficient de bun pentru poliție pentru a urmări pe cineva în jos…
13 identificatorii dispozitivului și numerele de serie dispozitivele medicale au numere de serie unice. MAC ID-ul computerului este unic, de asemenea.
14 Web Universal Resource Locators (URL-uri) acest lucru este un pic tulbure, dar este aici pentru a acoperi toate posibilitățile. http://www.facebook.com nu este foarte unic. Dar dacă este conectat într-o anumită aplicație, ar putea fi într-adevăr foarte unic pentru un individ.
15 numerele adreselor protocolului Internet (IP) adresa dvs. IP poate fi utilizată pentru a vă identifica cu ușurință adresa. Există mai multe servicii gratuite care oferă acest lucru (efectuați o căutare rapidă pe google pentru o adresă de la ip și încercați acest lucru ca exemplu
16 identificatori biometrici, inclusiv amprente digitale și vocale nu uitați imaginile retiniene.
17 imagini fotografice cu fața completă și orice imagini comparabile verificați
18 orice alt număr unic de identificare, caracteristică sau cod Recode – Notă Acest lucru nu înseamnă codul unic atribuit de sistem pentru a codifica datele.

aceste 18 elemente sunt setul de bază de elemente de date care individual sau în combinație pot fi utilizate pentru a identifica în mod unic un individ. Și, având în vedere faptul că lista de identificatori de mai sus are numere de fax și nu nume de utilizator Twitter@, ID-uri Facebook sau o serie de alți identificatori moderni, mai obișnuiți, este clar că lista PII nu este cea mai actualizată și ar trebui să se gândească mai mult la recunoașterea și protejarea informațiilor identificabile. Cu toate acestea, deoarece datele pacientului sunt valoroase în studiile clinice, studiile de caz medicale etc., lista de mai sus este utilizată ca ghid pentru a asigura confidențialitatea. Acest lucru duce la…

anonimizarea&Dezidentificarea

anonimizarea este un proces prin care elementele PHI sunt eliminate sau modificate cu scopul de a minimiza/elimina posibilitatea de a reveni la setul de date original. Aceasta implică eliminarea tuturor datelor de identificare pentru a crea date care nu pot fi stocate.

De-identificare în HIPAA apare atunci când datele au fost dezbrăcat de identificatori comune prin două metode:

  1. eliminați cele 18 elemente enumerate mai sus;

  2. dacă se folosește o altă abordare, asigurați un risc statistic mic / neglijabil de reidentificare care este validat de un expert în statistici (trebuie să vă placă interpretabilitatea acestei reguli).

proiectarea soluțiilor compatibile HIPAA

având în vedere constrângerile de mai sus, este esențial ca orice aplicație pe care o proiectați să ia în considerare aceste cerințe de anonimizare și / sau de identificare înainte ca orice date să fie partajate cu orice entitate externă. Datele PHI pot fi” partajate ” cu o entitate externă, cu condiția să aveți BAA (contract de asociat de afaceri) în vigoare și persoana fizică a semnat documentele de consimțământ corespunzătoare. Cum PHI trebuie să fie gestionate în cadrul HIPAA este un subiect întreg în sine. Căutați o postare pe blog de la noi în scurt timp care să descrie modul în care permitem respectarea HIPAA și simplificăm aderarea la litera și spiritul legii la Datica.