V reakci na dotazy zaslané časopisu HIPAA Journal jsme napsali sérii příspěvků, které odpovídají na některé základní prvky zákona HIPAA, z nichž nejnovější je Co se považuje za PHI?
Co je PHI, PII a IIHA?
Termíny jako PHI a PII se ve zdravotnictví běžně používají, ale co znamenají a jaké informace zahrnují?
PHI je zkratka chráněných zdravotních informací, zatímco PII je zkratka osobně identifikovatelných informací. Před vysvětlením těchto pojmů je vhodné nejprve vysvětlit, co se rozumí zdravotními informacemi, jejichž podmnožinou jsou chráněné zdravotní informace.
Zdravotní informace jsou informace související s poskytováním zdravotní péče nebo úhradou zdravotních služeb, které vytváří nebo přijímá poskytovatel zdravotní péče, orgán veřejného zdraví, zúčtovací centrum zdravotní péče, zdravotní plán, obchodní partner subjektu, na který se vztahuje HIPAA, nebo škola/univerzita či zaměstnavatel.
Zdravotní informace se týkají minulého, současného a budoucího zdravotního stavu nebo fyzického/psychického zdraví, které souvisejí s poskytováním zdravotních služeb nebo platbou za tyto služby.
Osobně identifikovatelné informace (PII) nebo individuálně identifikovatelné zdravotní informace (IIHI) jsou jakékoli zdravotní informace, které umožňují identifikaci pacienta. Například zdravotní diagnóza – například astma – se stává PII, pokud obsahuje identifikátor, který tuto informaci spojuje s konkrétním pacientem, nebo pokud existuje důvodný předpoklad, že by tato informace mohla být použita k identifikaci pacienta.
Co se považuje za PHI?
Chráněné zdravotní informace jsou individuálně identifikovatelné zdravotní informace, které jsou uchovávány v elektronické podobě, elektronicky přenášeny subjektem, na který se vztahuje HIPAA, nebo obchodním partnerem subjektu, na který se vztahuje HIPAA, nebo přenášeny a uchovávány v jakékoli formě, včetně filmů, tabulek a jiných papírových záznamů. PHI se týkají subjektů, na které se vztahuje HIPAA, ale nezahrnují záznamy o vzdělávání nebo záznamy o zaměstnání.
Co se tedy podle HIPAA považuje za PHI? PHI zahrnuje zdravotní záznamy, jako jsou EHR/EMR, výsledky laboratorních testů, anamnézy, diagnózy, informace o léčbě, informace o pojištění a seznamy alergií jsou považovány za PHI, stejně jako jedinečné identifikátory a demografické informace. Pokud jsou informace vytvořeny, použity nebo zpřístupněny subjektem, na který se vztahuje HIPAA, v průběhu poskytování péče jednotlivci nebo jsou použity v souvislosti s platbou za péči, jsou považovány za PHI a podléhají přísné kontrole jejich povoleného použití a zpřístupnění.
Povolené použití a zpřístupnění PHI
Pravidla ochrany soukromí HIPAA podrobně popisují povolené použití a zpřístupnění PHI. Subjekty, na které se vztahuje HIPAA, smějí sdílet PHI pouze pro účely léčby nebo provozování zdravotní péče, aniž by předtím získaly od pacientů souhlas se zveřejněním informací. Definice léčby a poskytování zdravotní péče jsou uvedeny v 45 CFR 164.501.
Získávání kopií PHI
Pravidlo HIPAA o ochraně osobních údajů rovněž umožňuje pacientům získat kopie PHI, které má krytý subjekt k dispozici. V takových případech je třeba požádat krytý subjekt o poskytnutí kopií PHI, které jsou uloženy v určeném souboru záznamů. Určený soubor záznamů bude obsahovat informace, které krytý subjekt používá k poskytování léčby nebo úhradě péče, informace, které krytý subjekt uchovává a používá k rozhodování o pacientovi nebo k registraci, úhradě, vyřizování nároků, nebo v případě zdravotních plánů informace v systémech záznamů o případech nebo zdravotních výkonech.
.