Som svar på spørgsmål, der er sendt til HIPAA Journal, har vi skrevet en række indlæg, der besvarer nogle af de mest grundlæggende elementer i HIPAA, hvoraf det seneste er, hvad der betragtes som PHI?
Hvad er PHI, PII og IIHA?
Termer som PHI og PII er almindeligt omtalt i sundhedssektoren, men hvad betyder de, og hvilke oplysninger omfatter de?
PHI er en forkortelse for Protected Health Information (beskyttede sundhedsoplysninger), mens PII er en forkortelse for Personally Identifiable Information (personligt identificerbare oplysninger). Før disse begreber forklares, er det nyttigt først at forklare, hvad der menes med sundhedsoplysninger, som beskyttede sundhedsoplysninger er en delmængde af.
Sundhedsoplysninger er oplysninger vedrørende levering af sundhedsydelser eller betaling for sundhedsydelser, som oprettes eller modtages af en sundhedsudbyder, en offentlig sundhedsmyndighed, et clearinghouse for sundhedsydelser, en sundhedsplan, en forretningsforbindelse til en HIPAA-dækket enhed eller en skole/universitet eller en arbejdsgiver.
Sundhedsoplysninger vedrører tidligere, nuværende og fremtidige helbredsforhold eller fysisk/psykisk sundhed, der er relateret til levering af sundhedsydelser eller betaling for disse ydelser.
Personligt identificerbare oplysninger (PII) eller individuelt identificerbare sundhedsoplysninger (IIHI) er alle sundhedsoplysninger, der gør det muligt at identificere patienten. For eksempel bliver en sundhedsdiagnose – f.eks. astma – til PII, når den indeholder en identifikator, der knytter oplysningerne til en bestemt patient, eller når der er et rimeligt grundlag for at tro, at oplysningerne kan bruges til at identificere en patient.
Hvad betragtes som PHI?
Beskyttede sundhedsoplysninger er individuelt identificerbare sundhedsoplysninger, der opbevares i elektronisk form, overføres elektronisk af en HIPAA-dækket enhed eller en forretningsforbindelse til en HIPAA-dækket enhed, eller overføres og opbevares i enhver form, herunder film, journaler og andre papirjournaler. PHI vedrører HIPAA-dækkede enheder, men omfatter ikke uddannelsesoptegnelser eller ansættelsesoptegnelser.
Så hvad betragtes som PHI i henhold til HIPAA? PHI omfatter sundhedsjournaler såsom EHR/EMR’er, laboratorieprøveresultater, helbredshistorier, diagnoser, behandlingsoplysninger, forsikringsoplysninger og lister over allergier betragtes alle som PHI, ligesom unikke identifikatorer og demografiske oplysninger. Hvis oplysninger oprettes, anvendes eller videregives af en HIPAA-dækket enhed i forbindelse med levering af pleje til en person eller anvendes i forbindelse med betaling for pleje, betragtes de som PHI og er underlagt streng kontrol af de tilladte anvendelser og videregivelser.
Godkendte anvendelser og videregivelser af PHI
HIPAA Privacy Rule beskriver i detaljer de tilladte anvendelser og videregivelser af PHI. HIPAA-dækkede enheder må kun dele PHI til behandlingsformål eller til sundhedsdrift uden først at indhente tilladelse til at videregive oplysningerne fra patienterne. Definitionerne af behandling og sundhedsydelser findes i 45 CFR 164.501.
Opnåelse af kopier af PHI
HIPAA Privacy Rule giver også patienterne mulighed for at få kopier af PHI, som opbevares af en omfattet enhed. I sådanne tilfælde skal der fremsættes en anmodning til den dækkede enhed om at få udleveret kopier af PHI, der er gemt i et udpeget sæt journaler. Det udpegede datasæt vil indeholde oplysninger, der anvendes af den dækkede enhed til at yde behandling eller betale for pleje, oplysninger, der opbevares og anvendes af en dækket enhed til at træffe beslutninger om en patient eller til indskrivning, betaling, behandling af krav eller, for så vidt angår sundhedsplaner, oplysninger i sagsbehandlings- eller medicinske forvaltningssystemer.