Als Antwort auf Fragen, die an das HIPAA Journal geschickt wurden, haben wir eine Reihe von Beiträgen verfasst, in denen wir einige der grundlegendsten Elemente des HIPAA beantworten, zuletzt die Frage, was als PHI gilt?
Was ist PHI, PII und IIHA?
Begriffe wie PHI und PII werden im Gesundheitswesen häufig verwendet, aber was bedeuten sie und welche Informationen umfassen sie?
PHI ist die Abkürzung für Protected Health Information (geschützte Gesundheitsinformationen), während PII die Abkürzung für Personally Identifiable Information (personenbezogene Daten) ist. Bevor diese Begriffe erklärt werden, ist es sinnvoll, zunächst zu erläutern, was unter Gesundheitsinformationen zu verstehen ist, von denen geschützte Gesundheitsinformationen eine Untergruppe sind.
Gesundheitsinformationen sind Informationen im Zusammenhang mit der Bereitstellung von Gesundheitsdienstleistungen oder der Bezahlung von Gesundheitsdienstleistungen, die von einem Gesundheitsdienstleister, einer Gesundheitsbehörde, einer Clearingstelle für das Gesundheitswesen, einem Gesundheitsplan, einem Geschäftspartner einer vom HIPAA abgedeckten Einrichtung oder einer Schule/Universität oder einem Arbeitgeber erstellt oder empfangen werden.
Gesundheitsinformationen beziehen sich auf vergangene, gegenwärtige und künftige Gesundheitszustände oder die körperliche/geistige Gesundheit, die mit der Erbringung von Gesundheitsdienstleistungen oder der Bezahlung dieser Dienstleistungen zusammenhängen.
Personal identifiable information (PII) oder individually identifiable health information (IIHI) sind alle Gesundheitsinformationen, die eine Identifizierung des Patienten ermöglichen. Eine Gesundheitsdiagnose – zum Beispiel Asthma – wird zu PII, wenn sie einen Identifikator enthält, der die Informationen mit einem bestimmten Patienten verbindet, oder wenn es eine vernünftige Grundlage für die Annahme gibt, dass die Informationen zur Identifizierung eines Patienten verwendet werden könnten.
Was wird als PHI betrachtet?
Geschützte Gesundheitsinformationen sind individuell identifizierbare Gesundheitsinformationen, die in elektronischer Form gespeichert, von einer HIPAA-abgedeckten Einrichtung oder einem Geschäftspartner einer HIPAA-abgedeckten Einrichtung elektronisch übermittelt oder in jeglicher Form, einschließlich Filmen, Krankenblättern und anderen Papierunterlagen, übermittelt und aufbewahrt werden. PHI bezieht sich auf HIPAA-abgedeckte Einrichtungen, umfasst aber keine Aufzeichnungen über Ausbildung oder Beschäftigung.
Was wird also von HIPAA als PHI betrachtet? Zu den PHI gehören Gesundheitsdatensätze wie EHR/EMR, Labortestergebnisse, Krankengeschichten, Diagnosen, Behandlungsinformationen, Versicherungsinformationen und Allergielisten, aber auch eindeutige Kennungen und demografische Informationen. Wenn Informationen von einer HIPAA-abgedeckten Einrichtung im Zuge der Versorgung einer Person erstellt, verwendet oder offengelegt werden oder in Verbindung mit der Bezahlung der Versorgung verwendet werden, gelten sie als PHI und unterliegen strengen Kontrollen hinsichtlich ihrer zulässigen Verwendungen und Offenlegungen.
Zulässige Verwendungen und Offenlegungen von PHI
Die HIPAA Privacy Rule beschreibt die zulässigen Verwendungen und Offenlegungen von PHI. HIPAA-abgedeckte Einrichtungen dürfen PHI nur zum Zwecke der Behandlung oder für die Gesundheitsversorgung weitergeben, ohne zuvor die Erlaubnis der Patienten zur Weitergabe der Informationen einzuholen. Die Definitionen der Begriffe „Behandlung“ und „Betrieb des Gesundheitswesens“ finden sich in 45 CFR 164.501.
Erhalt von Kopien von PHI
Die HIPAA Privacy Rule erlaubt es den Patienten auch, Kopien von PHI zu erhalten, die sich im Besitz einer betroffenen Einrichtung befinden. In solchen Fällen muss ein Antrag an die betroffene Einrichtung gestellt werden, um Kopien von PHI zu erhalten, die in einem bestimmten Datensatz gespeichert sind. Der festgelegte Datensatz enthält Informationen, die von der betroffenen Einrichtung für die Erbringung von Behandlungen oder die Bezahlung von Pflegeleistungen verwendet werden, Informationen, die von einer betroffenen Einrichtung aufbewahrt und verwendet werden, um Entscheidungen in Bezug auf einen Patienten zu treffen, oder für die Einschreibung, die Bezahlung, die Beurteilung von Ansprüchen oder, im Falle von Gesundheitsplänen, Informationen in Fall- oder medizinischen Verwaltungsdatensystemen.