Vastauksena HIPAA Journalille lähetettyihin kysymyksiin olemme kirjoittaneet sarjan viestejä, joissa vastataan joihinkin HIPAA:n peruselementteihin, joista viimeisin on Mitä pidetään PHI:nä?
Mitä on PHI, PII ja IIHA?
Terveydenhuollossa viitataan yleisesti sellaisiin termeihin kuin PHI ja PII, mutta mitä ne tarkoittavat ja mitä tietoja ne sisältävät?
PHI on lyhenne sanoista Protected Health Information (suojattu terveystieto), kun taas PII on lyhenne sanoista Personally Identifiable Information (henkilötiedot). Ennen näiden termien selittämistä on hyödyllistä ensin selittää, mitä tarkoitetaan terveystiedoilla, joista suojattu terveystieto on osajoukko.
Terveystieto on terveydenhuollon tarjoamiseen tai terveydenhuoltopalveluista maksamiseen liittyvää tietoa, jonka on luonut tai vastaanottanut terveydenhuollon tarjoaja, julkinen terveydenhuoltoviranomainen, terveydenhuollon tietojenkäsittelykeskus, terveydenhuoltosuunnitelma, HIPAA:n piiriin kuuluvan yksikön liikekumppani, koulu/yliopisto tai työnantaja.
Terveystiedot liittyvät menneisiin, nykyisiin ja tuleviin terveydentiloihin tai fyysiseen/psyykkiseen terveyteen, jotka liittyvät terveydenhuoltopalvelujen tarjoamiseen tai maksamiseen kyseisistä palveluista.
Henkilökohtaisesti tunnistettavissa olevat tiedot (PII) tai yksilöllisesti tunnistettavissa oleva terveystieto (IIHI, individually identifiable health information) on mikä tahansa terveystieto, jonka avulla potilas voidaan tunnistaa. Esimerkiksi terveysdiagnoosista – esimerkiksi astmasta – tulee PII, kun se sisältää tunnisteen, joka yhdistää tiedot tiettyyn potilaaseen, tai kun on perusteltua syytä uskoa, että tietoja voidaan käyttää potilaan tunnistamiseen.
Mitä pidetään PHI:nä?
Suojattuja terveystietoja ovat yksilöitävissä olevat terveystiedot, jotka on tallennettu sähköisessä muodossa, jotka HIPAA:n piiriin kuuluva yhteisö tai HIPAA:n piiriin kuuluvan yhteisön liikekumppani välittää sähköisesti tai jotka välitetään ja säilytetään missä tahansa muodossa, mukaan lukien kalvot, potilaskortit ja muut paperitiedot. PHI liittyy HIPAA:n piiriin kuuluviin yksiköihin, mutta se ei sisällä koulutustietoja tai työsuhdetietoja.
Mitä siis pidetään HIPAA:ssa PHI:nä? PHI sisältää terveystietoja, kuten EHR/EMR-tiedot, laboratoriokokeiden tulokset, terveystiedot, diagnoosit, hoitotiedot, vakuutustiedot ja allergialuettelot katsotaan PHI:ksi, samoin kuin yksilölliset tunnisteet ja demografiset tiedot. Jos HIPAA:n piiriin kuuluva yksikkö luo, käyttää tai luovuttaa tietoja tarjotessaan hoitoa yksityishenkilölle tai jos tietoja käytetään hoidon maksamisen yhteydessä, niitä pidetään PHI:nä, ja niiden sallittua käyttöä ja luovuttamista valvotaan tiukasti.
PHI:n sallitut käyttötarkoitukset ja luovutukset
HIPAA:n yksityisyydensuojalausekkeessa (HIPAA Privacy Rule) kerrotaan yksityiskohtaisesti PHI:n sallituista käyttötarkoituksista ja luovutuksista. HIPAA:n piiriin kuuluvat yhteisöt saavat jakaa PHI-tietoja vain hoitoa tai terveydenhuollon toimintoja varten ilman, että ne saavat ensin potilailta luvan tietojen luovuttamiseen. Hoidon ja terveydenhuollon toiminnan määritelmät löytyvät 45 CFR 164.501:stä.
Obtaining Copies of PHI
HIPAA Privacy Rule sallii myös potilaiden saada kopioita suojatun yksikön hallussa olevista PHI-tiedoista. Tällaisissa tapauksissa on pyydettävä suojattua yhteisöä toimittamaan kopiot PHI:stä, joka on tallennettu nimettyyn tietueeseen. Määritelty tietue sisältää tietoja, joita katettu yksikkö käyttää hoidon antamiseen tai hoidon maksamiseen, tietoja, joita katettu yksikkö pitää hallussaan ja joita se käyttää tehdessään potilasta koskevia päätöksiä tai ilmoittautumiseen, maksamiseen, korvausvaatimusten käsittelyyn tai, kun kyseessä ovat terveydenhuoltosuunnitelmat, tietoja tapaus- tai potilastietojärjestelmissä.