En réponse aux questions envoyées à HIPAA Journal, nous avons écrit une série de posts répondant à certains des éléments les plus fondamentaux de HIPAA, le dernier en date étant ce qui est considéré comme PHI?
Qu’est-ce que PHI, PII et IIHA ?
Des termes tels que PHI et PII sont couramment utilisés dans le domaine de la santé, mais que signifient-ils et quelles informations incluent-ils ?
PHI est un acronyme de Protected Health Information, tandis que PII est un acronyme de Personally Identifiable Information. Avant d’expliquer ces termes, il est utile d’expliquer d’abord ce que l’on entend par informations de santé, dont les informations de santé protégées sont un sous-ensemble.
Les informations de santé sont des informations liées à la fourniture de soins de santé ou au paiement de services de santé qui sont créées ou reçues par un prestataire de soins de santé, une autorité de santé publique, une chambre de compensation de soins de santé, un plan de santé, un associé commercial d’une entité couverte par l’HIPAA, ou une école/université ou un employeur.
Les informations de santé concernent les conditions de santé passées, présentes et futures ou la santé physique/mentale qui sont liées à la fourniture de services de santé ou au paiement de ces services.
Les informations personnellement identifiables (PII) ou les informations de santé individuellement identifiables (IIHI) sont toutes les informations de santé qui permettent d’identifier le patient. Ainsi, un diagnostic de santé – l’asthme par exemple – devient une DPI lorsqu’il comprend un identifiant qui relie l’information à un patient spécifique, ou lorsqu’il existe une base raisonnable pour croire que l’information pourrait être utilisée pour identifier un patient.
Qu’est-ce qui est considéré comme une DPI ?
Les informations de santé protégées sont des informations de santé identifiables individuellement qui sont stockées sous forme électronique, transmises électroniquement par une entité couverte par l’HIPAA ou un associé commercial d’une entité couverte par l’HIPAA, ou transmises et conservées sous quelque forme que ce soit, y compris les films, les dossiers et autres documents papier. Les PHI concernent les entités couvertes par l’HIPAA, mais ne comprennent pas les dossiers d’éducation ou les dossiers d’emploi.
Qu’est-ce qui est considéré comme PHI par l’HIPAA ? Les PHI comprennent les dossiers de santé tels que les DSE/EMR, les résultats de tests de laboratoire, les antécédents médicaux, les diagnostics, les informations sur les traitements, les informations sur les assurances et les listes d’allergies sont tous considérés comme des PHI, tout comme les identifiants uniques et les informations démographiques. Si les informations sont créées, utilisées ou divulguées par une entité couverte par l’HIPAA dans le cadre de la fourniture de soins à une personne, ou si elles sont utilisées conjointement avec le paiement des soins, elles sont considérées comme des PHI et sont soumises à des contrôles stricts sur leurs utilisations et divulgations autorisées.
Utilisations et divulgations autorisées des PHI
La règle de confidentialité de l’HIPAA détaille les utilisations et divulgations autorisées des PHI. Les entités couvertes par l’HIPAA ne sont autorisées à partager les PHI qu’à des fins de traitement ou d’opérations de soins de santé sans avoir obtenu au préalable les autorisations de divulguer les informations des patients. Les définitions du traitement et des opérations de soins de santé se trouvent dans 45 CFR 164.501.
Obtenir des copies de PHI
La règle de confidentialité de l’HIPAA permet également aux patients d’obtenir des copies des PHI détenues par une entité couverte. Dans ce cas, il faut demander à l’entité couverte de fournir des copies des RPS qui sont stockés dans un ensemble d’enregistrements désignés. L’ensemble d’enregistrements désignés contiendra des informations utilisées par l’entité couverte pour la fourniture d’un traitement ou le paiement de soins, des informations détenues et utilisées par une entité couverte pour prendre des décisions concernant un patient ou pour l’inscription, le paiement, le règlement des réclamations ou, dans le cas des plans de santé, des informations dans les systèmes de dossiers de gestion des cas ou de gestion médicale.