A HIPAA Journalnak küldött kérdésekre válaszul egy sor bejegyzést írtunk, amelyekben a HIPAA néhány alapvető elemére adunk választ, a legutóbbi az volt, hogy mi számít PHI-nek?
Mi a PHI, a PII és az IIHA?
Az olyan kifejezésekre, mint a PHI és a PII, gyakran hivatkoznak az egészségügyben, de mit jelentenek, és milyen információkat tartalmaznak?
A PHI a védett egészségügyi információk, míg a PII a személyazonosításra alkalmas információk rövidítése. Mielőtt elmagyaráznánk ezeket a kifejezéseket, célszerű először elmagyarázni, hogy mit jelentenek az egészségügyi információk, amelyeknek a védett egészségügyi információk egy részhalmaza.
Az egészségügyi információk az egészségügyi ellátás nyújtásával vagy az egészségügyi szolgáltatások kifizetésével kapcsolatos információk, amelyeket egészségügyi szolgáltató, közegészségügyi hatóság, egészségügyi elszámolóház, egészségügyi terv, a HIPAA hatálya alá tartozó szervezet üzleti partnere, iskola/egyetem vagy munkáltató hoz létre vagy kap meg.
Az egészségügyi információk a múltbeli, jelenlegi és jövőbeli egészségi állapotra vagy fizikai/szellemi egészségi állapotra vonatkoznak, amelyek az egészségügyi szolgáltatások nyújtásával vagy e szolgáltatásokért való fizetéssel kapcsolatosak.
A személyazonosításra alkalmas információk (PII) vagy az egyénileg azonosítható egészségügyi információk (IIHI) olyan egészségügyi információk, amelyek lehetővé teszik a beteg azonosítását. Például egy egészségügyi diagnózis – például asztma – akkor válik PII-vé, ha olyan azonosítót tartalmaz, amely az információt egy adott beteghez köti, vagy ha alapos okkal feltételezhető, hogy az információ felhasználható a beteg azonosítására.
Mi minősül PHI-nek?
A védett egészségügyi információ olyan egyénileg azonosítható egészségügyi információ, amelyet elektronikus formában tárolnak, amelyet a HIPAA hatálya alá tartozó szervezet vagy a HIPAA hatálya alá tartozó szervezet üzleti partnere elektronikusan továbbít, vagy amelyet bármilyen formában továbbítanak és tárolnak, beleértve a filmeket, kórlapokat és egyéb papír alapú nyilvántartásokat. A PHI a HIPAA hatálya alá tartozó szervezetekre vonatkozik, de nem foglalja magában az oktatási nyilvántartásokat vagy a munkaügyi nyilvántartásokat.
Mit tekint a HIPAA PHI-nek? A PHI magában foglalja az egészségügyi nyilvántartásokat, például az EHR/EMR-eket, a laboratóriumi vizsgálati eredményeket, az egészségügyi kórtörténeteket, a diagnózisokat, a kezelési információkat, a biztosítási információkat és az allergiák listáit, valamint az egyedi azonosítókat és a demográfiai információkat. Ha az információt a HIPAA hatálya alá tartozó szervezet az egyén ellátása során hozza létre, használja fel vagy teszi közzé, vagy az ellátásért való fizetéssel összefüggésben használja fel, az PHI-nek minősül, és szigorú ellenőrzés alá esik a megengedett felhasználások és közzétételek tekintetében.
A PHI megengedett felhasználásai és közzétételei
A HIPAA adatvédelmi szabálya részletezi a PHI megengedett felhasználásait és közzétételeit. A HIPAA hatálya alá tartozó szervezetek csak kezelés vagy egészségügyi műveletek céljából oszthatják meg a PHI-t anélkül, hogy előzetesen engedélyt szereznének a betegektől az információ közlésére. A kezelés és az egészségügyi műveletek meghatározásai a 45 CFR 164.501.
A PHI másolatainak beszerzése
A HIPAA adatvédelmi szabálya azt is lehetővé teszi, hogy a betegek másolatot kapjanak a fedezett szervezet által tárolt PHI-ről. Ilyen esetekben kérelmet kell benyújtani a fedezett szervezethez, hogy másolatot adjon a kijelölt adatállományban tárolt PHI-ről. A kijelölt adatkészlet olyan információkat tartalmaz, amelyeket a fedezett szervezet a kezelés nyújtásához vagy az ellátás kifizetéséhez használ, olyan információkat, amelyeket a fedezett szervezet a beteggel kapcsolatos döntések meghozatalához vagy a beiratkozáshoz, kifizetéshez, a követelések elbírálásához, vagy egészségügyi tervek esetében az eset- vagy egészségügyi nyilvántartási rendszerekben lévő információkat tart és használ.
.