In risposta alle domande inviate all’HIPAA Journal, abbiamo scritto una serie di post che rispondono ad alcuni degli elementi più basilari dell’HIPAA, l’ultimo è cosa è considerato PHI?
Cos’è PHI, PII, e IIHA?
Termini come PHI e PII sono comunemente riferiti all’assistenza sanitaria, ma cosa significano e quali informazioni includono?
PHI è un acronimo di Protected Health Information, mentre PII è un acronimo di Personally Identifiable Information. Prima di spiegare questi termini, è utile spiegare prima cosa si intende per informazioni sanitarie, di cui le informazioni sanitarie protette sono un sottoinsieme.
Le informazioni sanitarie sono informazioni relative alla fornitura di assistenza sanitaria o al pagamento dei servizi sanitari che vengono create o ricevute da un fornitore di assistenza sanitaria, un’autorità sanitaria pubblica, un centro di compensazione sanitaria, un piano sanitario, un socio commerciale di un’entità coperta da HIPAA, o una scuola/università o un datore di lavoro.
Le informazioni sanitarie riguardano le condizioni di salute passate, presenti e future o la salute fisica/mentale che sono collegate alla fornitura di servizi sanitari o al pagamento di tali servizi.
Le informazioni identificabili personalmente (PII) o le informazioni sanitarie identificabili individualmente (IIHI) sono tutte le informazioni sanitarie che permettono di identificare il paziente. Per esempio, una diagnosi di salute – Asma per esempio – diventa PII quando include un identificatore che collega l’informazione ad un paziente specifico, o quando c’è una base ragionevole per credere che l’informazione potrebbe essere usata per identificare un paziente.
Cosa è considerato PHI?
Le informazioni sanitarie protette sono informazioni sanitarie identificabili individualmente che sono memorizzate in forma elettronica, trasmesse elettronicamente da un’entità coperta dall’HIPAA o da un socio d’affari di un’entità coperta dall’HIPAA, o trasmesse e conservate in qualsiasi forma, compresi film, cartelle e altri documenti cartacei. PHI si riferisce alle entità coperte da HIPAA, ma non include le registrazioni dell’istruzione o dell’impiego.
Cos’è dunque considerato PHI da HIPAA? PHI include documenti sanitari come EHR/EMRs, risultati di esami di laboratorio, storie di salute, diagnosi, informazioni sul trattamento, informazioni sull’assicurazione e liste di allergie sono tutti considerati PHI, così come gli identificatori unici e le informazioni demografiche. Se le informazioni sono create, usate o divulgate da un’entità coperta dall’HIPAA nel corso della fornitura di cure a un individuo, o sono usate in combinazione con il pagamento delle cure, sono considerate PHI e sono soggette a severi controlli sui loro usi e divulgazioni consentiti.
Usi e divulgazioni consentiti di PHI
La regola sulla privacy HIPAA dettaglia gli usi e le divulgazioni consentite di PHI. Le entità coperte da HIPAA sono autorizzate a condividere PHI solo per scopi di trattamento o per operazioni sanitarie senza prima ottenere l’autorizzazione a divulgare le informazioni dai pazienti. Le definizioni di trattamento e operazioni sanitarie possono essere trovate in 45 CFR 164.501.
Ottenere copie di PHI
L’HIPAA Privacy Rule permette anche ai pazienti di ottenere copie delle PHI detenute da un ente coperto. In questi casi, una richiesta deve essere fatta all’entità coperta per fornire copie di PHI che sono conservate in un record set designato. Il record set designato conterrà informazioni che sono utilizzate dall’entità coperta per la fornitura di trattamento o il pagamento delle cure, informazioni che sono detenute e utilizzate da un’entità coperta per prendere decisioni su un paziente o per l’iscrizione, il pagamento, l’aggiudicazione delle richieste, o nel caso di piani sanitari, informazioni nel caso o sistemi di registrazione della gestione medica.