In antwoord op vragen die naar HIPAA Journal zijn gestuurd, hebben we een reeks berichten geschreven waarin antwoord wordt gegeven op enkele van de meest elementaire elementen van HIPAA, waarvan het meest recente is: wat wordt beschouwd als PHI?
Wat is PHI, PII, en IIHA?
Termen als PHI en PII worden vaak genoemd in de gezondheidszorg, maar wat betekenen ze en welke informatie omvatten ze?
PHI is een acroniem van Protected Health Information, terwijl PII een acroniem is van Personally Identifiable Information. Voordat deze termen worden uitgelegd, is het nuttig om eerst uit te leggen wat wordt bedoeld met gezondheidsinformatie, waarvan beschermde gezondheidsinformatie een subset is.
Gezondheidsinformatie is informatie met betrekking tot de verlening van gezondheidszorg of de betaling van gezondheidszorgdiensten die wordt gemaakt of ontvangen door een zorgverlener, een openbare gezondheidsinstantie, een clearinghouse voor gezondheidszorg, een gezondheidsplan, een business associate van een HIPAA-gedekte entiteit, of een school / universiteit of werkgever.
Gezondsheidsinformatie heeft betrekking op vroegere, huidige en toekomstige gezondheidstoestanden of fysieke/mentale gezondheid die verband houden met de verlening van gezondheidszorgdiensten of de betaling van deze diensten.
Persoonlijk identificeerbare informatie (PII) of individueel identificeerbare gezondheidsinformatie (IIHI) is alle gezondheidsinformatie die het mogelijk maakt de patiënt te identificeren. Bijvoorbeeld, een gezondheidsdiagnose – Astma bijvoorbeeld – wordt PII wanneer het een identificator bevat die de informatie aan een specifieke patiënt koppelt, of wanneer er een redelijke basis is om aan te nemen dat de informatie kan worden gebruikt om een patiënt te identificeren.
Wat wordt beschouwd als PHI?
Beschermde gezondheidsinformatie is individueel identificeerbare gezondheidsinformatie die in elektronische vorm is opgeslagen, elektronisch wordt verzonden door een onder de HIPAA vallende entiteit of een business associate van een onder de HIPAA vallende entiteit, of in enigerlei vorm wordt verzonden en bewaard, inclusief films, dossiers en andere papieren dossiers. PHI heeft betrekking op door de HIPAA gedekte entiteiten, maar omvat geen onderwijsgegevens of arbeidsgegevens.
Wat wordt dus door de HIPAA als PHI beschouwd? PHI omvat gezondheidsdossiers zoals EHR/EMR’s, uitslagen van laboratoriumtests, gezondheidsgeschiedenissen, diagnoses, behandelingsinformatie, verzekeringsinformatie en lijsten met allergieën worden allemaal als PHI beschouwd, net als unieke identificatoren en demografische informatie. Als informatie wordt gecreëerd, gebruikt of bekendgemaakt door een onder de HIPAA vallende entiteit tijdens het verlenen van zorg aan een individu, of wordt gebruikt in combinatie met de betaling van zorg, wordt deze beschouwd als PHI en is deze onderworpen aan strikte controles op het toegestane gebruik en de toegestane openbaarmaking ervan.
Toelaatbaar gebruik en toegestane openbaarmaking van PHI
De HIPAA-privacyregel beschrijft in detail het toegestane gebruik en de toegestane openbaarmaking van PHI. Entiteiten die onder de HIPAA vallen, mogen PHI alleen delen met het oog op behandeling of voor activiteiten in de gezondheidszorg zonder eerst toestemming van patiënten te krijgen om de informatie vrij te geven. De definities van behandeling en gezondheidszorgactiviteiten zijn te vinden in 45 CFR 164.501.
Kopieën van PHI verkrijgen
De HIPAA-privacyregel staat patiënten ook toe kopieën te verkrijgen van de PHI die in het bezit is van een gedekte entiteit. In dergelijke gevallen moet een verzoek worden ingediend bij de betrokken entiteit om kopieën te verstrekken van PHI die is opgeslagen in een aangewezen recordverzameling. De aangewezen recordset zal informatie bevatten die door de gedekte entiteit wordt gebruikt voor het verstrekken van behandeling of het betalen van zorg, informatie die door een gedekte entiteit wordt bijgehouden en gebruikt om beslissingen over een patiënt te nemen of voor inschrijving, betaling, toewijzing van claims, of in het geval van gezondheidsplannen, informatie in case- of medische managementrecordsystemen.