W odpowiedzi na pytania przesłane do HIPAA Journal, napisaliśmy serię postów odpowiadających na niektóre z najbardziej podstawowych elementów HIPAA, z których najnowszy dotyczy tego, co jest uważane za PHI?
Co to jest PHI, PII i IIHA?
Terminy takie jak PHI i PII są powszechnie stosowane w opiece zdrowotnej, ale co one oznaczają i jakie informacje obejmują?
PHI to skrót od Protected Health Information (chronione informacje zdrowotne), natomiast PII to skrót od Personally Identifiable Information (informacje umożliwiające identyfikację osoby). Przed wyjaśnieniem tych terminów warto najpierw wyjaśnić, co oznaczają informacje zdrowotne, których podgrupą są chronione informacje zdrowotne.
Informacje zdrowotne to informacje związane z zapewnieniem opieki zdrowotnej lub płatnościami za usługi opieki zdrowotnej, które są tworzone lub otrzymywane przez świadczeniodawcę, organ publicznej służby zdrowia, izbę rozliczeniową opieki zdrowotnej, plan zdrowotny, podmiot stowarzyszony z podmiotem objętym HIPAA, szkołę/uniwersytet lub pracodawcę.
Informacje zdrowotne dotyczą przeszłych, obecnych i przyszłych warunków zdrowotnych lub zdrowia fizycznego/psychicznego, które są związane ze świadczeniem usług opieki zdrowotnej lub płatnością za te usługi.
Informacje umożliwiające identyfikację osoby (PII) lub indywidualnie identyfikowane informacje zdrowotne (IIHI) to wszelkie informacje zdrowotne, które umożliwiają identyfikację pacjenta. Na przykład, diagnoza zdrowotna – na przykład astma – staje się PII, gdy zawiera identyfikator, który łączy informację z konkretnym pacjentem, lub gdy istnieje uzasadniona podstawa, aby sądzić, że informacja może być wykorzystana do identyfikacji pacjenta.
Co jest uważane za PHI?
Chronione informacje zdrowotne to indywidualnie identyfikowalne informacje zdrowotne, które są przechowywane w formie elektronicznej, przekazywane elektronicznie przez podmiot objęty HIPAA lub podmiot współpracujący z podmiotem objętym HIPAA, lub przekazywane i przechowywane w dowolnej formie, w tym na kliszach, wykresach i innych zapisach papierowych. PHI odnosi się do podmiotów objętych HIPAA, ale nie obejmuje rejestrów edukacyjnych lub rejestrów zatrudnienia.
Co więc jest uważane za PHI przez HIPAA? PHI obejmuje dokumentację zdrowotną, taką jak EHR/EMR, wyniki badań laboratoryjnych, historie zdrowia, diagnozy, informacje o leczeniu, informacje o ubezpieczeniu i listy alergii są uważane za PHI, podobnie jak unikalne identyfikatory i informacje demograficzne. Jeśli informacje są tworzone, wykorzystywane lub ujawniane przez podmiot objęty HIPAA w trakcie świadczenia opieki nad daną osobą, lub są wykorzystywane w związku z płatnością za opiekę, są one uważane za PHI i podlegają ścisłej kontroli w zakresie dozwolonych sposobów ich wykorzystania i ujawniania.
Dozwolone sposoby wykorzystania i ujawniania PHI
Reguły HIPAA dotyczące prywatności szczegółowo określają dozwolone sposoby wykorzystania i ujawniania PHI. Podmioty objęte HIPAA mogą udostępniać PHI wyłącznie w celu leczenia lub prowadzenia działalności w zakresie opieki zdrowotnej bez uprzedniego uzyskania od pacjentów upoważnienia do ujawnienia tych informacji. Definicje leczenia i operacji opieki zdrowotnej można znaleźć w 45 CFR 164.501.
Uzyskiwanie kopii PHI
Reguły HIPAA dotyczące prywatności zezwalają również pacjentom na uzyskiwanie kopii PHI przechowywanych przez podmiot objęty obowiązkiem ubezpieczenia. W takich przypadkach należy złożyć wniosek do podmiotu objętego obowiązkiem ubezpieczenia o dostarczenie kopii PHI, które są przechowywane w wyznaczonym zbiorze rekordów. Wyznaczony zestaw rekordów będzie zawierał informacje, które są wykorzystywane przez podmiot objęty obowiązkiem ubezpieczenia w celu zapewnienia leczenia lub płatności za opiekę, informacje, które są przechowywane i wykorzystywane przez podmiot objęty obowiązkiem ubezpieczenia w celu podejmowania decyzji dotyczących pacjenta lub w celu zapisania, płatności, rozstrzygania roszczeń, lub w przypadku planów zdrowotnych, informacje w systemach dokumentacji medycznej lub zarządzania przypadkami.
.