Em resposta às perguntas enviadas ao Jornal HIPAA, escrevemos uma série de posts respondendo alguns dos elementos mais básicos do HIPAA, sendo o mais recente o que é considerado PHI?
O que é PHI, PII, e IIHA?
Termos como PHI e PII são comumente referidos nos cuidados de saúde, mas o que significam e que informação incluem?
PHI é um acrônimo de Informação de Saúde Protegida, enquanto que PII é um acrônimo de Informação Pessoal Identificável. Antes de explicar estes termos, é útil explicar primeiro o que se entende por informação de saúde, da qual informação de saúde protegida é um subconjunto.
Informação de saúde é a informação relacionada com a prestação de cuidados de saúde ou pagamento por serviços de saúde que é criada ou recebida por um prestador de cuidados de saúde, autoridade de saúde pública, câmara de compensação de cuidados de saúde, plano de saúde, associado comercial de uma entidade coberta pela HIPAA, ou uma escola/universidade ou empregador.
As informações de saúde referem-se às condições de saúde passadas, presentes e futuras ou à saúde física/mental que está relacionada com a prestação de serviços de saúde ou pagamento por esses serviços.
As informações de saúde pessoalmente identificáveis (PII) ou individualmente identificáveis (IIHI) são quaisquer informações de saúde que permitam a identificação do paciente. Por exemplo, um diagnóstico de saúde – asma, por exemplo – torna-se PII quando inclui um identificador que liga a informação a um paciente específico, ou quando existe uma base razoável para acreditar que a informação poderia ser usada para identificar um paciente.
O que é considerado PHI?
Informações de saúde protegidas são informações de saúde individualmente identificáveis que são armazenadas em formato eletrônico, transmitidas eletronicamente por entidade coberta pela HIPAA ou associado comercial de uma entidade coberta pela HIPAA, ou transmitidas e mantidas em qualquer forma, incluindo filmes, gráficos e outros registros em papel. Os PHI referem-se a entidades cobertas pela HIPAA, mas não incluem registos de educação ou registos de emprego.
Então o que é considerado PHI pela HIPAA? Os DCC incluem registos de saúde tais como EHR/EMRs, resultados de testes laboratoriais, históricos de saúde, diagnósticos, informação sobre tratamentos, informação sobre seguros e listas de alergias são todos considerados DCC, assim como os identificadores únicos e informação demográfica. Se a informação for criada, usada, ou divulgada por uma entidade coberta pela HIPAA no decurso da prestação de cuidados a um indivíduo, ou for usada em conjunto com o pagamento de cuidados, é considerada DCC e está sujeita a controlos estritos sobre os seus usos e divulgações permitidas.
Usos e divulgações permitidas de DCC
A Regra de Privacidade HIPAA detalha os usos e divulgações permitidas de DCC. As entidades cobertas pela HIPAA só estão autorizadas a compartilhar DCC com o propósito de tratamento ou para operações de saúde sem antes obter autorizações para divulgar a informação dos pacientes. As definições de tratamento e operações de saúde podem ser encontradas em 45 CFR 164.501.
Obtendo Cópias de DCC
A Regra de Privacidade HIPAA também permite que os pacientes obtenham cópias dos DCC detidos por uma entidade coberta. Em tais casos, deverá ser feito um pedido à entidade coberta para fornecer cópias dos DCC que estejam guardadas num conjunto de registos designado. O conjunto de registos designado conterá informação que é usada pela entidade coberta para a prestação de tratamento ou pagamento de cuidados, informação que é mantida e usada por uma entidade coberta para tomar decisões sobre um paciente ou para a inscrição, pagamento, adjudicação de queixas, ou no caso de planos de saúde, informação no caso ou sistemas de registos de gestão médica.