Som svar på frågor som skickats till HIPAA Journal har vi skrivit en serie inlägg som besvarar några av de mest grundläggande delarna av HIPAA, det senaste är vad som anses vara PHI?
Vad är PHI, PII och IIHA?
Termer som PHI och PII är vanliga inom hälso- och sjukvården, men vad betyder de och vilken information ingår i dem?
PHI är en akronym för Protected Health Information, medan PII är en akronym för Personally Identifiable Information. Innan dessa termer förklaras är det lämpligt att först förklara vad som menas med hälsoinformation, som skyddad hälsoinformation är en delmängd av.
Hälsoinformation är information som rör tillhandahållande av hälso- och sjukvård eller betalning för hälso- och sjukvårdstjänster och som skapas eller tas emot av en vårdgivare, en folkhälsomyndighet, ett clearinghus för hälso- och sjukvård, en hälsovårdsplan, ett företag som är associerat med en HIPAA-täckt enhet, eller en skola/universitet eller en arbetsgivare.
Hälsoinformation avser tidigare, nuvarande och framtida hälsotillstånd eller fysisk/psykisk hälsa som är relaterad till tillhandahållandet av hälso- och sjukvårdstjänster eller betalning för dessa tjänster.
Personligt identifierbar information (PII) eller individuellt identifierbar hälsoinformation (IIHI) är all hälsoinformation som gör det möjligt att identifiera patienten. Till exempel blir en hälsodiagnos – astma till exempel – PII när den innehåller en identifierare som kopplar informationen till en specifik patient, eller när det finns en rimlig grund för att tro att informationen kan användas för att identifiera en patient.
Vad betraktas som PHI?
Skyddad hälsoinformation är individuellt identifierbar hälsoinformation som lagras i elektronisk form, överförs elektroniskt av en HIPAA-täckt enhet eller en affärspartner till en HIPAA-täckt enhet, eller överförs och bevaras i någon form, inklusive filmer, journaler och andra pappersjournaler. PHI avser HIPAA-täckta enheter, men omfattar inte utbildningsjournaler eller anställningsjournaler.
Så vad anses vara PHI enligt HIPAA? PHI omfattar hälso- och sjukvårdsjournaler som EHR/EMR, laboratorietestresultat, hälsohistoria, diagnoser, behandlingsinformation, försäkringsinformation och listor över allergier betraktas alla som PHI, liksom unika identifierare och demografisk information. Om information skapas, används eller avslöjas av en enhet som omfattas av HIPAA i samband med vård till en individ, eller om den används i samband med betalning för vård, betraktas den som PHI och är föremål för strikta kontroller av tillåtna användningar och avslöjanden.
Allowable Uses and Disclosures of PHI
HIPAA Privacy Rule beskriver i detalj tillåtna användningar och avslöjanden av PHI. HIPAA-täckande enheter får endast dela PHI i syfte att behandla eller bedriva hälso- och sjukvård utan att först inhämta tillstånd att lämna ut informationen från patienterna. Definitionerna av behandling och vårdverksamhet finns i 45 CFR 164.501.
För att få kopior av PHI
HIPAA Privacy Rule tillåter också patienter att få kopior av PHI som innehas av en täckt enhet. I sådana fall måste en begäran göras till den täckta enheten om att tillhandahålla kopior av PHI som lagras i en utsedd journaluppsättning. Den angivna dokumentationen kommer att innehålla information som används av den berörda enheten för tillhandahållande av behandling eller betalning av vård, information som innehas och används av den berörda enheten för att fatta beslut om en patient eller för registrering, betalning, prövning av anspråk eller, när det gäller hälsoplaner, information i journalsystem för ärendehantering eller medicinsk hantering.