Mi è stato chiesto da un cliente di deidentificare i dati PHI nel loro database e sto semplificando eccessivamente il processo o il mio cliente è eccessivamente paranoico. Forse puoi dirmi quale è il caso.
Il bisogno di de-identificazione di questo cliente è duplice. Quando perdono un cliente, hanno il diritto di conservare una copia deidentificata dei dati per scopi analitici. Inoltre, devono essere in grado di spostare i dati in ambienti di sviluppo / test in una forma deidentificata.
Ecco un esempio di cosa ci sarebbe nel database:
Nome
Cognome
genere
Data di nascita
Struttura
Data di ammissione
Data di scarico
Punteggio di ammissione
Punteggio di scarica
Questi dati vengono utilizzati per l'analisi e alcuni dei fattori importanti sono:
genere
Età all'ammissione (data di ammissione - data di nascita)
Durata del soggiorno (Data di scarico - Data di ammissione)
Miglioramento (Punteggio di scarico - Punteggio di ammissione)
Ecco le mie domande ...
Se ho semplicemente randomizzato i nomi, non è abbastanza deidentificato per soddisfare i requisiti HIPAA?
Non pensavo così. Cosa succede se ho anche randomizzato il nome della struttura? Se conosco solo le altre informazioni, la data di nascita, il sesso, le date e i punteggi, è stato ragionevolmente deidentificato?
Ok, supponendo che la risposta sia no, e se poi scelgo una data di nascita casuale e aggiusti le date di ammissione e dimissione in modo che l'età al momento del ricovero e la durata del soggiorno siano sempre le stesse? Ad esempio, se il paziente è nato il 1 ° gennaio 1930 ed è stato ammesso il 1 ° gennaio 2011 e scaricato il 1/10/2011, la data di nascita potrebbe essere scelta casualmente come 5/5/1920 e le altre date saranno 5 / 5/2001 e 14/05/2001. L'età al momento del ricovero e la durata del soggiorno sarebbero uguali. Questo sarebbe ragionevolmente deidentificato?
Inoltre, un'altra domanda. Se il cliente ha un elenco di pazienti con la loro data di nascita in un foglio di calcolo Excel (nessun'altra informazione), tali dati saranno considerati PHI? Il mio cliente dice di sì, ma questo non ha senso perché nessuna informazione medica è legata a quei nomi.
Grazie per il tuo contributo!
Darvis