Conformità HIPAA senza PII

Sì, devi essere conforme HIPAA.

Terrò le ragioni nel modo più breve e logico possibile:

1. La protezione dei dati mediante l'uso della crittografia non è altro che un livello di sicurezza che si sta utilizzando (il che è buono), ma non annulla la necessità di essere conformi alla Privacy delle informazioni sanitarie. In realtà, questo tipo di protezione è descritta nella "Regola di sicurezza" di HIPAA.
2. Un "profilo di salute" di per sé può essere identificato personalmente anche senza la memorizzazione di un nome o di un'e-mail. Uno dei tanti esempi sarebbe una possibile informazione sul DNA di una persona, o una malattia non comune, o un handicap specifico, o anche una malattia non tipica. Anche il tipo di sangue è PII quando lo si combina con piccoli pezzi di altre informazioni da un profilo di salute.
3. Parli di richiedere un nome o anche un'email. Un vero nome o anche un indirizzo e-mail a sé stanti si qualifica anche come PII in quanto consente esplicitamente l'identificazione personale. Combina questo con il "profilo di salute" e sei in guai ancora più grandi se la conformità HIPAA non è al 100%. Un esempio di ciò che accade quando non lo è: luglio 2011, l'UCLA ha accettato di pagare $ 865.500 in un accordo riguardante potenziali violazioni HIPAA. Pensaci. Cose come queste accadono. Hai abbastanza soldi in tasca per qualcosa del genere? Se, scommetto che preferiresti spenderlo per qualcos'altro. ;)
4. Descrivi l'esempio di "sito web in cui le persone riempiono gli interrogatori della sindrome medica e possono vedere come cambiano le loro condizioni durante il periodo di tempo". Monitorare queste "condizioni mediche" è come tenere traccia dei visitatori del sito web online: ogni ulteriore informazione crea un "profilo" più completo fino al punto in cui le persone possono identificare personalmente le persone osservando i loro cambiamenti di condizione e confrontandole (ad esempio) con un gruppo di persone selezionate a caso che potrebbero potenzialmente corrispondere a tali profili.

Ci sono alcuni punti in più, che salterò per farla breve. Ma come vedi, ci sono già molte ragioni per osservare i tuoi passi se pensi di raccogliere "profili di salute" mentre pensi di ignorare HIPAA.

La combinazione di un profilo di salute con qualsiasi altro tipo di informazioni di identificazione personale (come un "vero nome" o "email" o anche un semplice "codice postale") in realtà ti costringe a essere conforme HIPAA.

Inoltre, renderà i vostri clienti / visitatori del sito web / fornitori di profili di salute molto più a loro agio e sicuri se noteranno che prendete la loro privacy più che sul serio. Penso che sia un bonus che non dovresti ignorare ... compreso il fatto che la conformità HIPAA può proteggerti legalmente nel peggiore dei casi.

Per riassociare tutto:

1. I profili di salute sono PII (Personally Identifying Information) poiché sono PHI (informazioni sulla salute personale). Indovina perché HIPAA è stato creato in primo luogo!
2. le email sono PII.
3. I nomi possono essere PII quando vengono utilizzati nomi reali.
4. La crittografia non ha nulla a che fare con la domanda "se" o "se non" è necessario essere conformi HIPAA, perché "ciò che è stato crittografato può essere decodificato". Vorrei essere assolutamente chiaro su questo: La crittografia non annulla il fatto che tu raccolga informazioni personali, ma protegge solo i dati che raccogli.

In effetti, dovresti controllare tu stesso HIPAA per assicurarti di sapere cosa stai chiedendo qui ...

link

Protected Health Information. The Privacy Rule protects all "individually identifiable health information" held or transmitted by a covered entity or its business associate, in any form or media, whether electronic, paper, or oral. The Privacy Rule calls this information "protected health information (PHI)."

“Individually identifiable health information” is information, including demographic data, that relates to: the individual’s past, present or future physical or mental health or condition, the provision of health care to the individual, or the past, present, or future payment for the provision of health care to the individual, and that identifies the individual or for which there is a reasonable basis to believe it can be used to identify the individual.13 Individually identifiable health information includes many common identifiers (e.g., name, address, birth date, Social Security Number).

The Privacy Rule excludes from protected health information employment records that a covered entity maintains in its capacity as an employer and education and certain other records subject to, or defined in, the Family Educational Rights and Privacy Act, 20 U.S.C. §1232g.

De-Identified Health Information. There are no restrictions on the use or disclosure of de-identified health information.14 De-identified health information neither identifies nor provides a reasonable basis to identify an individual. There are two ways to de-identify information; either: (1) a formal determination by a qualified statistician; or (2) the removal of specified identifiers of the individual and of the individual’s relatives, household members, and employers is required, and is adequate only if the covered entity has no actual knowledge that the remaining information could be used to identify the individual.15

Come noterai, la mia risposta non indica nient'altro che il "Dipartimento della Salute e dei Servizi Umani degli Stati Uniti" dice ... Uso solo più termini umani. ;)

Ora, se davvero vuoi evitare di essere conforme a HIPAA, tutto ciò che devi fare è assicurarti che i tuoi "profili di salute" siano al 100% anonimi. Nessuna email, nessun nome reale, nessuna raccolta di informazioni potenzialmente personali o informazioni sulla salute ... il lotto. E assicurati di non mancare qualcosa!

L'alternativa è quella di renderti facile con te stesso e scegliere semplicemente il modo di lavorare HIPAA compatibile.

Se vuoi approfondire un po ', ci sono alcune informazioni aggiuntive al link che potrebbe essere interessante per te su. Cioè, oltre a questo link ho già notato sopra: link

Penso che questa domanda dovrebbe essere posta anche al sito di HealthcareIT SE .

Credo che HIPAA diventi rilevante solo quando si ha una relazione con l'utente come entità sanitaria. Cioè, diventi un entità coperta (CE) . In base alla tua descrizione e alla seguente spiegazione, ritengo che NON abbia bisogno della conformità HIPAA.

The Administrative Simplification standards adopted by Health and Human Services (HHS) under the Health Insurance Portability and Accountability Act of 1996 (HIPAA) apply to any entity that is

a health care provider that conducts certain transactions in electronic form (called here a "covered health care provider").

a health care clearinghouse.

a health plan.

An entity that is one or more of these types of entities is referred to as a "covered entity in the Administrative Simplification regulations.

dal Centro per il sito Web Medicare e Medicaid . A meno che non si stia costruendo un sito Web per estendere i servizi medici in un contesto di mHealth o per fornire servizi a valore aggiunto per un'assicurazione sanitaria, non sarà richiesto di essere conforme HIPAA.

In effetti, ricordo una discussione con uno staff di Microsoft HealthVault che riferisce che i loro avvocati hanno stabilito che sono non di fatto un'entità coperta. Ma al fine di svuotare queste domande e dimostrare la loro serietà, sono passate alla conformità HIPAA.

La seconda domanda è: sei un business associate (BA) . Se hai un rapporto contrattuale con un'entità coperta che ti ha richiesto di gestire le informazioni sanitarie protette, ti verrà richiesto di avere la conformità HIPAA. Secondo le nuove regole HITECH, i requisiti per i soci d'affari sono sostanzialmente simili a quelli delle entità coperte.