Il numero di accesso + servizio (codice CPT) + data del servizio considerato PHI (informazioni sanitarie protette) sotto HIPAA?

8

Immagina di progettare un sistema composto da elenchi di lavoro scaduti per i medici (ad es. Doctor X hai 3 studi in ritardo da esaminare). Nella notifica, identifichi gli studi che devono esaminare dal loro numero di accesso / codice CPT / data del servizio, in modo che il medico possa vedere quali studi mancano (nel caso in cui non siano d'accordo sul fatto che abbiano tre studi in ritardo).

Il numero di accesso / il servizio / la data del servizio potrebbero essere inclusi in un'email che potrebbe essere inviata o inoltrata a un sistema non ospedaliero?

Da un lato, la conoscenza del numero di accessi + servizio + data, non ti consente di identificare alcun paziente (quindi direi di no) o i risultati dello studio senza ulteriori informazioni.

D'altra parte, ogni numero di accessione è legato a un solo individuo, quindi è il tipo di PHI che viene in genere rimosso quando si effettuano dati di anonimato per scopi di ricerca.

    
posta dr jimbob 17.02.2012 - 21:27
fonte

2 risposte

3

Ho risposto a me stesso mesi dopo aver chiesto qui sulla base di legge HIPAA (vedi pagina 66 - sezione 164.514).

Riassumendo: i numeri di accesso (un numero identificativo univoco) devono essere rimossi quando si de-identificano i dati clinici prima di essere utilizzati a fini di ricerca. Tuttavia, l'utilizzo di numeri di accesso (senza collegarsi a dati dettagliati del paziente) per scopi aziendali (diciamo generando la lista di lavoro in ritardo) su e-mail non crittografate è probabilmente soddisfacente, ma la legge è abbastanza torbida da evitare di fare comunque.

Un numero di accesso a sé stante è un numero di 6-10 cifre senza senso legato a ciascun servizio eseguito in un determinato ospedale. Senza avere accesso al database specifico dell'ospedale che collega i numeri di accesso a un servizio specifico svolto su un determinato paziente, non è possibile identificare un paziente. Puoi facilmente discutere in questo tipo di scenario, un # di accesso non è PHI e HIPAA ha un'eccezione specifica per gli esperti che determina che il rischio che questo numero possa essere usato per identificare qualcuno è trascurabile (come in questo caso).

Tuttavia, se si stanno de-identificando i dati clinici (ad esempio una risonanza magnetica effettiva o il risultato dettagliato del test), sarebbe prudente rimuovere tutti i numeri di accesso. Ciò impedisce a qualcuno di utilizzare il normale sistema di database per vedere chi è legato a un numero di accessi e quindi utilizzare i dati scarsamente identificati per ottenere record dettagliati che altrimenti non potrebbero ottenere.

    
risposta data 01.05.2012 - 23:29
fonte
1

Non sarebbe idoneo per la fornitura sicura per i dati deidentificati secondo HIPAA.

    
risposta data 19.02.2012 - 08:50
fonte

Leggi altre domande sui tag