Utilizziamo i GUID internamente per identificare i pazienti nel nostro sistema. Sto discutendo con le persone di regolamentazione sul fatto che questi identificatori possano essere utilizzati nelle stringhe di query per le chiamate REST.
Stanno affermando che qualsiasi identificativo del paziente diventa PHI una volta esposto al di fuori del sistema. Sto sostenendo che per mappare questo identificatore in PHI, è necessario accedere all'archivio dati o è necessario avere un accesso valido al sistema e sono in atto i controlli di accesso.
Per le parti che non hanno accesso all'archivio dati e non dispongono di un accesso valido, il recupero di PHI non è possibile (salvo una violazione della sicurezza).
Qualcuno ha esperienza con questo? Gli identificatori utilizzati internamente sono considerati PHI sotto HIPAA? Qualcuno può indicarmi la sezione appropriata nella legge ?