La sezione 164.514 (c) delle norme HIPAA sulla privacy tratta della riidentificazione delle PHI.
If a covered entity or business associate successfully undertook an effort to identify the subject of de-identified information it maintained, the health information now related to a specific individual would again be protected by the Privacy Rule, as it would meet the definition of PHI. Disclosure of a code or other means of record identification designed to enable coded or otherwise de-identified information to be re-identified is also considered a disclosure of PHI.
In base a queste regole, qual è il possibile scopo di deidentificare mantenendo un metodo di riidentificazione?
Potrei immaginare qualcuno che desideri archiviare informazioni strettamente protette da HIPAA separatamente da informazioni meno protette non protette da HIPAA.
Ma l'eccezione dice che la chiave di collegamento è di per sé considerata PHI. Pertanto, le informazioni non identificate (compresa la relativa chiave) non sono meno le PHI protette da HIPAA rispetto ai dati originali.
Sto fraintendendo i requisiti di sicurezza qui? Sembra inutile de-identificare, pur mantenendo la capacità di ri-identificazione in quanto entrambi i set di dati sono comunque trattati come PHI?