Chráněné informace o zdraví - Protected health information

Chráněné informace o zdraví (PHI) podle právních předpisů USA jsou jakékoli informace o zdravotním stavu, poskytování zdravotní péče nebo platbách za zdravotní péči, které jsou vytvářeny nebo shromažďovány krytou entitou (nebo obchodním partnerem kryté entity) a mohou být spojeny s konkrétní osobou . To je vykládáno poměrně široce a zahrnuje to jakoukoli část pacienta zdravotní záznam nebo platební historie.[1]

Místo anonymizace je PHI často vyhledáván v datových sadách pro zrušení identifikace než vědci veřejně sdílejí soubor údajů. Vědci z datové sady odeberou jednotlivě identifikovatelné PHI, aby je uchovali soukromí účastníků výzkumu.

Spojené státy

Pod USA Zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění (HIPAA), s PHI, která je propojena na základě následujícího seznamu 18 identifikátorů, je třeba zacházet se zvláštní opatrností:[2]

  1. Jména
  2. Všechny zeměpisné identifikátory menší než stát, s výjimkou počátečních tří číslic PSČ, pokud podle aktuálních veřejně dostupných údajů Úřadu pro sčítání lidu v USA: zeměpisná jednotka vytvořená kombinací všech PSČ se stejnými třemi počátečními číslicemi obsahuje více než 20 000 lidí; a počáteční tři číslice PSČ pro všechny takové geografické jednotky obsahující 20 000 nebo méně lidí se změní na 000
  3. Data (jiná než rok) přímo související s jednotlivcem
  4. Telefonní čísla
  5. Faxová čísla
  6. E-mailem adresy
  7. Čísla sociálního zabezpečení
  8. Čísla lékařských záznamů
  9. Zdravotní pojištění čísla příjemců
  10. Čísla účtů
  11. Čísla certifikátů / licencí
  12. Identifikátory vozidla a sériová čísla, včetně poznávacích značek;
  13. Identifikátory zařízení a sériová čísla;
  14. Web Jednotné vyhledávače zdrojů (URL)
  15. Čísla adres internetového protokolu (IP)
  16. Biometrické identifikátory, včetně otisků prstů, sítnice a hlasu
  17. Celoobličejové fotografické snímky a jakékoli srovnatelné snímky
  18. Jakékoli jiné jedinečné identifikační číslo, charakteristika nebo kód kromě jedinečného kódu přiděleného vyšetřovatelem ke kódování dat

De-identifikace versus anonymizace

Anonymizace je proces, při kterém jsou prvky PHI eliminovány nebo manipulovány s cílem bránit možnosti návratu k původnímu souboru dat.[3] To zahrnuje odebrání všech identifikačních dat za účelem vytvoření nelinkovatelných dat.[4]De-identifikace podle pravidla ochrany osobních údajů HIPAA dochází, když byla data zbavena běžných identifikátorů dvěma způsoby:

1. Odstranění 18 konkrétních identifikátorů uvedených výše (metoda bezpečného přístavu)
2. Získejte odborné znalosti zkušeného statistického experta k ověření a dokumentaci statistického rizika opětovné identifikace je velmi malé (statistická metoda).[5][6]

De-identifikovaná data jsou kódována s odkazem na původní, plně identifikovaný soubor dat, který uchovává poctivý makléř. V kódovaných de-identifikovaných datech existují odkazy, díky nimž jsou data považována za nepřímo identifikovatelná a nejsou anonymizovaná. Kódovaná de-identifikovaná data nejsou chráněna HIPAA Pravidlo ochrany osobních údajů, ale je chráněno podle Společné pravidlo. Účelem de-identifikace a anonymizace je použití údajů o zdravotní péči ve větších přírůstcích pro výzkumné účely. Univerzity, vládní agentury a soukromé subjekty zdravotní péče používají tato data pro účely výzkumu, vývoje a marketingu.[4]

Kryté subjekty

Na údaje shromážděné v průběhu poskytování a placení zdravotní péče se obecně vztahují americké zákony upravující PHI. Předpisy o ochraně osobních údajů a zabezpečení určují, jak zdravotničtí pracovníci, nemocnice, zdravotní pojišťovny a další kryté subjekty používají a chrání data, která shromažďují. Je důležité si uvědomit, že zdroj dat je stejně relevantní jako data samotná při určování, zda jsou informace podle zákona USA PHI. Například sdílení informací o někom na ulici se zjevným zdravotním stavem, jako je amputace, není americkými zákony omezeno. Získání informací o amputaci výhradně z chráněného zdroje, například z elektronického lékařského záznamu, by však porušilo předpisy HIPAA.

Obchodní partneři

Kryté subjekty často využívají třetí strany k poskytování určitých zdravotních a obchodních služeb. Pokud potřebují sdílet PHI s těmito třetími stranami, je odpovědností Krytého subjektu uzavřít Dohodu o obchodních vztazích, která drží třetí stranu na stejných standardech ochrany soukromí a důvěrnosti jako Krytý subjekt.[7]

Viz také

Reference

  1. ^ „Jaká je definice subjektu krytého HIPAA?“. 9. října 2017.
  2. ^ „De-identifikace informací chráněného vřesoviště“. Deník HIPAA. 2018.
  3. ^ Ohm, Paul (srpen 2010). „Neplněné sliby ochrany soukromí: reakce na překvapivé selhání anonymizace“. UCLA Law Review. 57 (6): 1701–1777.
  4. ^ A b http://healthcare.partners.org/phsirb/hipaaglos.htm#g3
  5. ^ „Podpora používání a přehodnocení ochrany pro údaje o zdraví bez identifikace (a„ anonymizované “) (PDF). Centrum pro demokracii a technologie. Červen 2009. Citováno 12. června 2014.
  6. ^ „HIPAA: Co? De-identifikace chráněných zdravotních informací (PHI)“. Průvodce výzkumem HIPAA. University of Wisconsin-Madison. 26. srpna 2003. Citováno 12. června 2014.
  7. ^ Práva (OCR), Office for Civil (21. května 2008). „Smlouvy obchodních partnerů“. HHS.gov. Citováno 2020-04-03.

Další čtení