Praktický mechanik Rick Garofolo v tomto měsíčním koutku Compliance vysvětluje rozdíl mezi PII a PHI a ukazuje, proč je třeba tento rozdíl rozpoznat.
Aspoň jednou denně se mě někdo zeptá, jaký je rozdíl mezi chráněnými zdravotními informacemi (PHI) a osobně identifikovatelnými informacemi (PII).
V zubní ordinaci máme obojí a obojí musíme chránit se stejnou péčí.
Ostatní podniky, jako jsou banky a finanční instituce, mají podobná pravidla týkající se PII, ale my v zubní a lékařské oblasti máme to štěstí, že máme HIPAA. To znamená, že můžeme chránit nejen PII, ale také PHI.
Takže, jaký je v tom rozdíl?
Co je PII
Osobně identifikovatelné informace neboli PII jsou veškeré údaje, které lze použít ke kontaktování, vyhledání nebo identifikaci konkrétní osoby. Tyto údaje lze použít samostatně nebo v kombinaci s dalšími snadno dostupnými zdroji, jako je internet.
Mezi prvky údajů, které mohou být použity k identifikaci fyzické osoby, patří např:
- Otisky prstů nebo biometrické údaje – například můj notebook používá k přihlášení otisk prstu
- Telefonní čísla
- Emailové adresy
- Čísla sociálního pojištění
- Obrázky celého obličeje
- Obrázky všech rozpoznatelných rysů, jako je tetování
- Identifikační čísla členů pojišťovny
- Data související s narozením nebo úmrtím
- Písmenkové kódy
- Čísla účtů
To vše se považuje za PII.
Na PII se spoléháme již dlouhou dobu, ale jejich ochrana se v poslední době stala větším problémem kvůli zvýšenému počtu případů hackerských útoků.
Rozvoj technologií a rozšířené používání počítačů vyžaduje, abychom přijali ještě více bezpečnostních opatření na ochranu PII našich pacientů. Viry typu trojský kůň, ransomware, spyware a malware vytvářejí příležitosti pro lidi, kteří chtějí ukrást PII a PHI.
Směrnice HIPAA vyžadují, abychom přijali všechna možná přiměřená a vhodná bezpečnostní opatření na ochranu těchto informací.
Například antivirový software, nedovolit svému týmu kontrolovat osobní e-maily na pracovním počítači a nedovolit nikomu jinému než správci sítě instalovat jakýkoli program na pracovní stanici v kanceláři.
Co jsou to PHI
Osobní zdravotní údaje, PHI, jsou nám pravděpodobně známější.
PHI jsou informace, které vytváří, přenáší, přijímá nebo uchovává krytý subjekt – vaše zubní ordinace – a které se týkají některého z následujících údajů:
- Minulý, současný nebo budoucí zdravotní stav nebo kondice jednotlivce
- Poskytnutí zdravotní péče jednotlivci – co jste udělali a co můžete udělat
- Minulá, současná nebo budoucí platba za poskytnutí zdravotní péče jednotlivci
- Ano, záznamy v účetní knize jsou PHI a jsou považovány za součást karty
Tyto věci musí být doprovázeny identifikátorem neboli PII, jako je jméno, adresa, číslo sociálního pojištění, e-mailová adresa nebo geografické členění menší než stát – jako je okres, farnost nebo město – stejně jako mnoho dalších.
Takže pokud je jméno pacienta uvedeno v jeho kartě, jedná se o PHI.
Emailová adresa spojená s jeho účtem? PHI.
Telefonní číslo? Ano!
Fotografie celého obličeje? Uhodli jste!
Zvýšený důraz na PII a PHI
Takže, proč se to v poslední době stalo nejen důležitou součástí dodržování HIPAA, ale něčím, na co se mnohé vlády extrémně soustředí?
Zkrátka, shromažďování a prodej PII na legálním základě je velmi výnosný byznys.
Neustále dostávám e-maily od lidí, kteří prodávají seznam 100 000 e-mailových adres zubařů za 1 000 USD. Není to špatný obchod, pokud z toho získám nějaký nový obchod, ale také obrovské porušení smluvních podmínek většiny e-mailových systémů.
Nemohu používat zakoupené seznamy e-mailových adres. Mnoho marketingových společností však zakoupené seznamy e-mailů použije – odtud pochází SPAM.
Na chvíli zapomeňme na SPAMové e-maily a jděme hlouběji. Existují země, které nemají zákony na ochranu osobních údajů, kde je zcela legální prodávat lidem ukradené informace.
Přemýšlejte o důsledcích toho, kdyby někdo zjistil, že mám předpis na lék na ředění krve. Najednou mi začnou chodit tuny dopisů a e-mailů o jiných značkách, na které bych se měl zeptat svého lékaře.
Dostali jste někdy takový dopis a přemýšleli jste, jak to vědí? Někde v nějakém úřadě s vaší zdravotní historií došlo k narušení bezpečnosti – ať už nahlášenému, nebo ne – a odtud tyto informace získali.
Prodávání osobních údajů jiných lidí je neuvěřitelně výnosná profese, ať už legální, nebo ne. Ve skutečnosti jsou ty nelegální ještě výnosnější než ty legální.
Prosím, berte ochranu těchto informací vážně.
Chraňte údaje svých pacientů se stejnou péčí, s jakou byste chtěli, aby váš lékař chránil ty vaše.
Zavedete zásady, budete je prosazovat a ujistíte se, že víte, co je PII, co je PHI a co stejně důležité není!
Zjistěte více o tom, jak RevenueWell zlepšuje přijímání případů a vytváří těsnější vztahy mezi zubními lékaři a jejich pacienty.
.