In der Compliance Corner dieses Monats erklärt Praxismanager Rick Garofolo den Unterschied zwischen PII und PHI und zeigt, warum wir den Unterschied erkennen müssen.
Mindestens einmal am Tag fragt mich jemand nach dem Unterschied zwischen geschützten Gesundheitsinformationen (PHI) und persönlich identifizierbaren Informationen (PII).
In einer Zahnarztpraxis haben wir beides und müssen beides mit der gleichen Sorgfalt schützen.
Andere Unternehmen, wie Banken und Finanzinstitute, haben ähnliche Regeln in Bezug auf PII, aber wir im zahnärztlichen und medizinischen Bereich haben das Glück, dass wir HIPAA haben. Das bedeutet, dass wir nicht nur PII, sondern auch PHI schützen können.
Was ist der Unterschied?
Was sind PII
Personal Identifiable Information, oder PII, sind alle Daten, die dazu verwendet werden können, eine bestimmte Person zu kontaktieren, zu lokalisieren oder zu identifizieren. Diese Daten können allein oder in Verbindung mit anderen leicht zugänglichen Quellen, wie dem Internet, verwendet werden.
Hier ist ein Blick auf Datenelemente, die zur Identifizierung einer Person verwendet werden können, enthalten:
- Fingerabdrücke oder biometrische Daten – zum Beispiel verwendet mein Laptop meinen Fingerabdruck, um sich anzumelden
- Telefonnummern
- E-Mail-Adressen
- Sozialversicherungsnummern
- Ganzgesichtsbilder
- Bilder aller erkennbaren Merkmale, wie z. B. eine Tätowierung
- Nummern von Versicherungsmitgliedern
- Geburts- oder Sterbedaten
- ZIP-Codes
- Kontonummern
Diese gelten alle als PII.
Wir verlassen uns schon seit langem auf personenbezogene Daten, aber ihr Schutz ist in letzter Zeit aufgrund der zunehmenden Hacking-Vorfälle zu einem größeren Anliegen geworden.
Die Fortschritte in der Technologie und die weit verbreitete Nutzung von Computern erfordern, dass wir noch mehr Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten unserer Patienten treffen. Trojanische Pferdeviren, Ransomware, Spyware und Malware bieten Menschen die Möglichkeit, PII und PHI zu stehlen.
Die HIPAA-Richtlinien verlangen, dass wir alle möglichen, angemessenen und geeigneten Schutzmaßnahmen ergreifen, um diese Informationen zu schützen.
Dazu gehören Antiviren-Software, das Verbot für Ihr Team, persönliche E-Mails auf einem Arbeitscomputer abzurufen, und das Verbot für andere Personen als den Netzwerkadministrator, Programme auf einer Arbeitsstation in Ihrem Büro zu installieren.
Was sind PHI
Persönliche Gesundheitsinformationen, PHI, sind uns wahrscheinlich vertrauter.
PHI sind Informationen, die von einer betroffenen Einrichtung – Ihrer Zahnarztpraxis – erstellt, übertragen, empfangen oder aufbewahrt werden und sich auf einen der folgenden Punkte beziehen:
- Vergangene, gegenwärtige oder zukünftige Gesundheit oder Kondition einer Person
- Versorgung einer Person mit medizinischen Leistungen – was Sie getan haben und was Sie möglicherweise tun werden
- Vergangene, gegenwärtige oder zukünftige Zahlungen für die Versorgung einer Person mit medizinischen Leistungen
- Ja, Ledger-Einträge sind PHI und werden als Teil des Diagramms betrachtet
Diese Dinge müssen von einem Identifikator oder PII begleitet werden, wie Name, Adresse, Sozialversicherungsnummer, E-Mail-Adresse oder eine geografische Unterteilung, die kleiner als ein Staat ist – wie Landkreis, Gemeinde oder Stadt – sowie viele andere.
Wenn also der Name Ihres Patienten in der Krankenakte steht, handelt es sich um PHI.
E-Mail-Adresse in Verbindung mit seinem Konto? PHI.
Telefonnummer? Ja!
Gesichtsfoto? Sie haben es erraten!
Verstärktes Augenmerk auf PII und PHI
Warum ist dies also in letzter Zeit nicht nur ein wichtiger Teil der HIPAA-Konformität geworden, sondern etwas, auf das sich viele Regierungen extrem konzentrieren?
Kurz gesagt, ist das Sammeln und Verkaufen von PII auf legaler Basis ein sehr profitables Geschäft.
Ich bekomme ständig E-Mails von Leuten, die eine Liste mit 100.000 E-Mail-Adressen von Zahnärzten für 1.000 Dollar verkaufen. Kein schlechtes Geschäft, wenn ich dadurch neue Kunden gewinne, aber auch ein großer Verstoß gegen die Allgemeinen Geschäftsbedingungen der meisten E-Mail-Systeme.
Ich kann keine gekauften E-Mail-Listen verwenden. Viele Marketingfirmen verwenden jedoch gekaufte E-Mail-Listen – daher kommt der SPAM.
Lassen Sie uns für eine Minute die SPAM-E-Mails vergessen und tiefer einsteigen. Es gibt Länder, in denen es keine Datenschutzgesetze gibt und in denen es völlig legal ist, mit gestohlenen Informationen zu werben.
Denken Sie an die Folgen, wenn jemand herausfindet, dass ich ein Rezept für ein Blutverdünnungsmittel habe. Plötzlich erhalte ich tonnenweise Werbebriefe und E-Mails über andere Marken, nach denen ich meinen Arzt fragen sollte.
Haben Sie schon einmal so einen Brief erhalten und sich gefragt, woher die das wissen? Irgendwo gab es in irgendeinem Büro mit Ihrer Krankengeschichte eine Sicherheitslücke – ob gemeldet oder nicht – und daher haben sie die Informationen erhalten.
Der Verkauf von persönlichen Informationen anderer Leute ist ein unglaublich lukrativer Beruf, legal oder nicht. Tatsächlich sind die illegalen sogar profitabler als die legalen.
Bitte nehmen Sie den Schutz dieser Informationen ernst.
Schützen Sie die Daten Ihrer Patienten mit der gleichen Sorgfalt, mit der Sie wünschen würden, dass Ihr Arzt Ihre Daten schützt.
Stellen Sie Richtlinien auf, setzen Sie sie durch und stellen Sie sicher, dass Sie wissen, was PII ist, was PHI ist und was nicht!
Erfahren Sie mehr darüber, wie RevenueWell die Fallannahme verbessert und engere Beziehungen zwischen Zahnärzten und ihren Patienten schafft.