En el Rincón de Cumplimiento de este mes, el Mecánico de la Práctica Rick Garofolo explica la diferencia entre PII y PHI, y muestra por qué tenemos que reconocer la diferencia.
Al menos una vez al día alguien me pregunta la diferencia entre la Información de Salud Protegida (PHI) y la Información Personalmente Identificable (PII).
En un consultorio dental, tenemos ambas cosas y tenemos que protegerlas con el mismo nivel de cuidado.
Otras empresas, como los bancos y las instituciones financieras, tienen normas similares con respecto a la PII, pero nosotros, en el campo dental y médico, tenemos la suerte de contar con la HIPAA. Eso significa que tenemos que proteger no sólo la IIP, sino también la IPS.
Entonces, ¿cuál es la diferencia?
¿Qué es la IIP
La información de identificación personal, o IIP, es cualquier dato que pueda utilizarse para contactar, localizar o identificar a un individuo específico. Estos datos pueden utilizarse por sí mismos o combinados con otras fuentes de fácil acceso, como Internet.
Aquí hay un vistazo a los elementos de datos que podrían utilizarse para identificar a un individuo incluyen:
- Huellas dactilares o datos biométricos – por ejemplo, mi ordenador portátil utiliza mi huella dactilar para iniciar sesión
- Números de teléfono
- Direcciones de correo electrónico
- Números de la Seguridad Social
- Fotografías de la cara completa
- Fotografías de cualquier rasgo reconocible, como un tatuaje
- Números de identificación de miembros del seguro
- Fechas relacionadas con el nacimiento o la muerte
- Códigos postales
- Números de cuenta
Todos ellos se consideran IIP.
Hemos confiado en la IIP durante mucho tiempo, pero su protección se ha convertido en una mayor preocupación últimamente debido al aumento de los incidentes de piratería informática.
Los avances en la tecnología y el uso generalizado de los ordenadores requieren que tomemos aún más medidas de seguridad para proteger la IIP de nuestros pacientes. Los virus troyanos, el ransomware, el spyware y el malware crean oportunidades para que la gente robe la PII y la PHI.
Las directrices de la HIPAA exigen que tomemos todas las medidas de seguridad razonables y apropiadas para proteger esta información.
Cosas como el software antivirus, no permitir que su equipo compruebe el correo electrónico personal en un ordenador de trabajo, y no permitir que nadie que no sea un administrador de red instale ningún programa en una estación de trabajo en su oficina.
¿Qué es la PHI
La información personal de salud, PHI, es algo con lo que probablemente estemos más familiarizados.
La PHI es información creada, transmitida, recibida o mantenida por una entidad cubierta -su consultorio dental- que está relacionada con cualquiera de los siguientes aspectos:
- Salud o condición pasada, presente o futura de un individuo
- Prestación de asistencia sanitaria a un individuo – lo que hizo y lo que puede hacer
- Pago pasado, presente o futuro por la prestación de asistencia sanitaria a un individuo
- Sí, las anotaciones en el libro de contabilidad son PHI y se consideran parte del cuadro
Estas cosas deben ir acompañadas de un identificador, o PII, como el nombre, la dirección, el número de la seguridad social, la dirección de correo electrónico, o la subdivisión geográfica más pequeña que un estado – como el condado, la parroquia o la ciudad – así como muchos otros.
Entonces, si el nombre de su paciente está en su historial, es PHI.
¿La dirección de correo electrónico está conectada a su cuenta? PHI.
¿Número de teléfono? Sí.
¿Fotografía de la cara?
Aumento de la atención a la PII y la PHI
Entonces, ¿por qué esto se ha convertido recientemente no sólo en una parte importante del cumplimiento de la HIPAA, sino en algo en lo que muchos gobiernos se están concentrando de forma extrema?
En resumen, la recopilación y venta de PII de forma legal es un negocio muy rentable.
Todo el tiempo recibo correos electrónicos de personas que venden una lista de 100.000 direcciones de correo electrónico de dentistas por 1.000 dólares. No es un mal negocio si consigo algún negocio nuevo, pero también es una enorme violación de los Términos y Condiciones de la mayoría de los sistemas de correo electrónico.
No puedo utilizar listas de correo electrónico compradas. Sin embargo, muchas empresas de marketing utilizarán listas de correo electrónico compradas – de ahí viene el SPAM.
Olvidemos los correos electrónicos SPAM por un minuto y profundicemos. Hay países que no tienen leyes de privacidad donde es perfectamente legal comercializar a la gente con información robada.
Piense en las ramificaciones de que alguien descubra que tengo una receta para un anticoagulante. De repente estoy recibiendo toneladas de correos y emails sobre otras marcas que debería preguntar a mi médico.
¿Has recibido alguna vez uno de esos y te has preguntado cómo lo han sabido? En algún lugar, alguna oficina con tu historial médico tuvo una brecha -informada o no- y de ahí sacaron la información.
Vender la información personal de otras personas es una profesión increíblemente lucrativa, legal o no. De hecho, las ilegales son incluso más rentables que las legales.
Tome en serio la salvaguarda de esta información.
Proteja los datos de sus pacientes con el mismo cuidado con el que querría que su médico protegiera los suyos.
Ponga en marcha políticas, hágalas cumplir y asegúrese de que sabe lo que es PII, lo que es PHI, e igualmente importante, lo que no lo es.
Aprenda más sobre cómo RevenueWell mejora la aceptación de casos y crea relaciones más estrechas entre los dentistas y sus pacientes.