Tässä kuukauden Compliance Cornerissa Practice Mechanic Rick Garofolo selittää PII:n ja PHI:n eron ja osoittaa, miksi meidän on tunnistettava ero.
Vähintään kerran päivässä joku kysyy minulta, mitä eroa on suojatuilla terveystiedoilla (Protected Health Information, PHI) ja henkilökohtaisesti tunnistettavilla tiedoilla (Personally Identifiable Information, PII).
Hammaslääkärin vastaanotolla meillä on molempia, ja meidän on suojeltava molempia yhtä huolellisesti.
Muilla yrityksillä, kuten pankeilla ja rahoituslaitoksilla, on samanlaiset PII:tä koskevat säännöt, mutta me hammaslääketieteen ja lääketieteen alalla olemme onnekkaita, että meillä on HIPAA. Se tarkoittaa, että saamme suojella PII:n lisäksi myös PHI:tä.
Mitä eroa siis on?
Mitä on PII
Henkilötiedot eli PII on mikä tahansa tieto, jonka avulla voidaan ottaa yhteyttä tiettyyn henkilöön, paikantaa hänet tai tunnistaa hänet. Näitä tietoja voidaan käyttää sellaisenaan tai yhdistettynä muihin helposti saatavilla oleviin lähteisiin, kuten internetiin.
Tässä tarkastellaan seuraavia tietoelementtejä, joita voidaan käyttää yksilön tunnistamiseen:
- Sormenjäljet tai biometriset tiedot – esimerkiksi kannettava tietokoneeni käyttää sormenjälkeäni kirjautumiseen
- Puhelinnumerot
- Sähköpostiosoitteet
- Sosiaaliturvatunnukset
- Kokonaiskuvat kasvoista
- Kuvat kaikista tunnistettavista piirteistä, kuten tatuoinnit
- Vakuutusjäsenen tunnistenumerot
- Syntymä- tai kuolinpäivämäärät
- Suuntanumerot
- Tilinumerot
Nämä kaikki katsotaan PII:ksi.
Olemme luottaneet PII-tietoihin jo pitkään, mutta niiden suojaamisesta on tullut viime aikoina entistä suurempi huolenaihe lisääntyneiden hakkerointitapausten vuoksi.
Teknologian kehittyminen ja tietokoneiden laajamittainen käyttö edellyttävät, että ryhdymme entistäkin suurempiin turvatoimiin potilaidemme PII-tietojen suojaamiseksi. Troijalaisvirukset, lunnasohjelmat, vakoiluohjelmat ja haittaohjelmat luovat ihmisille mahdollisuuksia varastaa PII:tä ja PHI:tä.
HIPAA-ohjeet edellyttävät, että ryhdymme kaikkiin mahdollisiin kohtuullisiin ja asianmukaisiin suojatoimiin näiden tietojen suojaamiseksi.
Tällaisia ovat esimerkiksi virustorjuntaohjelmat, se, että tiimisi ei saa tarkistaa henkilökohtaisia sähköposteja työtietokoneella, ja se, että kukaan muu kuin verkonvalvoja ei saa asentaa mitään ohjelmaa toimiston työasemalle.
Mitä on PHI
Henkilökohtainen terveystieto, PHI, on jotain, joka on meille todennäköisesti tutumpi.
PHI on tietoa, jonka on luonut, lähettänyt, vastaanottanut tai säilyttänyt katettu yksikkö – hammaslääkärisi – ja joka liittyy johonkin seuraavista:
- yksilön aiempaan, nykyiseen tai tulevaan terveyteen tai terveydentilaan
- Terveydenhuollon tarjoaminen yksilölle – mitä teitte ja mitä saatatte tehdä
- Viemmät, nykyiset tai tulevat maksut terveydenhuollon tarjoamisesta yksilölle
- Ja, pääkirjamerkinnät ovat PHI:tä ja niitä pidetään osana kaaviota
Näihin asioihin on liitettävä tunniste eli PII, kuten nimi, osoite, sosiaaliturvatunnus, sähköpostiosoite tai osavaltiota pienempi maantieteellinen osa-alue – kuten piirikunta, seurakunta tai kaupunki – sekä monet muut.
Jos potilaan nimi on potilaskortissa, se on PHI.
Sähköpostiosoite, joka on liitetty hänen tiliinsä? PHI.
Puhelinnumero? Jep!
Puhelinkuva? Arvasit kyllä!
PII:n ja PHI:n lisääntynyt keskittyminen
Miksi tästä on viime aikoina tullut paitsi tärkeä osa HIPAA-vaatimustenmukaisuutta, myös asia, johon monet hallitukset keskittyvät erityisen paljon?
Lyhyesti sanottuna PII:n kerääminen ja myyminen laillisin perustein on erittäin kannattavaa liiketoimintaa.
Saan jatkuvasti sähköpostiviestejä ihmisiltä, jotka myyvät listaa, jossa on 100 000 hammaslääkärin sähköpostiosoitteita, 1 000 dollarilla. Ei huono diili, jos saan siitä uutta liiketoimintaa, mutta se on myös valtava rikkomus useimpien sähköpostijärjestelmien käyttöehtoja vastaan.
En voi käyttää ostettuja sähköpostilistoja. Monet markkinointiyritykset käyttävät kuitenkin ostettuja sähköpostilistoja – sieltä SPAM tulee.
Unohdetaan SPAM-sähköpostit hetkeksi ja mennään syvemmälle. On maita, joissa ei ole yksityisyyden suojaa koskevia lakeja ja joissa on täysin laillista markkinoida ihmisille varastetuilla tiedoilla.
Ajatelkaa, mitä seurauksia olisi, jos joku saisi tietää, että minulla on resepti verenohennuslääkkeeseen. Yhtäkkiä saan tonneittain postimerkkejä ja sähköpostiviestejä muista valmisteista, joista minun pitäisi kysyä lääkäriltäni.
Oletko koskaan saanut sellaista ja miettinyt, mistä he tiesivät? Jossain, jossakin toimistossa, jossa on sairaushistoriasi, on tapahtunut tietoturvaloukkaus – ilmoitettiin siitä tai ei – ja sieltä he saivat tiedot.
Toisten ihmisten henkilökohtaisten tietojen myyminen on uskomattoman tuottoisa ammatti, laillista tai ei. Itse asiassa laittomat ovat jopa kannattavampia kuin lailliset.
Suhtauduttehan näiden tietojen suojaamiseen vakavasti.
Suojele potilaidesi tietoja samalla huolellisuudella, jolla haluaisit lääkärisi suojaavan omasi.
Säädä käytännöt, pane ne täytäntöön ja varmista, että tiedät, mitä PII on, mitä PHI on ja yhtä tärkeää on, mitä ei ole!
Lue lisää siitä, miten RevenueWell parantaa tapausten hyväksyntää ja luo tiiviimmät suhteet hammaslääkäreiden ja heidän potilaidensa välille.