Az e havi Compliance Cornerben Rick Garofolo, a Practice Mechanic szakembere elmagyarázza a PII és a PHI közötti különbséget, és megmutatja, miért kell felismernünk a különbséget.
Naponta legalább egyszer valaki megkérdezi tőlem, mi a különbség a védett egészségügyi információk (PHI) és a személyazonosításra alkalmas információk (PII) között.
Egy fogorvosi rendelőben mindkettővel rendelkezünk, és mindkettőt ugyanolyan gondossággal kell védenünk.
Más vállalkozások, például bankok és pénzintézetek hasonló szabályokkal rendelkeznek a PII-re vonatkozóan, de mi a fogászati és orvosi területen elég szerencsések vagyunk ahhoz, hogy rendelkezünk a HIPAA-val. Ez azt jelenti, hogy nemcsak a PII-t, hanem a PHI-t is meg kell védenünk.
Szóval, mi a különbség?
Mi a PII
A személyazonosításra alkalmas információ vagy PII minden olyan adat, amely felhasználható egy adott személy elérésére, megtalálására vagy azonosítására. Ezek az adatok önmagukban vagy más könnyen hozzáférhető forrásokkal, például az internettel kombinálva is felhasználhatók.
Az alábbiakban megnézzük azokat az adatelemeket, amelyek felhasználhatók egy személy azonosítására:
- ujjlenyomat vagy biometrikus adatok – például a laptopom az ujjlenyomatomatomat használja a bejelentkezéshez
- Telefonszámok
- Emailcímek
- Társadalombiztosítási számok
- Teljes arcképek
- Minden felismerhető vonás képe, mint például tetoválás
- Biztosítási tagok azonosítószámai
- Születési vagy halálozási adatok
- ZIP-kódok
- Számlaszámok
Ezek mind PII-nek minősülnek.
Hosszú ideje támaszkodunk a PII-re, de annak védelme az utóbbi időben egyre nagyobb aggodalomra ad okot a megnövekedett hacker incidensek miatt.
A technológia fejlődése és a számítógépek széleskörű használata megköveteli, hogy még több óvintézkedést tegyünk betegeink PII-jének védelme érdekében. A trójai vírusok, a zsarolóprogramok, a kémprogramok és a rosszindulatú programok lehetőséget teremtenek arra, hogy az emberek ellopják a PII-t és a PHI-t.
A HIPAA irányelvek megkövetelik, hogy minden lehetséges ésszerű és megfelelő biztosítékot megtegyünk ezen információk védelme érdekében.
Az olyan dolgok, mint a vírusirtó szoftverek, az, hogy ne engedje meg a munkatársainak, hogy a munkahelyi számítógépen személyes e-maileket nézzenek meg, és hogy a hálózati rendszergazdán kívül senki más ne telepítsen semmilyen programot az irodában lévő munkaállomáson.
Mi a PHI
A személyes egészségügyi információkat, a PHI-t, valószínűleg jobban ismerjük.
A PHI olyan információk, amelyeket az érintett szervezet – az Ön fogorvosi rendelője – hoz létre, továbbít, fogad vagy őriz meg, és amelyek az alábbiak bármelyikével kapcsolatosak:
- Egy személy korábbi, jelenlegi vagy jövőbeli egészségi állapota vagy állapota
- Egy személy egészségügyi ellátása – mit tett és mit tehet
- Egy személy egészségügyi ellátásának korábbi, jelenlegi vagy jövőbeli kifizetése
- Igen, a főkönyvi bejegyzések PHI-nek minősülnek, és a kórlap részének tekintendők
Ezeket a dolgokat azonosítónak vagy PII-nek kell kísérnie, mint például név, cím, társadalombiztosítási szám, e-mail cím, vagy egy államnál kisebb földrajzi alegység – például megye, község vagy város -, valamint sok más.
Ha tehát a páciens neve szerepel a kórlapján, akkor az PHI.
A fiókjához kapcsolódó e-mail cím? PHI.
Telefonszám? Igen!
Fénykép a teljes arcáról? Kitalálta!
Növekedett figyelem a PII-re és a PHI-re
Miért vált ez az utóbbi időben nem csak a HIPAA-megfelelés fontos részévé, hanem olyasmivé, amire számos kormányzat rendkívüli figyelmet fordít?
Röviden, a PII legális alapon történő gyűjtése és értékesítése nagyon jövedelmező üzlet.
Folyamatosan kapok e-maileket olyan emberektől, akik 100 000 fogorvos e-mail címét tartalmazó listát árulnak 1000 dollárért. Nem rossz üzlet, ha kapok belőle némi új üzletet, de egyben a legtöbb e-mail rendszer általános szerződési feltételeinek hatalmas megsértése is.
Nem használhatok vásárolt e-mail listákat. Sok marketingcég azonban vásárolt e-mail listákat használ – innen származik a SPAM.
Felejtsük el egy percre a SPAM e-maileket, és menjünk mélyebbre. Vannak olyan országok, ahol nincsenek adatvédelmi törvények, és ahol teljesen legális az embereknek lopott információkkal marketingelni.
Gondoljunk csak bele, milyen következményekkel járna, ha valaki megtudná, hogy vérhígítót írtam fel. Hirtelen rengeteg levelet és e-mailt kapok más márkákról, amelyekről kérdezzem meg az orvosomat.
Volt már olyan, hogy kaptál egy ilyet, és elgondolkodtál azon, honnan tudják? Valahol, valamelyik irodában, ahol az Ön kórtörténetét tárolják, volt egy – bejelentett vagy nem bejelentett – biztonsági rés, és onnan szerezték meg az információt.
Mások személyes adatainak eladása hihetetlenül jövedelmező szakma, akár legális, akár nem. Sőt, az illegális még jövedelmezőbb, mint a legális.
Kérem, vegye komolyan ezen információk védelmét.
Védje a páciensei adatait ugyanazzal a gondossággal, mint amivel Ön is szeretné, hogy az orvosa védje a sajátjait.
Vezessen be irányelveket, szerezzen érvényt ezeknek, és győződjön meg róla, hogy tudja, mi a PII, mi a PHI, és ugyanilyen fontos, hogy mi nem az!
Tudjon meg többet arról, hogyan javítja a RevenueWell az esetek elfogadását, és hogyan teremt szorosabb kapcsolatot a fogorvosok és pácienseik között.
