Nell’angolo della conformità di questo mese, il meccanico Rick Garofolo spiega la differenza tra PII e PHI, e mostra perché dobbiamo riconoscere la differenza.
Almeno una volta al giorno qualcuno mi chiede la differenza tra informazioni sanitarie protette (PHI) e informazioni personali identificabili (PII).
In uno studio dentistico, le abbiamo entrambe e dobbiamo proteggerle con lo stesso livello di attenzione.
Altre aziende, come banche e istituzioni finanziarie, hanno regole simili per quanto riguarda le PII, ma noi nel campo dentistico e medico siamo abbastanza fortunati da avere l’HIPAA. Questo significa che dobbiamo proteggere non solo le PII ma anche le PHI.
Quindi, qual è la differenza?
Cos’è la PII
Informazioni identificabili personalmente, o PII, è qualsiasi dato che può essere usato per contattare, localizzare o identificare un individuo specifico. Questi dati possono essere usati da soli o combinati con altre fonti facilmente accessibili, come internet.
Ecco uno sguardo agli elementi di dati che potrebbero essere utilizzati per identificare un individuo:
- Impronte digitali o dati biometrici – per esempio, il mio portatile usa la mia impronta digitale per accedere a
- Numeri di telefono
- Indirizzi e-mail
- Numeri di previdenza sociale
- Immagini del viso completo
- Immagini di qualsiasi caratteristica riconoscibile, come un tatuaggio
- Numeri identificativi dei membri dell’assicurazione
- Date relative alla nascita o alla morte
- Codici di avviamento postale
- Numeri di conto
Queste sono tutte considerate PII.
Abbiamo fatto affidamento sulle PII per molto tempo, ma la loro protezione è diventata una preoccupazione maggiore ultimamente a causa dell’aumento degli incidenti di hacking.
I progressi della tecnologia e l’uso diffuso dei computer richiedono che prendiamo ancora più precauzioni per proteggere le PII dei nostri pazienti. Virus trojan horse, ransomware, spyware e malware creano opportunità per le persone di rubare PII e PHI.
Le linee guida HIPAA richiedono che prendiamo tutte le salvaguardie ragionevoli e appropriate possibili per proteggere queste informazioni.
Cose come il software anti-virus, non permettendo al tuo team di controllare la posta elettronica personale su un computer di lavoro, e non permettendo a nessuno che non sia un amministratore di rete di installare qualsiasi programma su una stazione di lavoro nel tuo ufficio.
Cosa è PHI
Le informazioni sanitarie personali, PHI, sono qualcosa con cui probabilmente abbiamo più familiarità.
PHI è un’informazione che viene creata, trasmessa, ricevuta o mantenuta da un’entità coperta – il vostro studio dentistico – che è collegata a uno dei seguenti aspetti:
- Salute o condizione passata, presente o futura di un individuo
- Fornitura di assistenza sanitaria a un individuo – cosa hai fatto e cosa potresti fare
- Pagamento passato, presente o futuro per la fornitura di assistenza sanitaria a un individuo
- Sì, le voci del libro mastro sono PHI e considerate parte della cartella
Queste cose devono essere accompagnate da un identificatore, o PII, come nome, indirizzo, numero di previdenza sociale, indirizzo e-mail, o suddivisione geografica più piccola di uno stato – come contea, parrocchia o città – così come molti altri.
Quindi, se il nome del vostro paziente è sulla sua cartella, è PHI.
Indirizzo e-mail collegato al loro account? PHI.
Numero di telefono? Sì!
Fotografia completa? Avete indovinato!
Aumento dell’attenzione su PII e PHI
Perciò, perché questo è diventato recentemente non solo una parte importante della conformità HIPAA, ma qualcosa su cui molti governi stanno mettendo estrema concentrazione?
In breve, raccogliere e vendere PII su base legale è un business molto redditizio.
Ho ricevuto continuamente e-mail da persone che vendono una lista di 100.000 indirizzi e-mail di dentisti per 1.000 dollari. Non è un cattivo affare se ne ricavo qualche nuovo business, ma è anche un’enorme violazione dei Termini e Condizioni della maggior parte dei sistemi di posta elettronica.
Non posso usare liste di email acquistate. Tuttavia, molte aziende di marketing useranno liste di email acquistate – è da lì che viene lo SPAM.
Dimentichiamo le email di SPAM per un minuto e andiamo più a fondo. Ci sono paesi che non hanno leggi sulla privacy dove è perfettamente legale fare marketing a persone con informazioni rubate.
Pensate alle ramificazioni di qualcuno che scopre che ho una prescrizione per un anticoagulante. Improvvisamente sto ricevendo tonnellate di lettere e email su altre marche di cui dovrei chiedere al mio medico.
Hai mai ricevuto uno di questi e ti sei chiesto come facevano a saperlo? Da qualche parte, qualche ufficio con la tua storia medica ha avuto una violazione – segnalata o no – ed è così che hanno ottenuto le informazioni.
Vendere le informazioni personali di altre persone è una professione incredibilmente redditizia, legale o no. Infatti, quelli illegali sono ancora più redditizi di quelli legali.
Per favore, prendete sul serio la salvaguardia di queste informazioni.
Proteggete i dati dei vostri pazienti con la stessa cura con cui vorreste che il vostro medico proteggesse i vostri.
Mettete in atto delle politiche, fatele rispettare e assicuratevi di sapere cosa è PII, cosa è PHI e, altrettanto importante, cosa non lo è!
Scopri di più su come RevenueWell migliora l’accettazione dei casi e crea relazioni più strette tra i dentisti e i loro pazienti.
