In de Compliance Corner van deze maand legt Practice Mechanic Rick Garofolo het verschil uit tussen PII en PHI, en laat hij zien waarom we het verschil moeten herkennen.
Minimaal één keer per dag vraagt iemand me wat het verschil is tussen Protected Health Information (PHI) en Personally Identifiable Information (PII).
In een tandartspraktijk hebben we beide en moeten we beide met dezelfde zorg beschermen.
Andere bedrijven, zoals banken en financiële instellingen, hebben vergelijkbare regels met betrekking tot PII, maar wij in de tandheelkundige en medische sector hebben het geluk dat we HIPAA hebben. Dat betekent dat we niet alleen PII, maar ook PHI mogen beschermen.
Dus, wat is het verschil?
Wat is PII
Persoonlijk identificeerbare informatie, of PII, zijn alle gegevens die kunnen worden gebruikt om een specifiek individu te contacteren, te lokaliseren, of te identificeren. Deze gegevens kunnen op zichzelf worden gebruikt of worden gecombineerd met andere gemakkelijk toegankelijke bronnen, zoals het internet.
Hieronder een blik op gegevenselementen die kunnen worden gebruikt om een individu te identificeren:
- Vingerafdrukken of biometrische gegevens – mijn laptop gebruikt bijvoorbeeld mijn vingerafdruk om in te loggen
- Telefoonnummers
- Emailadressen
- Socialezekerheidsnummers
- Foto’s van het volledige gezicht
- Foto’s van alle herkenbare kenmerken, zoals een tatoeage
- ID-nummers van verzekeringsleden
- Geboortedata of overlijdensdata
- ZIP-codes
- Rekeningnummers
Dit wordt allemaal als PII beschouwd.
We vertrouwen al heel lang op PII, maar de bescherming ervan is de laatste tijd een grotere zorg geworden door de toename van hackingincidenten.
Vooruitgang in technologie en wijdverbreid gebruik van computers vereisen dat we nog meer voorzorgsmaatregelen nemen om de PII van onze patiënten te beschermen. Trojaanse paardenvirussen, ransomware, spyware en malware creëren mogelijkheden voor mensen om PII en PHI te stelen.
HIPAA-richtlijnen vereisen dat we alle mogelijke redelijke en passende voorzorgsmaatregelen nemen om deze informatie te beschermen.
Dingen zoals anti-virussoftware, niet toestaan dat uw team persoonlijke e-mail op een werkcomputer controleert, en niet toestaan dat iemand anders dan een netwerkbeheerder een programma installeert op een werkstation in uw kantoor.
Wat is PHI
Persoonlijke gezondheidsinformatie, PHI, is iets waar we waarschijnlijk meer mee bekend zijn.
PHI is informatie die wordt gemaakt, overgedragen, ontvangen of onderhouden door een gedekte entiteit – uw tandartspraktijk – die betrekking heeft op een van de volgende zaken:
- Vorige, huidige of toekomstige gezondheid of toestand van een individu
- Verlening van gezondheidszorg aan een individu – wat u hebt gedaan en wat u kunt doen
- Vorige, huidige of toekomstige betaling voor de verlening van gezondheidszorg aan een individu
- Ja, grootboekaantekeningen zijn PHI en worden beschouwd als onderdeel van de kaart
Deze dingen moeten vergezeld gaan van een identificator, of PII, zoals naam, adres, sofi-nummer, e-mailadres, of geografische onderverdeling kleiner dan een staat – zoals county, parochie, of stad – evenals vele anderen.
Dus, als de naam van uw patiënt op hun kaart staat, is dat PHI.
E-mailadres gekoppeld aan hun account? PHI.
Telefoonnummer? Yep!
Volledige gezichtsfoto? U raadt het al!
Verhoogde aandacht voor PII en PHI
Dus, waarom is dit recentelijk niet alleen een belangrijk onderdeel van HIPAA compliance geworden, maar iets waar veel overheden zich extreem op concentreren?
In het kort, het verzamelen en verkopen van PII op een legale basis is een zeer winstgevende business.
Ik krijg de hele tijd e-mails van mensen die een lijst met 100.000 tandarts e-mailadressen verkopen voor $1.000. Geen slechte deal als ik er wat nieuwe zaken uit haal, maar ook een enorme schending van de algemene voorwaarden van de meeste e-mailsystemen.
Ik kan geen gekochte e-maillijsten gebruiken. Echter, veel marketing bedrijven zullen gebruik maken van gekochte e-maillijsten – dat is waar SPAM vandaan komt.
Laten we SPAM e-mails even vergeten en dieper ingaan. Er zijn landen die geen privacywetten hebben, waar het volkomen legaal is om mensen te benaderen met gestolen informatie.
Denk eens aan de gevolgen als iemand erachter komt dat ik een recept heb voor een bloedverdunner. Plotseling krijg ik massa’s mailings en e-mails over andere merken die ik aan mijn arts moet vragen.
Heb je ooit zo’n mail gekregen en je afgevraagd hoe ze dat wisten? Ergens, een kantoor met uw medische geschiedenis had een inbreuk – gemeld of niet – en dat is waar ze de info.
Het verkopen van andermans persoonlijke informatie is een ongelooflijk lucratieve beroep, legaal of niet. In feite zijn de illegale zelfs winstgevender dan de legale.
Neem de bescherming van deze informatie serieus.
Bescherm de gegevens van uw patiënten met dezelfde zorgvuldigheid als u zou willen dat uw arts de uwe zou beschermen.
Stel een beleid op, dwing het af en zorg ervoor dat u weet wat PII is, wat PHI is, en net zo belangrijk, wat dat niet is!
Lees meer over hoe RevenueWell de acceptatie van casussen verbetert en hechtere relaties creëert tussen tandartsen en hun patiënten.