W tym miesiącu w Compliance Corner, Practice Mechanic Rick Garofolo wyjaśnia różnicę między PII a PHI i pokazuje, dlaczego musimy ją rozpoznać.
Przynajmniej raz dziennie ktoś pyta mnie o różnicę między Protected Health Information (PHI) a Personally Identifiable Information (PII).
W gabinecie stomatologicznym mamy obie te informacje i musimy je chronić z taką samą starannością.
Inne firmy, takie jak banki i instytucje finansowe, mają podobne zasady dotyczące PII, ale my w stomatologii i medycynie mamy to szczęście, że mamy HIPAA. Oznacza to, że możemy chronić nie tylko PII, ale także PHI.
Więc, jaka jest różnica?
Co to jest PII
Informacje umożliwiające identyfikację osoby, lub PII, to wszelkie dane, które mogą być użyte do skontaktowania się, zlokalizowania lub zidentyfikowania konkretnej osoby. Dane te mogą być wykorzystywane samodzielnie lub w połączeniu z innymi łatwo dostępnymi źródłami, takimi jak Internet.
Tutaj spojrzenie na elementy danych, które mogą być użyte do identyfikacji osoby fizycznej obejmują:
- Odciski palców lub dane biometryczne – na przykład, mój laptop używa mojego odcisku palca do logowania
- Numery telefonów
- Adresy e-mail
- Numery ubezpieczenia społecznego
- Zdjęcia całej twarzy
- Zdjęcia wszelkich rozpoznawalnych cech, takie jak tatuaż
- Numery identyfikacyjne członków ubezpieczenia
- Daty urodzenia lub śmierci
- Kody IP
- Numery kont
Te wszystkie są uważane za PII.
Od dawna polegamy na informacjach PII, ale ich ochrona stała się ostatnio większym problemem z powodu zwiększonej liczby incydentów hakerskich.
Postęp technologiczny i powszechne korzystanie z komputerów wymaga od nas podjęcia jeszcze większej liczby środków bezpieczeństwa w celu ochrony informacji PII naszych pacjentów. Wirusy typu koń trojański, oprogramowanie ransomware, oprogramowanie szpiegujące i złośliwe stwarzają ludziom możliwości kradzieży informacji PII i PHI.
Wytyczne HIPAA wymagają od nas podjęcia wszelkich możliwych uzasadnionych i odpowiednich środków bezpieczeństwa w celu ochrony tych informacji.
Rzeczy takie jak oprogramowanie antywirusowe, nie pozwalanie zespołowi na sprawdzanie osobistej poczty elektronicznej na komputerze służbowym i nie pozwalanie nikomu poza administratorem sieci na instalowanie jakiegokolwiek programu na stacji roboczej w biurze.
Co to jest PHI
Personalne informacje zdrowotne, PHI, są czymś, z czym prawdopodobnie jesteśmy bardziej zaznajomieni.
PHI to informacje, które są tworzone, przekazywane, otrzymywane lub przechowywane przez podmiot objęty ubezpieczeniem – Twój gabinet stomatologiczny – które są związane z którymkolwiek z poniższych:
- Przeszłe, obecne lub przyszłe zdrowie lub stan osoby fizycznej
- Świadczenie opieki zdrowotnej osobie fizycznej – co Pan(i) zrobił(a) i co może Pan(i) zrobić
- Przeszłe, obecne lub przyszłe płatności za świadczenie opieki zdrowotnej osobie fizycznej
- Tak, wpisy w księdze są PHI i uważane za część wykresu
Tym rzeczom musi towarzyszyć identyfikator lub PII, takie jak imię i nazwisko, adres, numer ubezpieczenia społecznego, adres e-mail lub podział geograficzny mniejszy niż stan – jak hrabstwo, parafia lub miasto – jak również wiele innych.
Więc, jeśli nazwisko pacjenta znajduje się na jego karcie, jest to PHI.
Adres e-mail powiązany z jego kontem? PHI.
Numer telefonu? Tak!
Fotografia całej twarzy? Zgadłeś!
Większy nacisk na PII i PHI
Dlaczego więc ostatnio stało się to nie tylko ważną częścią zgodności z HIPAA, ale czymś, na czym wiele rządów kładzie szczególny nacisk?
W skrócie, zbieranie i sprzedawanie PII na podstawie prawnej jest bardzo dochodowym biznesem.
Cały czas dostaję e-maile od ludzi sprzedających listę 100 000 adresów e-mail dentystów za $1,000. Nie jest to zły interes, jeśli dostanę trochę nowego biznesu z niego, ale także ogromne naruszenie większości systemów e-mailowych „Warunki.
Nie mogę korzystać z zakupionych list e-mailowych. Jednak wiele firm marketingowych będzie korzystać z zakupionych list e-maili – to jest, gdzie SPAM pochodzi.
Zapomnijmy o SPAM e-maili na minutę i iść głębiej. Istnieją kraje, które nie mają prawa prywatności, gdzie jego całkowicie legalne do rynku do ludzi z kradzionych informacji.
Pomyśl o konsekwencjach ktoś dowiaduje się, że mam receptę na rozcieńczalnik krwi. Nagle dostaję mnóstwo listów i e-maili o innych markach, o które powinienem zapytać mojego lekarza.
Czy kiedykolwiek dostałeś jeden z nich i zastanawiałeś się, skąd oni wiedzieli? Gdzieś, jakieś biuro z twoją historią medyczną miało naruszenie – zgłoszone lub nie – i to jest miejsce, gdzie dostali informacje.
Sprzedawanie danych osobowych innych ludzi jest niesamowicie lukratywnym zawodem, legalnym lub nie. W rzeczywistości, te nielegalne są nawet bardziej dochodowe niż te legalne.
Proszę poważnie traktować ochronę tych informacji.
Chroń dane swoich pacjentów z taką samą troską, z jaką chciałbyś, aby Twój lekarz chronił Twoje.
Wprowadź zasady, egzekwuj je i upewnij się, że wiesz, czym jest PII, czym jest PHI i równie ważne, czym nie jest!
Dowiedz się więcej o tym, jak RevenueWell poprawia akceptację przypadków i tworzy bliższe relacje między dentystami i ich pacjentami.
