No Canto da Conformidade deste mês, Practice Mechanic Rick Garofolo explica a diferença entre PII e PHI, e mostra porque precisamos de reconhecer a diferença.
Pelo menos uma vez por dia alguém me pergunta a diferença entre Informação de Saúde Protegida (PHI) e Informação de Identificação Pessoal (PII).
Num consultório dentário, temos ambos e temos de proteger ambos com o mesmo nível de cuidados.
Outras empresas, como bancos e instituições financeiras, têm regras semelhantes em relação aos IPI, mas nós, no campo dentário e médico, temos a sorte de ter IIPAA. Isso significa que conseguimos proteger não só o IPI, mas também o IPI.
Então, qual é a diferença?
O que é IPI
Informação Pessoal Identificável, ou IPI, é qualquer dado que possa ser usado para contactar, localizar ou identificar um indivíduo específico. Estes dados podem ser usados por si mesmos ou combinados com outras fontes facilmente acessíveis, como a Internet.
Aqui estão os elementos de dados que podem ser usados para identificar um indivíduo:
- Dados biométricos ou impressões digitais – por exemplo, o meu portátil usa a minha impressão digital para se ligar a
- Números de telefone
- Endereços de e-mail
- Números de segurança social
- Fotos de rosto inteiro
- Fotos de quaisquer características reconhecíveis, como uma tatuagem
- Números de identificação de segurado
- Datas relacionadas com o nascimento ou morte
- Códigos ZIP
- Números de conta
Todos estes são considerados PII.
Confiamos no PII há muito tempo, mas protegê-lo tornou-se uma preocupação maior ultimamente devido ao aumento de incidentes de hacking.
Avanços na tecnologia e uso generalizado de computadores exigem que tomemos ainda mais salvaguardas para proteger o PII dos nossos pacientes. Os vírus do cavalo de Tróia, o ransomware, o spyware e o malware criam oportunidades para as pessoas roubarem PII, e as diretrizes PHI.
HIPAA requerem que tomemos todas as salvaguardas razoáveis e apropriadas possíveis para proteger essas informações.
O que é um software anti-vírus, não permitindo que sua equipe verifique e-mails pessoais em um computador de trabalho, e não permitindo que ninguém além do administrador de rede instale qualquer programa em uma estação de trabalho em seu escritório.
O que é PHI
Informação de Saúde Pessoal, PHI, é algo com que provavelmente estamos mais familiarizados.
PHI é informação que é criada, transmitida, recebida, ou mantida por uma entidade coberta – o seu consultório dentário – que está relacionada com qualquer uma das seguintes:
- Saúde ou condição passada, presente ou futura de um indivíduo
- Provisão de cuidados de saúde a um indivíduo – o que você fez e o que você pode fazer
- Pagamento passado, presente ou futuro para a prestação de cuidados de saúde a um indivíduo
- Sim, As entradas do livro razão são PHI e consideradas parte do gráfico
Estas coisas devem ser acompanhadas por um identificador, ou PII, como nome, endereço, número de segurança social, endereço de e-mail, ou subdivisão geográfica menor que um estado – como condado, paróquia, ou cidade – assim como muitas outras.
Então, se o nome do seu paciente está na sua ficha, é PHI.
Endereço de e-mail ligado à sua conta? PHI.
Número de telefone? Sim!
Fotografia de rosto inteiro? Você adivinhou!
Foco Incrementado em PII e PHI
Então, porque é que isto se tornou recentemente não só uma parte importante da conformidade HIPAA, mas algo em que muitos governos estão a colocar extrema concentração?
Em suma, recolher e vender PII numa base legal é um negócio muito lucrativo.
Eu recebo e-mails a toda a hora de pessoas que vendem uma lista de 100.000 dentistas com endereços de e-mail por $1.000. Não é um mau negócio se eu conseguir algum negócio novo, mas também uma enorme violação dos Termos e Condições da maioria dos sistemas de e-mail.
Eu não posso usar listas de e-mail compradas. No entanto, muitas empresas de marketing vão usar listas de e-mails comprados – é de onde vem o SPAM.
Vamos esquecer os e-mails de SPAM por um minuto e ir mais fundo. Há países que não têm leis de privacidade onde é perfeitamente legal comercializar para pessoas com informações roubadas.
Pense nas ramificações de alguém descobrir que eu tenho uma receita para um anticoagulante. De repente estou recebendo toneladas de emails e e-mails sobre outras marcas que eu deveria perguntar ao meu médico sobre.
Você já recebeu um desses e se perguntou como eles sabiam? Em algum lugar, algum consultório com seu histórico médico teve uma quebra – relatada ou não – e foi onde eles obtiveram a informação.
Vender a informação pessoal de outras pessoas é uma profissão incrivelmente lucrativa, legal ou não. Na verdade, as ilegais são ainda mais lucrativas que as legais.
Por favor leve a sério a salvaguarda desta informação.
Proteja os dados dos seus pacientes com o mesmo cuidado com que você gostaria que o seu médico protegesse os seus.
Colocar políticas em vigor, aplicá-las e certificar-se de que você sabe o que é PII, o que é PHI, e igualmente importante, o que não é!
Saiba mais sobre como RevenueWell melhora a aceitação de casos e cria relações mais próximas entre os dentistas e seus pacientes.
