¿Puede un informe de paciente basado en HTML ser compatible con HIPAA?

4

Supongamos que estoy creando una aplicación que genera un informe de recomendaciones de salud basadas en los diagnósticos de entrada del paciente.

Mi solicitud no recibe información de identificación sobre el paciente. Recibe solo un identificador único del paciente (por ejemplo, "Paciente # 123456") y los diagnósticos del paciente (por ejemplo, "Frecuencia cardíaca 80 BPM").

El resultado del informe de mi aplicación contiene solo ese identificador único, diagnósticos y recomendaciones de salud (por ejemplo, "El paciente # 123456 tenía un nivel de sodio de mil millones de mEq / L. Recomendamos que el paciente coma menos sal".)

Quiero evitar generar estos informes como archivos PDF porque los archivos PDF son difíciles de desarrollar. Prefiero generar páginas web HTML / CSS fáciles de imprimir, que mis usuarios pueden imprimir / exportar a PDF si lo desean. (Supongamos que todos mis usuarios están en navegadores web de escritorio modernos, sin valores atípicos de IE8).

¿Cuáles serían las preocupaciones reglamentarias (si las hubiera) de entregar informes como páginas web estáticas, en lugar de PDF? ¿Puedo mitigar estos de alguna manera?

    
pregunta RobertAKARobin 08.08.2017 - 02:22
fuente

2 respuestas

5

Sí, un informe basado en HTML puede ser compatible con HIPAA.

El formato en el que se presenta el informe no tiene consecuencias significativas para el cumplimiento. El comportamiento del sistema que genera el informe es en lo que debería concentrarse.

    
respondido por el Cameron Miller 08.08.2017 - 04:14
fuente
0

Puede ser. Sin embargo, tenga cuidado, los identificadores únicos se consideran PHI a los ojos de HIPAA. Hay algunas excepciones, en particular:

(c) Especificaciones de implementación: reidentificación. Una entidad cubierta puede asignar un código u otro medio de identificación de registros para permitir que la información anulada en esta sección sea re-identificada por la entidad cubierta, siempre que: (1) Derivación. El código u otro medio de identificación de registros no se deriva de la información sobre el individuo ni se relaciona con él, y de otra manera no se puede traducir para identificar al individuo; y (2) Seguridad. La entidad cubierta no utiliza ni divulga el código ni ningún otro medio de identificación de registros para ningún otro propósito, y no divulga el mecanismo de reidentificación.

Me imagino que en algún momento necesitarás volver a identificar la ID única que creaste para un paciente. Como tal, se convertiría en PHI. Puede administrar muchas de las piezas de cumplimiento requeridas para HIPAA implementando su aplicación en una plataforma como https://datica.com/platform/.

* Divulgación: trabajo en Datica. *

    
respondido por el Mark Olschesky 14.08.2017 - 19:37
fuente

Lea otras preguntas en las etiquetas