Utilizamos GUID para identificar internamente a los pacientes en nuestro sistema. Estoy debatiendo con nuestra gente reguladora sobre si estos identificadores se pueden usar en cadenas de consulta para llamadas REST.
Afirman que cualquier identificador de paciente se convierte en PHI una vez que se expone fuera del sistema. Estoy argumentando que para asignar este identificador a la PHI, o bien necesita acceso al almacén de datos o necesita tener un registro válido en el sistema y los controles de acceso están en su lugar.
Para las partes que no tienen acceso al almacén de datos y no tienen un inicio de sesión válido, la recuperación de PHI no es posible (salvo una infracción de seguridad).
¿Alguien tiene experiencia con esto? ¿Los identificadores utilizados internamente se consideran PHI según HIPAA? ¿Alguien puede indicarme la sección correspondiente en la ley ?