Un cliente me ha pedido que desidentifique los datos de PHI en su base de datos y estoy simplificando demasiado el proceso o mi cliente está demasiado paranoico. Quizás puedas decirme cuál es el caso.
La necesidad de desidentificación de este cliente es doble. Cuando pierden a un cliente, tienen el derecho de conservar una copia no identificada de los datos para fines analíticos. Además, deben poder mover los datos a entornos de desarrollo / prueba en una forma no identificada.
Aquí hay un ejemplo de lo que estaría en la base de datos:
Nombre de pila
Apellido
Género
Fecha de nacimiento
Instalación
Fecha de Admisión
Fecha de alta
Puntaje de admisión
Puntuación de alta
Estos datos se utilizan para el análisis y algunos de los factores importantes son:
Género
Edad de ingreso (Fecha de ingreso - Fecha de nacimiento)
Duración de la estancia (Fecha de alta - Fecha de admisión)
Mejora (puntaje de alta - puntaje de admisión)
Aquí están mis preguntas ...
Si simplemente aleatorizo los nombres, ¿esto no está lo suficientemente identificado como para satisfacer los requisitos de HIPAA?
No lo creí. ¿Qué pasa si también aleatorizo el nombre de la instalación? Si solo conozco los demás datos, fecha de nacimiento, sexo, fechas y puntajes, ¿se ha identificado de manera razonable?
Bien, asumiendo que la respuesta es no, ¿qué pasa si luego elijo una fecha de nacimiento aleatoria y ajusto las fechas de ingreso y alta para que la edad de ingreso y la duración de la estadía sean las mismas? Por ejemplo, si el paciente nació el 1/1/1930 y fue admitido el 1/1/2011 y dado de alta el 10/01/2011, la fecha de nacimiento podría elegirse al azar como 5/5/1920 y las otras fechas serían 5 / 5/2001 y 5/14/2001. La edad de admisión y la duración de la estancia sería la misma. ¿Sería esto razonablemente deidentificado?
También, otra pregunta. Si el cliente tiene una lista de pacientes con sus fechas de nacimiento en una hoja de cálculo de Excel (no hay otra información), ¿esos datos se considerarían como PHI? Mi cliente dice que sí, pero eso no tiene sentido porque no hay información médica vinculada a esos nombres.
Gracias por tu aporte!
Darvis