La sección 164.514 (c) de las reglas HIPAA de privacidad trata la reidentificación de la PHI.
Si una entidad cubierta o socio comercial emprendió con éxito un esfuerzo para identificar el tema de la información no identificada que mantenía, la información de salud ahora relacionada con una persona específica estaría nuevamente protegida por la Regla de privacidad, ya que cumpliría con la definición de PHI. La divulgación de un código u otro medio de identificación de registro diseñado para permitir la reidentificación de la información codificada o no identificable también se considera una divulgación de PHI.
Bajo estas reglas, ¿cuál es el posible propósito de desidentificar y conservar un método de reidentificación?
Podría imaginarme a alguien que quiera almacenar la información protegida por HIPAA bien asegurada por separado de la información no protegida por HIPAA que esté menos protegida.
Pero la excepción dice que la clave de enlace en sí se considera PHI. Por lo tanto, la información no identificada (incluida su clave) no es menos PHI protegida por HIPAA que la información original.
¿Estoy malinterpretando los requisitos de seguridad aquí? Parece inútil desidentificar y conservar la capacidad de reidentificación ya que ambos conjuntos de datos son tratados como PHI de todos modos.