¿Se considera el número de acceso + servicio (código CPT) + fecha del servicio PHI (información de salud protegida) bajo HIPAA?

Navega tus respuestas
8

Imagine que está diseñando un sistema que consta de listas de trabajo vencidas para médicos (por ejemplo, Doctor X, tiene 3 estudios atrasados que analizar). En la notificación, usted identifica los estudios que deben revisar por su número de acceso / código de CPT / fecha de servicio, para que el médico pueda ver qué estudios faltan (en caso de que no estén de acuerdo en que tienen tres estudios atrasados). p>

¿Se podría incluir ese número de acceso / servicio / fecha de servicio en un correo electrónico que se puede enviar o reenviar a un sistema no hospitalario?

Por un lado, el conocimiento del número de acceso + servicio + fecha, no le permite identificar a ningún paciente (por lo que diría que no) o los resultados del estudio sin información adicional.

Por otra parte, cada número de acceso está vinculado a una sola persona, por lo que es el tipo de PHI que generalmente se elimina cuando se anonimizan datos para fines de investigación.

    
pregunta dr jimbob 17.02.2012 - 21:27
fuente

2 respuestas

3

Yo mismo respondí esto meses después de preguntar aquí basado en HIPAA law (consulte la página 66, sección 164.514).

Para resumir: los números de acceso (un número de identificación único) se deben eliminar al desidentificar los datos clínicos antes de utilizarlos con fines de investigación. Sin embargo, el uso de números de acceso (sin conectarse a datos detallados del paciente) con fines comerciales de rutina (es decir, la generación de la lista de trabajo vencida del médico) en correos electrónicos no cifrados probablemente esté bien, pero la ley es lo suficientemente oscura como para que no quiera hacerlo. >

Un número de acceso en sí mismo es un número sin sentido de 6 a 10 dígitos vinculado a cada servicio realizado en algún hospital específico. Sin tener acceso a la base de datos específica de ese hospital que vincula los números de acceso a un servicio específico realizado en un paciente específico, no puede identificar a un paciente. Puede argumentar fácilmente en este tipo de escenario, un número de acceso no es PHI y HIPAA específicamente tiene una excepción para los expertos que determinan que el riesgo de que este número pueda usarse para identificar a alguien es insignificante (como en este caso).

Sin embargo, si no está identificando los datos clínicos (por ejemplo, una exploración real de IRM o el resultado detallado de la prueba), sería prudente eliminar todos los números de acceso. Esto evita que alguien use el sistema de base de datos normal para ver quién está vinculado a un número de acceso, y luego usa los datos mal identificados para obtener registros detallados que de otro modo no podrían obtener.

    
respondido por el dr jimbob 01.05.2012 - 23:29
fuente
1

No calificaría para la provisión de puerto seguro para datos no identificados bajo HIPAA.

    
respondido por el Matt 19.02.2012 - 08:50
fuente

Lea otras preguntas en las etiquetas

En Linux, cuando considero confiar en una nueva fuente de software, ¿qué debo evaluar? ¿Cómo se puede combinar el almacenamiento de contraseñas con hash y con sal con una autenticación basada en texto sin formato y sin hash?