Voir la traduction automatique
Ceci est une traduction automatique. Pour voir le texte original en anglais cliquez ici
#Actualités du secteur
{{{sourceTextContent.title}}}
Quelle est l'information protégée de santé ?
{{{sourceTextContent.subTitle}}}
L'information protégée de santé, ou le PHI, est l'information personnellement identifiable de santé que HIPAA règle et protège. Mais HIPAA a été écrit il y a presque 20 ans pour un monde la plupart du temps analogue des fichiers papier et des rayons X physiques ? l'iPhone n'était pas même un rêve.
{{{sourceTextContent.description}}}
En monde d'aujourd'hui des wearables, les apps de santé, l'ordonnancement génétique et plus, obtenant une définition précise de PHI peuvent être embrouillants pour des réalisateurs essayant d'analyser, qu'ils doivent être HIPAA conformes ou pas.
Dans ce poteau nous allons regarder ce qu'est le PHI, ce que n'est pas il, et comment vous pouvez faire la différence. Si tout va bien vous pourrez employer ceci comme référence quand déterminant si les informations que vous collectez ont besoin de des chutes sous la définition du PHI comme décrite par HIPAA.
Entités et associés couverts d'affaires
Avant que nous puissions parler de l'information protégée de santé nous devons discuter d'abord deux définitions importantes dans HIPAA : Entités et associés couverts d'affaires.
Une entité couverte est n'importe qui qui fournit le traitement, le paiement et les opérations dans les soins de santé. Selon le département des États-Unis de la santé et des fournisseurs de soins de santé humains des services (HHS), les plans de santé, et les chambres de compensation sont tous de soins de santé les entités couvertes. Les fournisseurs de soins de santé incluent des hôpitaux, des médecins, des cliniques, des psychologues, des dentistes, des chiroprakteurs, des maisons de repos, et des pharmacies.
Les plans de santé incluent des compagnies d'assurance médicale maladie, HMOs, plans de santé de compagnie, Assurance-maladie, et Medicaid. En outre, les employeurs et les écoles qui manipulent le PHI afin de s'inscrire leurs employés et étudiants dans des plans de santé tombent sous la définition d'un plan de santé.
Il est un peu plus difficile d'identifier des chambres de compensation de soins de santé au début. Une chambre de compensation rentre l'information d'une entité de soins de santé, met les données dans un format standard, et puis crache l'information soutiennent à une autre entité de soins de santé.
Les entités couvertes incluent :
Médecins ? bureaux, bureaux dentaires, cliniques, psychologues
Maisons de repos, pharmacies, hôpitaux ou agences de soins de santé à la maison
Plans de santé, compagnies d'assurance, HMOs
Programmes gouvernementaux qui payent des soins de santé
Chambres de compensation de soins de santé
Un associé d'affaires est un fournisseur ou un sous-traitant qui ont accès au PHI. Plus de définition de legalese d'un associé d'affaires est n'importe quelle entité qui emploie ou révèle le PHI au nom d'une entité couverte. En outre, un associé d'affaires est toute personne qui, au nom d'une entité couverte, exerce (ou des aides dans l'exécution de) une fonction ou une activité comportant l'utilisation ou la révélation du PHI.
Les associés d'affaires peuvent être des services de stockage de données ou de stockage de document (il doesn ? la matière de t si elles peuvent regarder le PHI qu'elles maintiennent), les fournisseurs des services de transmission de données, les portails ou d'autres interfaces ont créé au nom des entités couvertes qui permettent à des patients de partager leurs données avec l'entité couverte, et des échanges de l'information électroniques de santé.
La définition du PHI
Maintenant que nous avons ces définitions vers le bas nous pouvons définir l'information protégée de santé. Le PHI est n'importe quelle information dans un rapport médical qui peut être employé pour identifier un individu, et qui a été créé, utilisé, ou révélé à une entité couverte et/ou à leurs associés d'affaires au cours de fournir un service de soins de santé, tel qu'un diagnostic ou un traitement.
L'information protégée de santé (PHI) est la combinaison d'information de santé et personnellement d'information identifiable (PII). L'information de santé entoure l'information qui est créée ou reçue par une entité couverte par l'intermédiaire de n'importe quel milieu ? verbal, écrit, électroniquement ou autrement. Cette information inclut l'état de santé physique ou mentale d'un individu à un point quelconque à temps. Le PII tombe sous le parapluie d'information de santé puisqu'il a le potentiel d'indiquer l'identité personnelle d'un individu, qui pourrait alors être liée de nouveau à l'information de santé créée ou reçue par une entité couverte.
Exemples de PHI
Laissé ? regard de s à quelques exemples concrets de l'information qui est considérée PHI. Si vos affaires traitent l'information l'une des ci-dessous dans le service à, ou au nom de, une entité couverte, alors la conformité de HIPAA n'est pas facultative.
Noms patients
Adresses ? En particulier, quelque chose plus spécifique qu'énoncent, y compris l'adresse de rue, la ville, le comté, enceinte, et dans la plupart des cas le code postal, et leurs geocodes équivalents.
Dates ? Y compris la naissance, la décharge, l'accès, et les dates de la mort.
Numéros de téléphone et de fax
Email address
Numéros de la sécurité sociale
Conducteur ? l'information de permis de s
Nombres de rapport médical
Numéros de compte
Nombres de bénéficiaire de plan de santé
Nombres de certification/permis
Marques et numéros de série de véhicule, y compris des nombres de plaque minéralogique
Marques de dispositif et numéros de série
Noms des parents
L'adresse de l'Internet Protocol (IP) numérote
Marques biométriques ? y compris des copies de doigt et de voix.
Les images photographiques de plein visage et toutes les images comparables en pratique, PHI peuvent apparaître dans un certain nombre de différents documents, formes et communications, comme :
L'information de facturation de votre docteur
Email au bureau de votre docteur au sujet d'un médicament ou prescription que vous avez besoin
Note de établissement du programme de rendez-vous avec le bureau de votre docteur
Un balayage de MRI
Résultats d'analyse de sang
Disques de téléphone
Exemples des données non considérées PHI
Mais non toute l'information personnellement identifiable est PHI. Par exemple, les disques d'emploi des droits d'une entité couverte et de famille et des disques éducatifs de l'acte d'intimité (FERPA) ne se rangent pas dans la catégorie du PHI parce que, malgré le fait que ils pourraient contenir personnellement l'information identifiable, elle n'est pas liée aux disques de santé qui pourraient compromettre la sécurité individuelle.
En outre, de l'information isn de santé ? t a considéré le PHI parce qu'il isn ? t personnellement identifiable ou partagé avec une entité couverte.
Exemples des données de non-PHI : - Nombre d'étapes dans un pedometer - nombre de calories brûlées - lectures de sucre de sang sans information d'utilisateur personnellement identifiable (PII) (comme un compte ou un nom d'utilisateur) - lectures de fréquence cardiaque sans PII
L'essai pour le PHI est assez simple : si votre dispositif ou application stocke, enregistre ou transmet l'utilisateur ? données personnel-identifiables de santé de s à une entité couverte alors que vous traitez l'information protégée de santé et devez être HIPAA conforme.
Si vous construisez un dispositif ou une application portable qui collectent des informations de santé, mais ne prévoit pas sur les partager avec une entité couverte à un point quelconque à temps alors que vous n'avez pas besoin d'être HIPAA conforme. Par exemple, Nike remplissent de combustible la bande ne dépiste pas l'information protégée de santé considérée par données parce que vous ne pouvez pas transmettre ces données du dispositif à une entité couverte.
Aucun port sûr pour le PHI accidentel
Les pénalités pour l'insoumission de HIPAA sont quelque chose mais clémentes. Selon le niveau de la négligence, ces fines peuvent s'étendre de $100 à $50.000 pour une violation accidentelle simple, avec une violation simple due à la négligence obstinée ayant pour résultat une amende $50.000 automatique. Les fines et les frais sont décomposés par le type : ? Cause raisonnable ? et ? Négligence obstinée ?.
Les fines raisonnables de cause peuvent être n'importe où de $100 à $50.000 par incident et n'impliquent pas n'importe quelle heure de prison. La négligence obstinée s'étend de $10.000 à $50.000 pour chaque incident et peut avoir comme conséquence les accusations criminelles.
La pénalité maximum pour des violations d'une disposition identique est $1.5 millions par an. 2014 ont vu des millions d'en raison compromis par disques patients des infractions et des millions de dollars dans les fines prélevées des organismes qui étaient responsables de protéger les données.
À la différence de Digital Millennium Copyright Act (DMCA), HIPAA n'inclut pas le port sûr pour le stockage ou la révélation accidentel du PHI. Le DMCA le rend facile pour des emplacements comme YouTube pour éviter d'être affiné pour accueillir le matériel de copyright tant que ces emplacements ont un procédé clair pour accepter et agir sur des demandes de manipulations contentes. HIPAA n'a aucune règle semblable. Par conséquent si votre PHI de maisons de système, même sans votre connaissance ou consentement, vous sont HIPAA de dessous encore exposé.
Par exemple, si vous ? au sujet d'une transmission de messages anonyme $$etAPP de mHealth qui permet à des utilisateurs de poser à des médecins des questions sur une condition sans révéler personnellement l'information identifiable, et d'un utilisateur révèle le PHI, vous ? responsable re de cette information sous HIPAA. Il n'y a aucune protection pour vous simplement parce que ce n'était pas le cas prévu d'utilisation pour votre application.
Comment devenir HIPAA conforme
Afin de devenir HIPAA conformes, là sont quatre règles que vous devez être averti de et conforme avec :
Règle d'intimité de HIPAA
Règle de sécurité de HIPAA, qui définit :
Sauvegardes techniques
Sauvegardes physiques
Sauvegardes administratives
Règle d'application de HIPAA
Règle d'avis d'infraction de HIPAA
La règle d'intimité de HIPAA établit des normes nationales pour protéger des individus ? les rapports médicaux et s'applique aux plans de santé, aux chambres de compensation de soins de santé, aux fournisseurs de soins de santé et à leurs associés d'affaires.
Afin de remplir les conditions pour la confidentialité, intégrité, et sécurité de PHI comme spécifique selon la règle de sécurité de HIPAA, vous devez correctement adresser les sauvegardes physiques, techniques, et administratives mentionnées ci-dessus. Ces trois sauvegardes incluent des caractéristiques d'exécution ? certains dont soyez ? requis ? tandis que d'autres sont ? accessible. ? Ces caractéristiques d'exécution qui sont exigées doivent être mises en application, alors que les caractéristiques accessibles d'exécution sont les pratiques qui doivent être mises en application s'il est raisonnable et approprié de faire ainsi (le choix doit être documenté).
La règle d'application de HIPAA définit entièrement les investigations, les pénalités, et les procédures pour les auditions de violation de HIPAA, que nous avons touchées dessus brièvement en haut.
En conclusion, la règle d'avis d'infraction de HIPAA exige que vous informez les services de la santé et des affaires sociales (HHS), les médias, et le public si l'infraction affecte plus de 500 patients.
Pour une discussion détaillée de ces derniers de ces quatre règles ou de plus d'information sur au juste ce qu'il prend pour devenir HIPAA conforme, lisez le réalisateur ? guide de s de conformité de HIPAA.
Ainsi maintenant que vous savez ce qui a protégé l'information de santé est-il et pourquoi il ? s important, maintenant ? grand temps de SA de retourner et de passer en revue les types d'information vous ? rassemblement re à évaluer, que vous deviez être HIPAA conforme ou pas. Avec l'examen minutieux accru sur des violations de HIPAA, les fines massives se sont associées aux infractions, et au manque d'une clause de port sûr pour le PHI involontaire, il ? s mieux à être sûr que désolé en traitant l'information sensible de santé.