Questions? Call (855) 670-8780 or email security@compliancepoint.com   Visit us on LinkedIN  

Violación de Datos Médicos: PHI más allá del alcance de HIPAA

 

January 20, 2016

 

 

hipaa-beyond.png

En resumen rápido de los debates de la serie del blog, hasta ahora, PHI es información de salud individualmente identificable que se lleva a cabo o se transmite por una Entidad Cubierta o Afiliado Comercial. PHI puede ser cualquier forma o medio: Electrónico, papel, o verbal y puede incluir información demográfica y relacionarse con la condición médica o salud mental pasada, presente o futura de un individuo, servicios de atención médico recibidos por un individuo, o el estado de pago de dichos servicios médicos.

 

Ahora, vamos a discutir que PHI queda fuera del alcance de los requisitos HIPAA / HITECH.

Aunque los requisitos HIPAA / HITECH sólo se aplican a Entidades Cubiertas y Afiliados Comerciales, es importante tener en cuenta que PHI puede ser redefinida como información de identificación personal (PII) que se aplica a MUCHOS tipos de  entidades y escenarios en los que esta información es utilizada o divulgada para fines comerciales.

Las exclusiones a la definición de la PHI como se ha dicho, son registros de educación (cubiertos por los Derechos Educativos de la Familia y la Privacidad), los registros que se describen en 20 USC 1232g (a) (4) (B) (iv), y los registros de empleo en poder de una entidad incluida en su función de empleador. 

PHI también deja de ser considerado PHI, y por lo tanto no están protegidos por HIPAA; cuando ciertos elementos se retiran de dicha información sensible.   Esto se conoce como des-identificación de la información de salud protegida. Hay dos escenarios en los que esto ocurre:

  1. Cuando es utilizado por una persona con conocimientos y experiencia adecuada de principios y métodos estadísticos y científicos, generalmente aceptados para la prestación de información no identificable individualmente. Esta persona sólo puede aplicar tales principios y métodos cuando se determina que hay un riesgo limitado de que la información podría ser utilizada, sola o en combinación con otra información, para identificar un sujeto individual de información.
  2. Una entidad decida retirar los 18 identificadores mencionados en un blog anterior. La entidad podría entonces optar por volver a identificar la información mediante un código u otro medio de identificación del registro. El código u otros medios de identificación del registro no deben derivarse de la información sobre el individuo y no pueden ser traducidos a fin de identificar a la persona (alias re identificación).

Además de las exclusiones mencionadas anteriormente y las opciones de desidentificación, hay organizaciones que pueden manejar información sensible que puede parecer ser PHI en la superficie. Sin embargo, debido a que estas organizaciones no entran en la definición de una Entidad Cubierta o Afiliado Comercial, la información que poseen no alcanza el nivel necesario de lo que se necesita para ser considerada como información de salud protegida. 

No obstante, la información con la que trabajan, todavía se considera sensible, y por lo tanto cae bajo el perímetro de aplicación de otros requisitos relacionados con PII. Controles adecuados deben ser implementados para proteger la información sensible a estas organizaciones pueden usar o divulgar.

En continuación de las series de blogs, nuestro próxima publicación será la primera semana de febrero y discutirá de donde viene PHI y quienes son las piezas claves bajo HIPAA / HITECH. 

Continuare publicando periódicamente sobre este tema, hasta el comienzo de la  Convención HIMSS16, el 29 de Febrero en Las Vegas. Espero poder seguir compartiendo mis pensamientos con la comunidad interesada en la seguridad de la salud y su privacidad. 

Si usted tiene alguna pregunta con respecto a requisitos de información en el sistema de salud, o si desea una cotización para una auditoria de cumplimiento de HIPAA / HITECH, por favor contáctenos a  security@compliancepoint.com. 

 

Blog in English

 


Maria-2.jpgMaria Sanchez is a Privacy and Security Professional at CompliancePoint working with Covered Entities and Business Associates in a variety of industries. She is committed to guiding customers through effective assessments covering the Security, Privacy, and Breach Rules from HIPAA/HITECH. Maria has a B.A. in Political Science and Sociology from Georgia State University and a J.D. from Florida Coastal School of Law. As an attorney, Maria concentrated her studies in international and comparative law. As a Privacy and Security Professional, Maria has earned her Healthcare Information Security and Privacy Practitioner (HCISPP) certification and Certified Information Privacy Professional for the US and Europe (CIPP/US and CIPP/EU) certifications.

 

 

 

 

Topics: HIPAA, PHI, HITECH, HIMSS16, Entidades Cubiertas, Cuidado de la Salud, Violación de datos, Des-identificación, Información de Identificación Personal, PII, Información de Salud, Seguridad, Privacidad, Información protegida de salud

Subscribe to Our Blog Via Email

Recent Posts