Questions? Call (855) 670-8780 or email security@compliancepoint.com   Visit us on LinkedIN  

Violación de Datos Medicos: Quien quiere (PHI)

 

January 12, 2016

 

 

iStock_000063594609_Illustration.png

Contenido:

En la publicación del blog anterior, hablamos de los tipos de entidades que necesitan Información Medical Protegida (PHI) para llevar a cabo sus negocios o prestar sus servicios. Ahora, vamos a discutir lo que estas entidades o individuos están típicamente interesados en obtener de esta PHI.

¿Quién está interesado en obtener la PHI?


No hay un solo grupo de personas o tipo de organización robando PHI para fines ilícitos. Sin embargo, al mirar los 18 identificadores PHI, que se enumeran a continuación, podemos ver que el tipo de información recogida y protegida por HIPAA, se puede utilizar para muchos propósitos que afectan negativamente a aquellos cuya PHI se ve comprometida.

 

 

De acuerdo con HIPAA, los siguientes 18 Identificadores, reconocidos bajo la Regla de Privacidad, permiten una Entidad Cubierta o Afiliados Comerciales a crear información que no es individualmente identificable, siguiendo el proceso de desidentificación estándar y la implementación de especificaciones:

 

  1.  Nombres
  2. Todas las subdivisiones geográficas más pequeñas que un estado, incluyendo dirección, ciudad, condado, distrito, código postal, y sus códigos geográficos equivalentes, a excepción de los tres dígitos iniciales del código postal si, de acuerdo con los actuales datos de dominio público de la Oficina del Censo:
    a. La unidad geográfica formada por la combinación de todos los códigos postales con los mismos tres dígitos iniciales contiene más de 20.000 personas; y
    b. Los tres primeros dígitos del código postal para todas las unidades geográficas tales que contienen 20.000 personas o menos se cambia a 000
  3. Todos los elementos de fechas (excepto año) para las fechas que están directamente relacionadas a un individuo, incluyendo la fecha de nacimiento, fecha de ingreso, fecha de alta, fecha de muerte, y todas las edades de más de 89, y todos los elementos de fechas (incluyendo el año) indicativos de tal edad, salvo que tales edades y elementos puedan ser agrupados en una sola categoría de 90 años o más.
  4. Números de teléfono
  5. Identificadores de vehículos y números de serie, incluyendo números de placas
  6. Números de fax
  7. Dispositivos identificadores y números de serie
  8. Direcciones de correo electrónico
  9. Recursos localizadores universales de red (URL’s – por sus siglas en Ingles)
  10. Números de seguro social
  11. Direcciones de protocolo de internet (IP – por sus siglas en ingles)
  12. Números de historial medico
  13. Identificadores biométricos, incluyendo huellas de dedos y voz
  14. Numero de beneficiario de plan de salud
  15. Fotografías de cara completa y cualquier imagen comparable
  16. Números de cuenta
  17. Cualquier otro número de identificación único, característico, o código, salvo a lo permitido por el párrafo (c) de esta sección [El párrafo (c) A continuación se presenta en la sección "Re-identificación"]
  18. Certificado / números de licencia

 

Hay un sinfín de posibilidades con lo que se puede hacer con este tipo de información sensible. Por ejemplo, dos sospechosos fueron acusados previamente por "Presentación de declaraciones de impuestos falsas, con la información de al menos 305 víctimas durante los años fiscales 2011 y 2012", que fueron obtenidas por los sospechosos, mientras trabajaban en un hospital. Aproximadamente 1.400 personas tuvieron su PHI comprometida y casi $500.000 en las declaraciones de impuestos falsas que fueron presentadas con el uso de esta información. La información utilizada para lograr esto incluía nombres, fechas de nacimiento y números de Seguro Social.
 

Entidades Cubiertas y Afiliados Comerciales necesitan PHI para desempeñar eficazmente sus funciones y, por desgracia, los posibles usos ilícitos de esta información parece infinita. Esto hace que la PHI sea muy valiosa, no sólo para aquellos que utilizan y resguardan legalmente, sino también a aquellos que han encontrado formas ilegales para lucrarse con su uso ilícito.

 

Como recordatorio, esto es parte de una serie blogs en los cuales  voy a estar dirigiendo varios temas relacionados con las violaciones de datos en el sistema medico. La próxima semana, estaremos discutiendo acerca de la PHI y los datos sensibles que se encuentran fuera del ámbito de aplicación de la ley HIPAA / HITECH.

 

Continuare publicando periódicamente sobre este tema, hasta el comienzo de la  Convención HIMSS16, el 29 de febrero en Las Vegas. Espero poder seguir compartiendo mis pensamientos con la comunidad interesada en la seguridad de la salud y su privacidad.

 

Si usted tiene alguna pregunta con respecto a requisitos de información en el sistema médico, o si desea una cotización para una auditoria de cumplimiento de HIPAA / HITECH, por favor contáctenos a  security@compliancepoint.com. 

 

BLOG IN ENGLISH

 


Maria-2.jpgMaria Sanchez is a Privacy and Security Professional at CompliancePoint working with Covered Entities and Business Associates in a variety of industries. She is committed to guiding customers through effective assessments covering the Security, Privacy, and Breach Rules from HIPAA/HITECH. Maria has a B.A. in Political Science and Sociology from Georgia State University and a J.D. from Florida Coastal School of Law. As an attorney, Maria concentrated her studies in international and comparative law. As a Privacy and Security Professional, Maria has earned her Healthcare Information Security and Privacy Practitioner (HCISPP) certification and Certified Information Privacy Professional for the US and Europe (CIPP/US and CIPP/EU) certifications.

 

 

 

 

Topics: HIPAA, PHI, HIMSS16, Entidades Cubiertas, Cuidado Medico, Afiliados Comerciales, Violación de datos, Información de Cuidado Médico, : Información Medica Protegida, Regla de Privacidad, Uso Ilícito, Uso Ilegal, Información de Salud, Seguridad, Privacidad

Subscribe to Our Blog Via Email

Recent Posts