没有 PII 的 HIPAA 合规性

信息安全 规定 希帕
2021-08-11 05:50:11

我有一个网站,人们可以在其中填写医学综合症提问者。他们可以看到他们的状况在这段时间内如何变化。

我没有存储任何 PII 信息,只是用户名。我可以加密存储(如果必须的话)。

我的问题是——我必须符合 HIPAA 吗?记住没有 PII。

如果我要存储电子邮件地址(加密)——它会改变我的监管情况吗?

谢谢

亚伦

2个回答

是的,您必须符合 HIPAA。

我将尽可能简短和合乎逻辑地保留原因:

  1. 通过使用加密技术保护数据只不过是您正在使用的一个安全层(这很好),但它并不排除遵守健康信息隐私的需要。事实上,这种保护在 HIPAA 的“安全规则”中有描述。
  2. 即使没有存储姓名或电子邮件,“健康档案”本身也可以识别个人身份。许多例子之一可能是关于一个人的 DNA 的信息,或者一种罕见的疾病,或者一种特定的障碍,甚至是一种非典型的疾病。当您将血型与健康档案中的少量其他信息结合起来时,即使是血型也是 PII。
  3. 您谈到要求姓名甚至电子邮件。真实姓名甚至电子邮件地址本身也有资格作为 PII,因为它明确允许个人身份识别。将其与他的“健康状况”相结合,如果 HIPAA 合规性不是 100%,您将面临更大的麻烦。一个例子:2011 年 7 月,加州大学洛杉矶分校同意支付 865,500 美元,就潜在的 HIPAA 违规行为达成和解。想想看。这样的事情会发生。你口袋里有足够的现金来做这样的事情吗?如果,我打赌你宁愿把它花在别的东西上。;)
  4. 您描述了“人们填写医学综合症提问者的网站。他们可以看到他们的病情在这段时间内如何变化。” 跟踪这些“医疗状况”就像在线跟踪网站访问者:每一条额外的信息都会建立一个更完整的“个人资料”,直到人们可以通过查看他们的病情变化并将其(例如)与一组随机选择的可能与此类个人资料相匹配的人。

还有几点,我将跳过以保持简短。但是如您所见,如果您在考虑忽略 HIPAA 的同时考虑收集“健康档案”,那么已经有充分的理由观察您的步骤。

将健康档案与任何其他类型的个人识别信息(如“真实姓名”或“电子邮件”甚至简单的“邮政编码”)相结合,实际上会迫使您遵守 HIPAA。

此外,如果您的客户/网站访问者/健康档案提供者注意到您对他们的隐私过于重视,这将使他们感到更加舒适和安全。我认为这是一个你不应该忽视的好处......包括在最坏的情况下符合 HIPAA 可以合法地保护你的事实。

再次总结一下:

  1. 健康档案PII(个人识别信息),因为它们是 PHI(个人健康信息)。猜猜为什么首先创建了 HIPAA!
  2. 电子邮件PII。
  3. 使用真实姓名时,姓名可以是PII。
  4. 加密与“如果”或“如果不是”您需要符合 HIPAA 的问题无关,因为“可以解密已加密的内容”。让我在这一点上绝对清楚:加密不会使您收集 PII 的事实无效,它只会保护您收集的数据。

事实上,你应该自己去检查 HIPAA,以确保你知道你在这里问什么......

http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

受保护的健康信息。隐私规则保护由涵盖实体或其业务伙伴以任何形式或媒体(无论是电子、纸质还是口头形式)持有或传输的所有“个人可识别健康信息”。隐私规则将此信息称为“受保护的健康信息 (PHI)”。

“个人可识别的健康信息”是指与以下方面相关的信息,包括人口统计数据:个人过去、现在或未来的身体或心理健康或状况,向个人提供的医疗保健,或过去、现在或未来支付的费用向个人提供医疗保健,并且可以识别个人身份或有合理依据相信它可用于识别个人身份。 13 个人可识别的健康信息包括许多常见的标识符(例如,姓名、地址、出生日期,社会安全号码)。

隐私规则不包括受保护的健康信息就业记录,涵盖实体以其作为雇主和教育的身份维护,以及受家庭教育权利和隐私法,20 USC §1232g 约束或定义的某些其他记录。

去识别的健康信息。对去识别的健康信息的使用或披露没有任何限制。14去识别的健康信息既不能识别个人,也不能提供识别个人的合理依据。有两种方法可以对信息进行去标识化;或者: (1) 由合格的统计学家正式确定;或 (2) 需要删除个人及其亲属、家庭成员和雇主的特定标识符,并且仅当涵盖实体不实际知道剩余信息可用于识别个人时才足够。 15

正如您会注意到的,我的回答仅表明“美国卫生与公共服务部”所说的......我只是使用了更多人性化的措辞。;)

现在,如果您真的想避免遵守 HIPAA,您所要做的就是确保您的“健康档案”是 100% 匿名的。没有电子邮件,没有真实姓名,没有收集任何潜在的个人身份信息或健康信息……很多。并确保您没有遗漏任何东西!

另一种方法是让自己轻松自在,只需选择符合 HIPAA 的工作方式即可。

如果您想更深入地了解,可以在https://www.cms.gov/hipaageninfo/上找到一些附加信息,您可以查看这些信息。也就是说,除了我上面已经提到的那个链接:http ://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

我认为这个问题也应该在HealthcareIT SE 网站上提出。

我相信只有当您作为医疗保健实体与用户建立关系时,HIPAA 才会变得相关。也就是说,您成为受保实体 (CE)根据您的描述和以下解释,我相信您不需要HIPAA 合规性。

Health and Human Services (HHS) 根据 1996 年健康保险流通和责任法案 (HIPAA) 采用的行政简化标准适用于任何实体

以电子形式进行某些交易的医疗保健提供者(此处称为“承保医疗保健提供者”)。

医疗保健信息交换所。

健康计划。

属于这些类型实体中的一种或多种实体的实体被称为“行政简化条例中的涵盖实体”。

来自医疗保险和医疗补助中心网站除非您正在建立一个网站以在 mHealth 环境中扩展医生服务,或为健康保险提供增值服务,否则您不需要符合 HIPAA。

事实上,我记得与 Microsoft HealthVault 工作人员的一次讨论,他们报告说他们的律师已经确定他们实际上不是受保护的实体。但为了抢先提出这些问题并证明其严肃性,他们转向了 HIPAA 合规性。

第二个问题是,你是商业伙伴(BA)吗?如果您与要求您处理受保护的健康信息的涵盖实体有合同关系,那么您将需要遵守 HIPAA。根据新的 HITECH 规则,对业务伙伴的要求与适用实体的要求基本相似。

其它你可能感兴趣的问题
上一篇安全的 PXE 网络操作系统安装 下一篇是否有相当于 virustotal 的 Web 应用程序防火墙?