我们使用 GUID 在内部识别系统中的患者。我正在与我们的监管人员就这些标识符是否可以用于 REST 调用的查询字符串进行辩论。
他们声称任何患者标识符一旦暴露在系统之外就会变成 PHI。我认为,为了将此标识符映射到 PHI,您要么需要访问数据存储,要么需要有效登录系统并且访问控制到位。
对于无法访问数据存储且没有有效登录的各方,无法检索 PHI(除非存在安全漏洞)。
有人对此有经验吗?内部使用的标识符是否在 HIPAA 下被视为 PHI?任何人都可以指出法律中的适当部分吗?
在 HIPAA 下,内部患者标识符是否被视为 PHI?
信息安全
合法的
遵守
希帕
鉴别
2021-08-23 00:25:50
1个回答
PHI 意味着拥有与任何类型的临床数据相关联的任何识别信息——例如诊断、CPT 代码等。
因此,内部患者标识符本身不被视为 PHI。发布简单的内部标识符并不违反,也不违反我所知道的任何 HIPAA 法规。
一旦非授权方可以使用该标识符来识别相关人员;那么我们有一个问题。
但是,最佳实践将要求您以与数据库中其他数据相同的方式保护这些标识符。在某些时候,HIPAA 法规可能会发生变化,从而不赞成这种做法。我要么确保 REST 查询来自安全、受信任的系统;要么 或寻找另一种方式来查询此信息,以避免以后的合规问题。
您可以在此处阅读我正在解释的部分的全文: https ://www.hipaa.com/hipaa-protected-health-information-what-does-phi-include/
其它你可能感兴趣的问题