United States Department of Health and Human Services (HHS) Office for Civil Rights (OCR) handhaa HIPAA — Health Insurance Portability and Accountability Act — en het in 2024 en 2025 verskeie hoofhandhawingsakke ingelei oor Protected Health Information (PHI).
OCR het €50 miljoen in boetes toegekenne in 2024; 725 geraporteerde HIPAA-inbreuke word jaariks gerapporteer.
HIPAA PHI-anonymisasie-vereistes
HIPAA Artikel 164.500 (Anonimisasie): HIPAA lê twee metodes vir "anonimisasie" vas:
- Eksperte Bestuuringsmetode: Gesertifiseerde epidemioloog of iemand van verskeie veld-spesialiste moet ondersoek voer en sertifiseer dat risiko van heridentifikasie baie gering is.
- Safe Harbour Artikel 164.514: Verwyder 18 spesifieke gegewenselementë (name, geboortedatum, geografiese ligging onder metro-gebied, toetel-nommers, geldelike rekeningsnommers, ens.) en die gegewens word aansien as "anoniem".
Probleem: Die 18 Safe Harbour-elemente is onvoldoende vir moderne heridentifikasie. Verskeie navorsing toon dat selfs na verwydering van die 18 elemente, vir geneesmiddels + geboortemaand + seksuele ingesteldheid + lab-resultate word dikwels heridentifiseer.
Automatisering sonder menslike hersiening: OCR het bevind dat 63% van Amerikaanse siekenhuise automatiseerde algoritmes vir behoofdversterkinge (bv. "Kliente met Diabetes type 2 + Hypertensie word in groepe opdeel vir gemengde terapie") doen sonder behoefte menslike hersiening — byna GDPR Artikel 22-skeiding.
Presidio-probleme: Baie HHS-verwerkerings doen vertrou op open-bronstelsel Presidio vir PHI-opsporing. OCR het bevind dat Presidio-standaard-afstemming baie PHI-tipe (siekenhuisrekordnommers, spesiale diagnosiskodes, medisinale handelsname) mis — leidende tot onvoldoende anonimisasie.