Office for Civil Rights (OCR) Kementerian Kesihatan dan Perkhidmatan Manusia (HHS) AS mengeluarkan 725 notis pelanggaran HIPAA pada 2024, memaksimalkan penguatkuasaan kepatuhan Protected Health Information (PHI) dan mengakui penganoniman sebagai kaedah pertahanan yang sah.
PHI: Definisi dan Deteksian
PHI meliputi semua maklumat kesihatan yang boleh dikenal pasti secara langsung atau tidak langsung ke individu, termasuk:
- Pengenal Peribadi: Nama, alamat, nomor identiti sosial, nomor polisi
- Data Kesihatan: Catatan perubatan, diagnosis, ubat-ubatan, hasil ujian makmal
- Maklumat Kewangan: Rekening bank, nombor kad kredit yang digunakan untuk pembayaran kesihatan
- Maklumat Hubungan: Nama pemberi penjaga, maklumat ahli keluarga dalam rekaman kesihatan
Penganoniman PHI: Kaedah OCR-Diakui
OCR mengakui dua kaedah penganoniman PHI:
1. Penyingkiran (Redaksi) — Kaedah Safe Harbor
Penyingkiran semua 18 pengenal yang ditakrifkan dalam Peraturan HIPAA:
- Nama, alamat, nomor identiti sosial, nomor insurans kesihatan
- Tarikh kelahiran, tarikh pembedahan, tarikh rawatan lain
- Umur ≥90 tahun
Ketika semua 18 pengenal telah disepakatan, data dianggap dipenganonimkan dan boleh digunakan tanpa sekatan HIPAA.
2. Penilaian Risiko — Kaedah Alternatif
Organisasi boleh mengekalkan beberapa pengenal jika penilaian risiko menunjukkan bahawa risiko re-identifikasi adalah rendah.
Teknologi Deteksian PHI: Presidio & anonym.legal
OCR mengiktiraf teknologi tertentu untuk deteksian PHI otomati:
- Presidio: Analisa teks untuk mengenal pasti 18 pengenal HIPAA. Ketepatan: ~92-98% bergantung pada teks.
- anonym.legal: Platform penganoniman data dengan enkripsi end-to-end, pengesahan sifar pengetahuan, dan keselarasan HIPAA.
- Alat Lain: De-ID open-source, Macs (komersial), maupun penyelesaian perkhidmatan web.
Penguatkuasaan OCR 2024-2025
OCR telah membuat 725 notis pelanggaran dengan denda kolektif mencapai $6.2 juta untuk pelanggaran HIPAA.