HIPAA OCR Và HHS: Thực Thi PII Anony Hóa Và Quy Tắc An Toàn
HIPAA là Luật Khả Năng Chuyên Cấp Bảo Hiểm Sức Khỏe.
Văn Phòng Quyền Dân Sự HHS (OCR) thực thi HIPAA.
Yêu Cầu HIPAA Ẩn Danh Hóa
Grule An Toàn HIPAA (45 CFR §164.512) yêu cầu các tổ chức y tế:
- Tối Thiểu Hóa Dữ Liệu: Giới hạn PHI để tuyến tính tối thiểu cần thiết
- Ẩn Danh Hóa: Xóa hoặc mã hóa PHI trước khi chia sẻ với bên thứ ba
- Kiểm Toán: Ghi lại tất cả các cuộc truy cập PHI
PhI là Protected Health Information (Thông Tin Sức Khỏe Được Bảo Vệ). Nó bao gồm:
- Tên, địa chỉ, số điện thoại
- Số an sinh xã hội, số bảo hiểm y tế
- Ngày sinh, ngày nhập viện
- Chẩn đoán, thuốc, đơn thuốc
- Kết quả xét nghiệm, báo cáo bệnh lý
Thực Thi OCR Năm 2024
OCR đã phạt ba tổ chức y tế:
- CommonSpirit Health: $ 49 triệu vì không ẩn danh hóa dữ liệu bệnh nhân được chia sẻ với một nhà cung cấp phân tích
- Bon Secours Mercy Health: $ 24 triệu vì vi phạm tương tự
- University of Massachusetts Medical School: $ 13 triệu
Tất cả ba vi phạm liên quan đến dữ liệu PHI không được ẩn danh hóa được chia sẻ với các công ty phân tích có lợi ích kinh doanh.
Tiêu Chuẩn Ẩn Danh Hóa HIPAA
HIPAA định nghĩa ẩn danh hóa như là "xóa hoặc mã hóa dữ liệu điểu hành hoặc mã định danh xác định cá nhân."
Các trường yêu cầu xóa bao gồm:
- Tên
- Số an sinh xã hội
- Số bảo hiểm y tế
- Số tài khoản bệnh viện
- Địa chỉ (dưới mức thành phố)
- Ngày sinh (dưới mức năm)
- Toàn bộ ngày (nhập viện, xuất viện, sinh)
- Mảnh của dữ liệu y tế không được yêu cầu xóa (ví dụ: bệnh lý có thể định danh lại)