Una guía práctica de Comprensión de la información médica protegida (PHI)

Esta guía explica Comprensión de la información médica protegida (PHI) de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

La información de salud protegida, o PHI, es información de salud que identifica a una persona o que podría usarse razonablemente para identificarla cuando es creada, recibida, mantenida o transmitida por una entidad cubierta por HIPAA o un socio comercial. Esa definición es importante porque los sitios web de atención médica, los portales de pacientes y las herramientas de análisis pueden crear PHI en lugares que los equipos no esperan.

Este artículo no es un consejo legal, pero brinda a los equipos de productos, marketing y análisis una forma práctica de pensar en el riesgo HIPAA.

¿A quién se aplica HIPAA?

HIPAA se aplica a entidades cubiertas y socios comerciales. Las entidades cubiertas incluyen planes de salud, cámaras de compensación de atención médica y proveedores de atención médica que realizan ciertas transacciones electrónicas. Los socios comerciales son proveedores o socios que crean, reciben, mantienen o transmiten PHI en nombre de entidades cubiertas.

Es posible que un blog de bienestar general no sea una entidad cubierta. Un hospital, clínica, proveedor de telesalud, aseguradora o proveedor que maneje datos de pacientes para una de esas organizaciones probablemente tenga obligaciones HIPAA.

Qué hace que la información sea PHI

La información se convierte en PHI cuando se unen tres elementos:

1. Se relaciona con la salud, la prestación de atención médica o el pago de la atención médica.
2. Identifica a la persona o podría identificarla razonablemente.
3. Es mantenido o transmitido por una entidad cubierta o un socio comercial.

Un código de diagnóstico en un registro hospitalario es PHI. Una dirección de correo electrónico enviada a través de un formulario de cita clínica puede ser PHI. Una dirección IP combinada con la actividad del portal autenticada puede ser PHI. El contexto importa.

Los 18 identificadores HIPAA

El puerto seguro de desidentificación de HIPAA requiere la eliminación de 18 identificadores, incluidos nombres, detalles geográficos más pequeños que el estado, fechas relacionadas con un individuo, números de teléfono, direcciones de correo electrónico, números de Seguro Social, números de registros médicos, números de beneficiarios de planes de salud, números de cuenta, números de certificado o licencia, identificadores de vehículos, identificadores de dispositivos, URL, direcciones IP, identificadores biométricos, fotografías de rostro completo y cualquier otro número o característica de identificación única.

Eliminar los nombres obvios no es suficiente. Las URL, las direcciones IP, los identificadores de dispositivos y los números de cuenta son especialmente relevantes para los equipos de análisis.

Tecnologías de seguimiento en línea

HHS OCR ha publicado una guía sobre las tecnologías de seguimiento en línea utilizadas por las entidades reguladas por HIPAA. La página actual del HHS señala que un tribunal federal anuló parte de la guía en la medida en que decía que las obligaciones HIPAA se activan cuando una tecnología en línea conecta una dirección IP con una visita a una página web pública no autenticada sobre condiciones de salud o proveedores. El HHS dice que está evaluando los próximos pasos, mientras que el boletín continúa destacando las obligaciones HIPAA para las entidades reguladas que utilizan tecnologías de seguimiento (Guía sobre tecnologías de seguimiento OCR del HHS).

El matiz importa. No simplifique demasiado la regla, ya que "cada vista de página de salud es siempre PHI". Pero tampoco asuma que los análisis son seguros, especialmente en páginas autenticadas, flujos de citas, portales de pacientes o páginas donde los usuarios brindan información relacionada con la salud.

Escenarios de riesgo de análisis

Los patrones de análisis de alto riesgo incluyen:

• Seguimiento de las páginas del portal de pacientes con análisis de terceros
• Envío de campos de formulario de cita a eventos de análisis
• Grabación de la repetición de la sesión en los formularios de admisión.
• Uso de píxeles publicitarios en páginas de condición o tratamiento
• Envío de URL completas con ID de pacientes, tokens o consultas de búsqueda
• Reorientar a los visitantes que vieron contenido de salud sensible
• Compartir eventos de conversión con plataformas publicitarias sin un acuerdo compatible

Incluso si un proveedor firma un acuerdo de procesamiento de datos estándar, HIPAA puede requerir un acuerdo de socio comercial. Muchos proveedores de publicidad y análisis no firmarán BAA para ciertos productos.

Medición más segura para sitios de atención médica

Las organizaciones sanitarias deberían separar los análisis de la educación pública de los sistemas de datos de los pacientes. Para páginas públicas, utilice análisis agregados que prioricen la privacidad sin identificadores persistentes siempre que sea posible. Para los portales autenticados, sea extremadamente conservador: registre los eventos operativos internamente, limite el acceso, evite scripts de terceros e involucre a los equipos de privacidad y seguridad antes de agregar cualquier seguimiento.

No envíe PHI a herramientas de análisis a menos que el proveedor esté autorizado, el uso esté permitido y existan los acuerdos y salvaguardas adecuados.

Lista de verificación práctica

Antes de implementar análisis en un sitio de atención médica, pregunte:

• ¿Somos una entidad cubierta o un socio comercial?
• ¿La página está autenticada o no autenticada?
• ¿La URL de la página, el título, la consulta de búsqueda o el evento podrían revelar información de salud?
• ¿Se recopilan identificadores como dirección IP, ID de cookie, ID de cuenta o ID de dispositivo?
• ¿El proveedor firma un BAA para este producto y uso exacto?
• ¿Están desactivadas las funciones publicitarias, el remarketing y el intercambio de datos?
• ¿Los formularios, portales y flujos de citas están excluidos de los scripts de terceros?
• ¿Son apropiados los controles de retención y acceso?

Lista de verificación de revisión de análisis de atención médica

Separe la medición de la educación pública de los flujos de trabajo autenticados, de citas, de portal, de admisión, de pagos, de condiciones específicas y autenticados. La guía de seguimiento del HHS sigue teniendo matices después del litigio, por lo que no afirme que cada visita a la página de salud pública es automáticamente PHI; evaluar el contexto de la página, los identificadores, las acciones del usuario y el rol HIPAA de la organización.

Antes de enviar una etiqueta de atención médica, confirme si el proveedor puede recibir PHI, si firma un BAA para ese producto y uso exacto, qué identificadores se recopilan, durante cuánto tiempo se conservan los datos sin procesar y quién puede acceder a ellos. Mantenga las cargas útiles de análisis libres de nombres, correos electrónicos, números de pacientes o registros, detalles de citas, textos de formularios, cadenas de consultas confidenciales e identificadores que puedan vincular a un visitante con la atención.

La conclusión

PHI no se limita a cuadros médicos. En los sistemas digitales, los identificadores y el contexto sanitario pueden combinarse rápidamente. Los equipos de análisis deben tratar la medición de la atención sanitaria como un caso de uso de alta sensibilidad y, por defecto, minimizar los datos.

Para muchos sitios web de atención médica, el enfoque de análisis más seguro es la medición agregada, sin cookies, de primera mano para el contenido público y sin seguimiento de terceros en flujos de trabajo de salud autenticados o transaccionales.

La desidentificación no es un atajo para el análisis sin procesar

HIPAA permite la desidentificación a través de puerto seguro o determinación de expertos, pero el análisis web sin procesar rara vez comienza con la desidentificación. Las direcciones IP, URL, ID de dispositivos, marcas de tiempo e identificadores de cuentas pueden estar presentes antes de cualquier agregación. Si una organización de atención médica quiere informes analíticos que ya no sean PHI, la desidentificación debe ocurrir antes de compartirlos ampliamente, no como una suposición después de la recopilación.

Para informes prácticos, agregue temprano. Informe los recuentos por categoría de página, campaña o tipo de dispositivo en lugar de exponer datos a nivel de evento. Tenga en cuenta la supresión de células pequeñas cuando un informe pueda identificar a un paciente por su singularidad.

No olvide los deberes de las reglas de seguridad

Si los datos analíticos son electrónicos PHI, la regla de seguridad HIPAA cobra relevancia. Eso significa controles de acceso, controles de auditoría, salvaguardas de integridad, seguridad de transmisión y análisis de riesgos. Los equipos de marketing no deberían ser los únicos dueños de las decisiones de análisis de atención médica; Los equipos de seguridad y cumplimiento necesitan visibilidad antes de que las herramientas entren en funcionamiento.