将个人身份信息与健康信息(dx,症状,提供者,支付等)相结合是PHI.以下是对PHI 的更详细讨论.PII可以包括各种各样的东西
在保护PHI方面,HIPAA没有规定它.这是HIPAA的主要问题之一,也是HITRUST在业界流行的原因.从安全角度来看,您的推理很有意义,但最终安全性与合规性不同.
在催化我们经历过2个HIPAA审计和1 HITRUST审计/评估,全部采用第三方审核员.我们构建了我们的API,以便按照您描述的方式对PII和健康数据进行分段.我们的审计员同意Ollie的意见,即分割是不必要的,但认为这是减少PHI违规风险的另一种方法.在一天结束时,我们将平台上的所有数据视为PHI并相应地对其进行保护,因此对我们而言,这不是为了符合要求而对数据进行分段的问题.在我们的最终审计报告中,从健康数据中分割PII并未解决HIPAA的具体要求,但确实提到了我们整体安全态势的一部分.
希望有所帮助!