入力された患者の診断に基づいて健康に関する推奨事項のレポートを生成するアプリケーションを作成していると仮定します。
私のアプリケーションは、患者に関する識別情報を受け取りません。一意の患者ID(「Patient#123456」など)と患者の診断(「Heart rate 80 BPM」など)のみを受け取ります。
私のアプリケーションが出力するレポートには、その一意の識別子、診断、および健康に関する推奨事項のみが含まれています(たとえば、「患者#123456のナトリウムレベルは10億mEq/Lでした。患者は減塩することをお勧めします」)。
PDFは開発が難しいため、これらのレポートをPDFとして生成することは避けたいです。私はむしろ印刷に適したHTML/CSS Webページを生成したいのですが、ユーザーは必要に応じてPDFに印刷/エクスポートできます。すべてのユーザーが最新のデスクトップWebブラウザを使用していると想定-IE8外れ値はありません。)
PDFではなく、静的なWebページとしてレポートを配信することの規制上の懸念(ある場合)は何ですか?これらをどうにかして軽減できますか?
はい、HTMLベースのレポートはHIPAAに準拠しています。
レポートが提示される形式は、コンプライアンスに大きな影響を与えません。レポートを生成しているシステムの動作に焦点を当てる必要があります。
かもね。ただし、HIPAAでは、一意の識別子はPHIと見なされます。特にいくつかの例外があります。
(c)実装仕様:再識別。対象となる事業体は、このセクションの下で匿名化された情報を対象となる事業体が再特定できるように、コードまたはその他の記録識別手段を割り当てることができます。ただし、次の条件が満たされます。コードまたはレコードを識別するその他の手段は、個人に関する情報に由来または関連するものではなく、個人を識別するために翻訳することはできません。 (2)セキュリティ。対象となる事業体は、その他の目的でコードまたはその他の記録識別手段を使用または開示せず、再識別のメカニズムを開示しません。
最終的に、作成した一意のIDをある時点で患者に再識別する必要があると思います。そのため、PHIになります。 https://datica.com/platform/などのプラットフォームにアプリケーションをデプロイすることで、HIPAAに必要なコンプライアンスの多くを管理できます。
*開示:私はダチカで働いています。 *