基于HTML的病人报告可以是HIPAA吗？

Question

假设我正在创建一个应用程序，该应用程序根据输入的病人诊断信息生成健康建议报告。

我的申请没有收到关于病人的识别信息。它只接收唯一的病人标识符(例如：“病人#123456")和病人的诊断(例如”心率80BPM“)。

我的应用程序输出的报告只包含唯一的标识符、诊断和健康建议(例如，“病人#123456的钠含量为十亿毫克/升，我们建议病人少吃盐。”

我想避免将这些报告生成为PDF，因为PDF很难开发。我更愿意生成对打印友好的HTML/CSS网页，如果用户愿意的话，我的用户可以打印/导出到PDF。(假设我的所有用户都使用现代桌面web浏览器-没有IE8异常值。)

作为静态网页(而不是PDF)提交报告的监管问题(如果有的话)是什么？我能以某种方式减轻这些问题吗？

Answer 1

是的，基于HTML的报告可以符合HIPAA。

提交报告的格式对遵守情况没有重大影响。生成报告的系统的行为是您应该关注的。

Answer 2

这是可能的。但是要小心，在HIPAA眼中，唯一的标识符被认为是PHI。有几个例外，特别是：

(c)实施规格:重新鉴定。被覆盖实体可以指定代码或其他记录标识手段，以允许根据本节取消标识的信息由被覆盖实体重新识别，条件是：(1)派生。该代码或其他记录识别手段不是从有关个人的信息中派生出来的，也不是与该个人的信息相关的，因此无法翻译以识别该个人；和(2)安全性。被覆盖实体不为任何其他目的使用或披露代码或其他记录识别手段，也不披露重新识别的机制。

我想，你最终需要重新确定你创建的唯一的ID，在某个时候返回给病人。因此，它将成为PHI。您可以通过在像https://datica.com/platform/这样的平台上部署应用程序来管理HIPAA所需的许多遵从性。

*披露:我在Datica工作。*