platformy pro zasílání zpráv, jako je Skype, jsou účinným způsobem komunikace mezi jednotlivci a skupinami, ale zdravotnické organizace musí používat komunikační platformy pouze k diskusi o informacích týkajících se pacientů, kteří jsou v souladu s HIPAA. V tomto příspěvku zkoumáme, zda je Skype kompatibilní s HIPAA a zda jej mohou zdravotnické organizace používat ke komunikaci elektronických chráněných zdravotních informací (ePHI) bez porušení pravidel HIPAA.
je Microsoft HIPAA obchodní partner?
pokud jde o Skype, je společnost Microsoft-poskytovatel platformy – obchodním společníkem? Skype lze považovat za výjimku podle pravidla HIPAA Conduit v tom smyslu, že se jedná pouze o kanál, kterým procházejí informace. Pokud by tomu tak bylo, dohoda o obchodním partnerovi by nebyla nutná. Společnost OCR však vydala pokyny, které potvrzují, že pravidlo HIPAA conduit se obvykle nevztahuje na poskytovatele softwaru jako služby a že jsou považováni za obchodní partnery podle HIPAA. Než bude možné Skype použít ke komunikaci ePHI, je proto nutná dohoda o obchodním partnerovi.
společnost Microsoft podepíše s krytými subjekty pro Office 365 dohodu o přidružení v souladu s HIPAA a společnost Skype for Business může být do této smlouvy zahrnuta. Pokud byla od společnosti Microsoft získána dohoda o obchodním partnerovi, musí ji subjekty, na které se vztahuje HIPAA, pečlivě zkontrolovat, aby se zajistilo, že zahrnuje Skype for Business. Microsoft již dříve uvedl, že ne všechny Baa jsou totožné.
HIPAA Compliance a Skype: Kontroly šifrování, přístupu a auditu
HIPAA nevyžaduje použití šifrování pro ePHI. Šifrování je adresovatelný aspekt dodržování HIPAA. Není-li použito šifrování, je třeba místo toho zavést alternativní, rovnocennou ochranu. U Skype jsou zprávy šifrovány pomocí 256bitového šifrování AES; proto je tento aspekt dodržování HIPAA splněn.
Skype však nemusí nutně zálohovat zprávy (a ePHI) odeslané prostřednictvím platformy a ani ve výchozím nastavení nezachovává auditní stopu kompatibilní s HIPAA. Kromě toho musí být platforma Skype nakonfigurována tak, aby po určité době nečinnosti automaticky odhlásila uživatele ze systému. Skype for Business může být kompatibilní s HIPAA, pokud je zakoupen balíček Enterprise E3 nebo E5. Tyto balíčky zahrnují schopnost vytvořit archiv, který ukládá veškerou komunikaci, která je nezbytná pro dodržování HIPAA.
lze Skype považovat za komunikační platformu kompatibilní s HIPAA?
lze Skype považovat za vyhovující HIPAA? Pokud je zakoupen balíček Enterprise E3 nebo E5 a je podepsána smlouva o obchodním přidružení se společností Microsoft, která se vztahuje na používání Skype for Business, Skype může být kompatibilní s HIPAA.
všichni zaměstnanci, kteří používají Skype, musí být informováni o tom, jak lze platformu používat, a o svých odpovědnostech podle HIPAA. Platforma musí být nakonfigurována tak, aby udržovala auditní stopu, nastavení zabezpečení musí být vhodně nakonfigurováno, pro každého uživatele by měla být vytvořena jednotlivá přihlášení a musí být vytvořeny a udržovány zálohy.
i s BAA a správným balíčkem stále existuje potenciál pro porušení pravidel HIPAA pomocí Skype for Business. Vzhledem k tomu, že krytým subjektům je k dispozici mnoho bezpečných možností textových zpráv, které byly záměrně vytvořeny pro použití ve zdravotnictví a pro splnění požadavků HIPAA, mohou se ukázat jako lepší volba. S těmito platformami je dodržování HIPAA mnohem snazší a je mnohem těžší mylně porušovat pravidla a předpisy HIPAA.