Meddelelsesplatforme som Skype er en effektiv måde at kommunikere mellem enkeltpersoner og grupper på, men sundhedsorganisationer må kun bruge kommunikationsplatforme til at diskutere information om patienter, der er kompatible med HIPAA. I dette indlæg undersøger vi, om Skype er HIPAA-kompatibelt, og om det kan bruges af sundhedsorganisationer til at kommunikere elektronisk beskyttet sundhedsinformation (ePHI) uden at overtræde HIPAA-reglerne.
er Microsoft en HIPAA forretningsforbindelse?
med hensyn til Skype, er Microsoft – udbyderen af platformen – en forretningsforbindelse? Skype kunne betragtes som en undtagelse under HIPAA-Kanalreglen i den forstand, at det kun er en kanal, gennem hvilken information passerer. Hvis det var tilfældet, ville en forretningsaftale ikke være nødvendig. OCR har dog udstedt vejledning, der bekræfter, at HIPAA conduit-reglen typisk ikke gælder for udbydere af programmel som en tjeneste, og at de betragtes som forretningsforbindelser under HIPAA. Der kræves derfor en forretningsforbindelsesaftale, før Skype kan bruges til at kommunikere ePHI.
Microsoft underskriver en HIPAA-kompatibel business associate-aftale med dækkede enheder til Office 365, og Skype for Business kan være inkluderet i den pågældende aftale. Hvis der er opnået en business associate-aftale fra Microsoft, skal HIPAA-dækkede enheder kontrollere den omhyggeligt for at sikre, at den indeholder Skype for Business. Microsoft har tidligere udtalt, at ikke alle BAA ‘ er er identiske.
HIPAA Compliance og Skype: Kryptering, adgang og revisionskontrol
HIPAA kræver ikke brug af kryptering til ePHI. Kryptering er et adresserbart aspekt af HIPAA-overholdelse. Hvis kryptering ikke anvendes, skal der i stedet implementeres en alternativ, tilsvarende beskyttelse. Med Skype krypteres meddelelser ved hjælp af AES 256-bit kryptering; derfor er dette aspekt af HIPAA-overholdelse opfyldt.
Skype sikkerhedskopierer dog ikke nødvendigvis meddelelser (og ePHI), der sendes via platformen, og det holder heller ikke et HIPAA-kompatibelt revisionsspor som standard. Desuden skal Skype-platformen konfigureres til automatisk at logge brugere ud af systemet efter en periode med inaktivitet. Skype for Business kan gøres HIPAA-kompatibel, hvis Enterprise E3-eller E5-pakken er købt. Disse pakker inkluderer muligheden for at oprette et arkiv, der gemmer al kommunikation, der er nødvendig for HIPAA-overholdelse.
kan Skype betragtes som en HIPAA-kompatibel kommunikationsplatform?
kan Skype betragtes som HIPAA-kompatibel? Hvis Enterprise E3-eller E5-pakken er købt, og en business associate-aftale er underskrevet med Microsoft, der dækker brugen af Skype for Business, kan Skype gøres HIPAA-kompatibel.
alle medarbejdere, der bruger Skype, skal gøres opmærksomme på, hvordan platformen kan bruges, og deres ansvar under HIPAA. Platformen skal konfigureres til at opretholde et revisionsspor, sikkerhedsindstillinger skal konfigureres korrekt, individuelle logins skal oprettes for hver bruger, og sikkerhedskopier skal oprettes og vedligeholdes.
selv med en BAA og den rigtige pakke er der stadig potentiale for, at HIPAA-regler overtrædes ved hjælp af Skype for Business. Da der er mange sikre SMS-muligheder til rådighed for dækkede enheder, der med vilje er oprettet til brug af sundhedssektoren og for at imødekomme HIPAA-krav, kan de vise sig at være en bedre mulighed. Med disse platforme gøres HIPAA-overholdelse meget lettere, og det er langt sværere at fejlagtigt overtræde HIPAA-regler og-regler.