Messaging-Plattformen wie Skype sind eine effiziente Art der Kommunikation zwischen Einzelpersonen und Gruppen, aber Organisationen im Gesundheitswesen dürfen nur Kommunikationsplattformen verwenden, um Informationen über Patienten zu diskutieren, die HIPAA-konform sind. In diesem Beitrag untersuchen wir, ob Skype HIPAA-konform ist und ob es von Gesundheitsorganisationen verwendet werden kann, um elektronisch geschützte Gesundheitsinformationen (ePHI) zu kommunizieren, ohne gegen die HIPAA-Regeln zu verstoßen.
Ist Microsoft ein HIPAA-Geschäftspartner?
Ist Microsoft – der Anbieter der Plattform – in Bezug auf Skype ein Geschäftspartner? Skype könnte als Ausnahme unter der HIPAA-Leitungsregel in dem Sinne angesehen werden, dass es lediglich eine Leitung ist, durch die Informationen geleitet werden. Wenn dies der Fall wäre, wäre eine Geschäftspartnervereinbarung nicht erforderlich. OCR hat jedoch Leitlinien herausgegeben, die bestätigen, dass die HIPAA-Conduit-Regel normalerweise nicht für Software-as-a-Service-Anbieter gilt und dass sie gemäß HIPAA als Geschäftspartner gelten. Eine Business Associate-Vereinbarung ist daher erforderlich, bevor Skype für die Kommunikation mit ePHI verwendet werden kann.
Microsoft wird eine HIPAA-konforme Business Associate-Vereinbarung mit abgedeckten Unternehmen für Office 365 unterzeichnen, und Skype for Business kann in diese Vereinbarung aufgenommen werden. Wenn ein Business Associate Agreement von Microsoft erhalten wurde, müssen HIPAA-abgedeckte Unternehmen es sorgfältig prüfen, um sicherzustellen, dass es Skype for Business enthält. Microsoft hat bereits erklärt, dass nicht alle BaaS identisch sind.
HIPAA-Konformität und Skype: Verschlüsselung, Zugriff und Audit-Kontrollen
HIPAA verlangt nicht die Verwendung von Verschlüsselung für ePHI. Verschlüsselung ist ein adressierbarer Aspekt der HIPAA-Compliance. Wenn keine Verschlüsselung verwendet wird, muss stattdessen ein alternativer, gleichwertiger Schutz implementiert werden. Mit Skype werden Nachrichten mit AES 256-Bit-Verschlüsselung verschlüsselt; Daher ist dieser Aspekt der HIPAA-Konformität erfüllt.
Skype sichert jedoch nicht unbedingt Nachrichten (und ePHI), die über die Plattform gesendet werden, und führt standardmäßig auch keinen HIPAA-konformen Prüfpfad. Darüber hinaus muss die Skype-Plattform so konfiguriert sein, dass Benutzer nach einer Zeit der Inaktivität automatisch vom System abgemeldet werden. Skype for Business kann HIPAA-konform gemacht werden, wenn das Enterprise E3- oder E5-Paket gekauft wird. Diese Pakete enthalten die Möglichkeit, ein Archiv einzurichten, in dem alle für die HIPAA-Konformität erforderlichen Kommunikationen gespeichert sind.
Kann Skype als HIPAA-konforme Kommunikationsplattform angesehen werden?
Kann Skype als HIPAA-konform angesehen werden? Wenn das Enterprise E3- oder E5-Paket erworben und ein Business Associate Agreement mit Microsoft unterzeichnet wird, das die Verwendung von Skype for Business abdeckt, kann Skype HIPAA-konform gemacht werden.
Alle Mitarbeiter, die Skype nutzen, müssen darüber informiert werden, wie die Plattform genutzt werden kann und welche Verantwortung sie gemäß HIPAA tragen. Die Plattform muss so konfiguriert sein, dass ein Audit-Trail verwaltet wird, die Sicherheitseinstellungen müssen entsprechend konfiguriert werden, für jeden Benutzer sollten individuelle Anmeldungen erstellt und Sicherungen erstellt und verwaltet werden.
Selbst mit einer BAA und dem richtigen Paket besteht immer noch die Möglichkeit, dass HIPAA-Regeln mit Skype for Business verletzt werden. Da es viele sichere SMS-Optionen für abgedeckte Unternehmen gibt, die speziell für den Einsatz im Gesundheitswesen und zur Erfüllung der HIPAA-Anforderungen entwickelt wurden, können sie sich als bessere Option erweisen. Mit diesen Plattformen wird die HIPAA-Compliance viel einfacher und es ist weitaus schwieriger, fälschlicherweise gegen HIPAA-Regeln und -Vorschriften zu verstoßen.