Las plataformas de mensajería como Skype son una forma eficiente de comunicarse entre individuos y grupos, pero las organizaciones de atención médica solo deben usar plataformas de comunicación para discutir información relacionada con pacientes que cumplan con HIPAA. En esta publicación, exploramos si Skype cumple con la HIPAA y si las organizaciones de atención médica pueden usarlo para comunicar información médica protegida electrónica (ePHI) sin violar las Reglas de la HIPAA.
¿Microsoft es Socio Comercial de HIPAA?
Con respecto a Skype, ¿Microsoft, el proveedor de la plataforma, es un socio comercial? Skype podría considerarse como una excepción bajo la Regla del Conducto HIPAA en el sentido de que es simplemente un conducto a través del cual pasa la información. Si ese fuera el caso, no sería necesario un acuerdo de asociado comercial. Sin embargo, la OCR ha emitido una guía que confirma que la regla de conductos de la HIPAA no se aplica típicamente a los proveedores de software como servicio y que se consideran socios comerciales según la HIPAA. Por lo tanto, se requiere un acuerdo de socio comercial antes de poder usar Skype para comunicar ePHI.
Microsoft firmará un acuerdo de asociado comercial compatible con HIPAA con entidades cubiertas para Office 365, y Skype empresarial puede incluirse en ese acuerdo. Si se ha obtenido un acuerdo de asociado comercial de Microsoft, las entidades cubiertas por HIPAA deben comprobarlo cuidadosamente para asegurarse de que incorpora Skype empresarial. Microsoft ha declarado anteriormente que no todos los BAA son idénticos.
Cumplimiento de HIPAA y Skype: Controles de cifrado, acceso y auditoría
HIPAA no exige el uso de cifrado para ePHI. El cifrado es un aspecto abordable del cumplimiento de la HIPAA. Si no se utiliza cifrado, se requiere implementar una protección alternativa equivalente en su lugar. Con Skype, los mensajes se cifran con cifrado AES de 256 bits; por lo tanto, se cumple este aspecto del cumplimiento de HIPAA.
Sin embargo, Skype no necesariamente hace copias de seguridad de los mensajes (y ePHI) enviados a través de la plataforma, y tampoco mantiene un seguimiento de auditoría compatible con HIPAA de forma predeterminada. Además, la plataforma de Skype debe configurarse para que los usuarios se desconecten automáticamente del sistema después de un período de inactividad. Skype Empresarial se puede hacer compatible con HIPAA si se compra el paquete Enterprise E3 o E5. Estos paquetes incluyen la capacidad de establecer un archivo que almacena todas las comunicaciones necesarias para el cumplimiento de HIPAA.
¿Puede considerarse Skype una Plataforma de Comunicaciones Compatible con HIPAA?
¿Skype puede considerarse compatible con HIPAA? Si se compra el paquete Enterprise E3 o E5 y se firma un acuerdo de asociado comercial con Microsoft que cubre el uso de Skype empresarial, Skype puede ser compatible con HIPAA.
Todos los empleados que usan Skype deben ser informados de cómo se puede usar la plataforma y de sus responsabilidades en virtud de la HIPAA. La plataforma debe configurarse para mantener una pista de auditoría, la configuración de seguridad debe configurarse adecuadamente, se deben crear inicios de sesión individuales para cada usuario y se deben crear y mantener copias de seguridad.
Incluso con un BAA y el paquete adecuado, todavía existe la posibilidad de que se violen las reglas de HIPAA mediante Skype empresarial. Dado que hay muchas opciones de mensajes de texto seguros disponibles para las entidades cubiertas que han sido creadas a propósito para su uso por el sector de la salud y para cumplir con los requisitos de HIPAA, pueden resultar una mejor opción. Con esas plataformas, el cumplimiento de la HIPAA se hace mucho más fácil y es mucho más difícil violar por error las Reglas y Regulaciones de la HIPAA.
