Viestialustat, kuten Skype, ovat tehokas tapa kommunikoida yksilöiden ja ryhmien välillä, mutta terveydenhuollon organisaatioiden on käytettävä viestintäalustoja keskustellakseen potilaista, jotka ovat HIPAA: n mukaisia. Tässä viestissä selvitämme, onko Skype HIPAA-yhteensopiva ja voivatko terveydenhuollon organisaatiot käyttää sitä elektronisten suojattujen terveystietojen (ephi) välittämiseen HIPAA-sääntöjä rikkomatta.
onko Microsoft HIPAA liikekumppani?
onko Microsoft – alustan tarjoaja – liikekumppani Skypen suhteen? Skypeä voitaisiin pitää poikkeuksena HIPAA Conduit-säännössä siinä mielessä, että se on vain kanava, jonka kautta tieto kulkee. Jos näin olisi, liikekumppanuussopimusta ei tarvittaisi. OCR on kuitenkin antanut ohjeita, jotka vahvistavat, että HIPAA conduit-sääntö ei yleensä koske ohjelmistopalvelujen tarjoajia, ja että heitä pidetään HIPAA: ssa liikekumppaneina. Tämän vuoksi tarvitaan liikekumppanuussopimus, ennen kuin Skypeä voidaan käyttää ePHI: n viestintään.
Microsoft allekirjoittaa HIPAA-yhteensopivan business associate-sopimuksen Office 365: n piiriin kuuluvien yhteisöjen kanssa, ja Skype for Business voidaan sisällyttää kyseiseen sopimukseen. Jos Microsoftilta on saatu liikekumppanuussopimus, HIPAA: n piiriin kuuluvien tahojen on tarkistettava se huolellisesti varmistaakseen, että se sisältää Skype for Business-ohjelman. Microsoft on aiemmin todennut, etteivät kaikki Baasit ole identtisiä.
HIPAA-Vaatimustenmukaisuus ja Skype: Salaus, pääsy ja auditointi
HIPAA ei vaadi ephi: n salauksen käyttöä. Salaus on osoitettavissa HIPAA: n noudattamisessa. Jos salausta ei käytetä, sen sijaan on toteutettava vaihtoehtoinen, vastaava suojaus. Skypessä viestit salataan AES 256-bittisellä salauksella, joten tämä HIPAA-vaatimustenmukaisuuden näkökohta on täytetty.
Skype ei kuitenkaan välttämättä varmuuskopioi alustan kautta lähetettyjä viestejä (ja ePHI-viestejä), eikä se myöskään pidä oletuksena HIPAA-yhteensopivaa kirjausketjua. Lisäksi Skype-alusta on konfiguroitava kirjaamaan käyttäjät automaattisesti ulos järjestelmästä käyttämättömyyden jälkeen. Skype for Business voidaan tehdä HIPAA-yhteensopivaksi, jos yritys E3 tai E5-paketti ostetaan. Näihin paketteihin sisältyy mahdollisuus perustaa arkisto, joka tallentaa kaiken HIPAA-vaatimustenmukaisuuden edellyttämän viestinnän.
voidaanko Skypeä pitää HIPAA-yhteensopivana viestintäalustana?
voidaanko Skypeä pitää HIPAA-yhteensopivana? Jos yritys E3 tai E5-paketti ostetaan ja Microsoftin kanssa allekirjoitetaan Business associate-sopimus, joka kattaa Skype for Business-palvelun käytön, Skype voidaan tehdä HIPAA-yhteensopivaksi.
kaikille Skypeä käyttäville työntekijöille on tiedotettava Alustan käytöstä ja heidän velvollisuuksistaan HIPAA: ssa. Alustan on oltava määritetty ylläpitämään kirjausketjua, suojausasetukset on määritettävä asianmukaisesti, kullekin käyttäjälle on luotava yksittäiset kirjautumiset ja varmuuskopiot on luotava ja ylläpidettävä.
vaikka kyseessä olisi BAA ja oikea paketti, HIPAA-sääntöjä voidaan edelleen rikkoa Skype for Business-palvelun avulla. Koska katettujen yksiköiden käytettävissä on monia suojattuja tekstiviestivaihtoehtoja, jotka on tarkoituksella luotu terveydenhuoltoalan käyttöön ja HIPAA-vaatimusten täyttämiseksi, ne voivat osoittautua paremmaksi vaihtoehdoksi. Näillä alustoilla HIPAA-sääntöjen noudattaminen on paljon helpompaa ja HIPAA-sääntöjen ja-määräysten erehdyttäminen on paljon vaikeampaa.