Les plates-formes de messagerie telles que Skype sont un moyen efficace de communiquer entre les individus et les groupes, mais les organisations de soins de santé ne doivent utiliser que des plates-formes de communication pour discuter des informations relatives aux patients conformes à la loi HIPAA. Dans cet article, nous explorons si Skype est conforme à la norme HIPAA et s’il peut être utilisé par les organisations de soins de santé pour communiquer des informations de santé protégées électroniques (ePHI) sans enfreindre les règles HIPAA.
Microsoft est-il un associé HIPAA ?
En ce qui concerne Skype, Microsoft – le fournisseur de la plate–forme – est-il un associé? Skype pourrait être considéré comme une exception en vertu de la règle des conduits HIPAA dans le sens où il s’agit simplement d’un conduit par lequel les informations passent. Si tel était le cas, un contrat d’associé ne serait pas nécessaire. Cependant, l’OCR a publié des directives qui confirment que la règle du conduit HIPAA ne s’applique généralement pas aux fournisseurs de logiciels en tant que service et qu’ils sont considérés comme des associés commerciaux en vertu de la HIPAA. Un contrat d’associé commercial est donc requis avant que Skype puisse être utilisé pour communiquer avec ePHI.
Microsoft signera un contrat d’associé commercial conforme à la norme HIPAA avec les entités couvertes pour Office 365, et Skype Entreprise peut être inclus dans cet accord. Si un contrat d’associé commercial a été obtenu de Microsoft, les entités couvertes par HIPAA doivent le vérifier attentivement pour s’assurer qu’il intègre Skype Entreprise. Microsoft a déjà déclaré que tous les BAAs ne sont pas identiques.
Conformité HIPAA et Skype: Contrôles de chiffrement, d’accès et d’audit
HIPAA n’exige pas l’utilisation du chiffrement pour ePHI. Le chiffrement est un aspect adressable de la conformité HIPAA. Si le chiffrement n’est pas utilisé, une autre protection équivalente doit être mise en œuvre à la place. Avec Skype, les messages sont cryptés à l’aide d’un cryptage AES 256 bits; par conséquent, cet aspect de la conformité HIPAA est satisfait.
Cependant, Skype ne sauvegarde pas nécessairement les messages (et ePHI) envoyés via la plate-forme, et ne conserve pas non plus une piste d’audit conforme à la norme HIPAA par défaut. De plus, la plate-forme Skype doit être configurée pour déconnecter automatiquement les utilisateurs du système après une période d’inactivité. Skype Entreprise peut être rendu conforme à la norme HIPAA si le package Enterprise E3 ou E5 est acheté. Ces packages incluent la possibilité d’établir une archive qui stocke toutes les communications nécessaires à la conformité HIPAA.
Skype peut-il être considéré comme une plate-forme de communication conforme à la norme HIPAA ?
Skype peut-il être considéré comme conforme à la norme HIPAA ? Si le package Enterprise E3 ou E5 est acheté et qu’un contrat d’associé commercial est signé avec Microsoft qui couvre l’utilisation de Skype Entreprise, Skype peut être rendu conforme à la norme HIPAA.
Tous les employés qui utilisent Skype doivent être informés de la façon dont la plateforme peut être utilisée et de leurs responsabilités en vertu de la loi HIPAA. La plate-forme doit être configurée pour maintenir une piste d’audit, les paramètres de sécurité doivent être configurés de manière appropriée, des connexions individuelles doivent être créées pour chaque utilisateur et des sauvegardes doivent être créées et maintenues.
Même avec un BAA et le package approprié, il est toujours possible que les règles HIPAA soient enfreintes à l’aide de Skype Entreprise. Étant donné qu’il existe de nombreuses options de messagerie texte sécurisées disponibles pour les entités couvertes qui ont été créées à dessein pour être utilisées par le secteur de la santé et pour répondre aux exigences de la HIPAA, elles peuvent s’avérer être une meilleure option. Avec ces plateformes, la conformité HIPAA est beaucoup plus facile et il est beaucoup plus difficile de violer par erreur les règles et réglementations HIPAA.