az olyan üzenetküldő platformok, mint a Skype, hatékony módja az egyének és csoportok közötti kommunikációnak, de az egészségügyi szervezetek csak a HIPAA-nak megfelelő betegekkel kapcsolatos információk megvitatására használhatják a kommunikációs platformokat. Ebben a bejegyzésben megvizsgáljuk, hogy a Skype megfelel-e a HIPAA-nak, és hogy az egészségügyi szervezetek használhatják-e az elektronikus védett egészségügyi információk (ePHI) közlésére a HIPAA szabályainak megsértése nélkül.
a Microsoft a HIPAA üzleti munkatársa?
a Skype tekintetében a Microsoft – a platform szolgáltatója – üzleti partner? A Skype kivételnek tekinthető a HIPAA Conduit szabály abban az értelemben, hogy ez csupán egy csatorna, amelyen keresztül az információ áthalad. Ha ez lenne a helyzet, akkor nem lenne szükség üzleti partneri megállapodásra. Az OCR azonban iránymutatást adott ki, amely megerősíti, hogy a HIPAA conduit szabály általában nem vonatkozik a szoftver-szolgáltatókra, és hogy a HIPAA szerint üzleti partnereknek számítanak. Ezért üzleti partneri megállapodás szükséges ahhoz, hogy a Skype használható legyen az ePHI kommunikációjára.
a Microsoft HIPAA-kompatibilis üzlettársi megállapodást ír alá az Office 365 érintett szervezeteivel, és a Skype Vállalati verzió is szerepelhet a Megállapodásban. Ha a Microsofttól üzleti partneri megállapodást szereztek be, a HIPAA hatálya alá tartozó entitásoknak gondosan ellenőrizniük kell azt, hogy a Skype Vállalati verziót tartalmazza-e. A Microsoft korábban kijelentette, hogy nem minden BAAs azonos.
HIPAA Megfelelőség és Skype:
a HIPAA nem követeli meg az ephi titkosításának használatát. A titkosítás a HIPAA-megfelelés címezhető aspektusa. Ha a titkosítást nem használják, alternatív, egyenértékű védelemre van szükség. A Skype használatával az üzenetek AES 256 bites titkosítással vannak titkosítva; ezért a HIPAA-megfelelés ezen aspektusa teljesül.
a Skype azonban nem feltétlenül készít biztonsági másolatot a platformon keresztül küldött üzenetekről (és ePHI-kről), és alapértelmezés szerint nem vezet HIPAA-kompatibilis ellenőrzési nyomvonalat sem. Ezenkívül a Skype platformot úgy kell konfigurálni, hogy egy inaktivitás után automatikusan kijelentkezzen a rendszerből. A Skype Vállalati verzió HIPAA-kompatibilis lehet, ha az Enterprise E3 vagy E5 csomagot vásárolják. Ezek a csomagok magukban foglalják egy archívum létrehozásának képességét, amely tárolja a HIPAA megfelelőséghez szükséges összes kommunikációt.
a Skype HIPAA-kompatibilis kommunikációs platformnak tekinthető?
a Skype HIPAA-kompatibilis? Ha az Enterprise E3 vagy E5 csomagot megvásárolják, és a Microsofttal üzleti partneri megállapodást írnak alá, amely kiterjed a Skype Vállalati verzió használatára, a Skype HIPAA-kompatibilis lehet.
minden Skype-ot használó alkalmazottat tájékoztatni kell a platform használatáról és a HIPAA szerinti felelősségükről. A platformot úgy kell konfigurálni, hogy fenntartsa az ellenőrzési nyomvonalat, a biztonsági beállításokat megfelelően konfigurálni kell, minden felhasználó számára egyedi bejelentkezéseket kell létrehozni, és biztonsági mentéseket kell létrehozni és karbantartani.
még a BAA-val és a megfelelő csomaggal is fennáll a HIPAA-szabályok megsértésének lehetősége a Skype Vállalati verzió használatával. Mivel számos biztonságos szöveges üzenetküldési lehetőség áll rendelkezésre az érintett szervezetek számára, amelyeket szándékosan hoztak létre az egészségügyi szektor számára, és megfelelnek a HIPAA követelményeinek, jobb lehetőségnek bizonyulhatnak. Ezekkel a platformokkal a HIPAA megfelelés sokkal könnyebbé válik, és sokkal nehezebb tévesen megsérteni a HIPAA szabályait és előírásait.