Le piattaforme di messaggistica come Skype sono un modo efficiente di comunicare tra individui e gruppi, ma le organizzazioni sanitarie devono utilizzare solo piattaforme di comunicazione per discutere informazioni relative ai pazienti conformi a HIPAA. In questo post esploriamo se Skype è compatibile con HIPAA e se può essere utilizzato dalle organizzazioni sanitarie per comunicare informazioni sanitarie protette elettroniche (ePHI) senza violare le regole HIPAA.
Microsoft è un socio HIPAA?
Per quanto riguarda Skype, Microsoft – il fornitore della piattaforma – è un socio in affari? Skype potrebbe essere pensato come un’eccezione sotto la regola del condotto HIPAA nel senso che è semplicemente un condotto attraverso il quale passano le informazioni. Se così fosse, non sarebbe necessario un accordo di socio in affari. Tuttavia, OCR ha emesso una guida che conferma che la regola del condotto HIPAA non si applica in genere ai fornitori di software-as-a-service e che sono considerati soci in affari sotto HIPAA. È quindi necessario un accordo di business associate prima che Skype possa essere utilizzato per comunicare ePHI.
Microsoft firmerà un accordo di business associate compatibile con HIPAA con le entità coperte per Office 365 e Skype for Business potrebbe essere incluso in tale accordo. Se è stato ottenuto un contratto di business associate da Microsoft, le entità coperte da HIPAA devono verificarlo attentamente per assicurarsi che includa Skype for Business. Microsoft ha precedentemente dichiarato che non tutti i BAAS sono identici.
Conformità HIPAA e Skype: Crittografia, accesso e controlli di controllo
HIPAA non richiede l’uso della crittografia per ePHI. La crittografia è un aspetto indirizzabile della conformità HIPAA. Se la crittografia non viene utilizzata, è necessaria un’alternativa, salvaguardia equivalente da implementare invece. Con Skype, i messaggi vengono crittografati utilizzando la crittografia AES a 256 bit; pertanto, questo aspetto della conformità HIPAA è soddisfatto.
Tuttavia, Skype non esegue necessariamente il backup dei messaggi (e ePHI) inviati tramite la piattaforma e non mantiene una traccia di controllo conforme a HIPAA per impostazione predefinita. Inoltre, la piattaforma Skype deve essere configurata per disconnettere automaticamente gli utenti dal sistema dopo un periodo di inattività. Skype for Business può essere reso compatibile con HIPAA se viene acquistato il pacchetto Enterprise E3 o E5. Questi pacchetti includono la possibilità di creare un archivio che memorizza tutte le comunicazioni necessarie per la conformità HIPAA.
Skype può essere considerato una piattaforma di comunicazione compatibile con HIPAA?
Skype può essere considerato compatibile con HIPAA? Se viene acquistato il pacchetto Enterprise E3 o E5 e viene firmato un contratto di business associate con Microsoft che copre l’uso di Skype for Business, Skype può essere reso conforme a HIPAA.
Tutti i dipendenti che utilizzano Skype devono essere informati di come può essere utilizzata la piattaforma e delle loro responsabilità nell’ambito di HIPAA. La piattaforma deve essere configurata per mantenere una traccia di controllo, le impostazioni di sicurezza devono essere configurate in modo appropriato, i singoli accessi devono essere creati per ogni utente e i backup devono essere creati e mantenuti.
Anche con un BAA e il pacchetto corretto, esiste ancora la possibilità che le regole HIPAA vengano violate utilizzando Skype for Business. Poiché ci sono molte opzioni di messaggistica di testo sicure disponibili per le entità coperte che sono state appositamente create per l’uso da parte del settore sanitario e per soddisfare i requisiti HIPAA, potrebbero rivelarsi un’opzione migliore. Con queste piattaforme, la conformità HIPAA è resa molto più semplice ed è molto più difficile violare erroneamente le regole e i regolamenti HIPAA.