berichtenplatforms zoals Skype zijn een efficiënte manier om te communiceren tussen individuen en groepen, maar zorgorganisaties mogen alleen communicatieplatforms gebruiken om informatie te bespreken met betrekking tot patiënten die voldoen aan de HIPAA. In dit bericht onderzoeken we of Skype HIPAA-compliant is en of het kan worden gebruikt door gezondheidszorgorganisaties om electronic protected health information (ePHI) te communiceren zonder de HIPAA-regels te overtreden.
is Microsoft een HIPAA Business Associate?
met betrekking tot Skype, is Microsoft – de aanbieder van het platform – een zakenpartner? Skype kan worden beschouwd als een uitzondering onder de HIPAA Conduit regel in de zin dat het slechts een conduit waar informatie doorheen gaat. Als dat het geval was, zou een business associate overeenkomst niet nodig zijn. OCR heeft echter richtsnoeren opgesteld waarin wordt bevestigd dat de HIPAA-conduitregel doorgaans niet van toepassing is op software-as-a-service providers en dat zij worden beschouwd als zakenpartners onder HIPAA. Een business associate-overeenkomst is daarom vereist voordat Skype kan worden gebruikt om ePHI te communiceren.
Microsoft ondertekent een HIPAA-compliant business associate agreement met gedekte entiteiten voor Office 365, en Skype for Business kan in die overeenkomst worden opgenomen. Als een business associate-overeenkomst is verkregen van Microsoft, moeten de door HIPAA gedekte entiteiten deze zorgvuldig controleren om ervoor te zorgen dat Skype for Business is opgenomen. Microsoft heeft eerder verklaard dat niet alle BAAs identiek zijn.
HIPAA-Compliance en Skype: Versleutelings -, toegangs-en Auditcontroles
HIPAA vereist geen versleuteling voor ePHI. Encryptie is een adresseerbaar aspect van HIPAA compliance. Als geen versleuteling wordt gebruikt, moet in plaats daarvan een alternatieve, gelijkwaardige beveiliging worden geïmplementeerd. Met Skype worden berichten versleuteld met AES 256-bit encryptie; daarom is dit aspect van HIPAA compliance voldaan.
Skype maakt echter niet noodzakelijk een back-up van berichten (en ePHI) die via het platform worden verzonden, en houdt ook niet standaard een HIPAA-compliant audit trail bij. Bovendien moet het Skype-platform worden geconfigureerd om gebruikers na een periode van inactiviteit automatisch uit het systeem te loggen. Skype for Business kan HIPAA-compliant worden gemaakt als het Enterprise E3-of E5-pakket wordt gekocht. Deze pakketten bevatten de mogelijkheid om een archief op te zetten dat alle communicatie opslaat die nodig is voor HIPAA compliance.
kan Skype worden beschouwd als een HIPAA-Compatibel communicatieplatform?
kan Skype HIPAA-compliant worden geacht? Als het Enterprise E3-of E5-pakket wordt aangeschaft en een business associate-overeenkomst met Microsoft wordt ondertekend die betrekking heeft op het gebruik van Skype for Business, kan Skype HIPAA-compliant worden gemaakt.
alle werknemers die Skype gebruiken, moeten op de hoogte worden gesteld van hoe het platform kan worden gebruikt en van hun verantwoordelijkheden onder HIPAA. Het platform moet worden geconfigureerd om een audit trail te onderhouden, beveiligingsinstellingen moeten correct worden geconfigureerd, individuele logins moeten worden gemaakt voor elke gebruiker, en back-ups moeten worden gemaakt en onderhouden.
zelfs met een BAA en het juiste pakket, is er nog steeds de mogelijkheid dat HIPAA-regels worden geschonden met Skype for Business. Aangezien er veel beveiligde SMS-opties beschikbaar zijn voor gedekte entiteiten die met opzet zijn gemaakt voor gebruik door de gezondheidszorg en om te voldoen aan de HIPAA-vereisten, kunnen ze een betere optie blijken te zijn. Met deze platforms wordt de naleving van HIPAA veel gemakkelijker gemaakt en is het veel moeilijker om per ongeluk de regels en voorschriften van HIPAA te overtreden.