platformy komunikacyjne, takie jak Skype, są skutecznym sposobem komunikacji między osobami i grupami, ale organizacje opieki zdrowotnej muszą używać platform komunikacyjnych tylko do omawiania informacji dotyczących pacjentów, które są zgodne z HIPAA. W tym poście sprawdzamy, czy Skype jest zgodny z HIPAA i czy może być używany przez organizacje opieki zdrowotnej do przekazywania elektronicznych chronionych informacji zdrowotnych (ePHI) bez naruszania zasad HIPAA.
czy Microsoft jest partnerem biznesowym HIPAA?
czy Microsoft – dostawca platformy – jest partnerem biznesowym? Skype może być traktowany jako wyjątek zgodnie z zasadą HIPAA Conduit w tym sensie, że jest to tylko kanał, przez który przechodzi informacja. Gdyby tak było, umowa spółki stowarzyszonej nie byłaby konieczna. Jednak OCR wydało wytyczne, które potwierdzają, że reguła HIPAA conduit nie ma zwykle zastosowania do dostawców oprogramowania jako usługi i że są oni uznawani za partnerów biznesowych w ramach HIPAA. W związku z tym, zanim Skype będzie mógł komunikować się z ePHI, wymagana jest umowa z partnerem biznesowym.
Microsoft podpisze umowę business associate zgodną z HIPAA z podmiotami objętymi usługą Office 365, a Skype dla firm może zostać uwzględniony w tej umowie. W przypadku uzyskania od firmy Microsoft umowy stowarzyszonej, podmioty objęte HIPAA muszą ją dokładnie sprawdzić, aby upewnić się, że zawiera Skype for Business. Microsoft stwierdził wcześniej, że nie wszystkie Baa są identyczne.
zgodność z HIPAA i Skype: Szyfrowanie, Kontrola dostępu i kontrola kontroli
HIPAA nie wymaga stosowania szyfrowania dla ePHI. Szyfrowanie jest adresowalnym aspektem zgodności z HIPAA. Jeśli szyfrowanie nie jest używane, konieczne jest zastosowanie alternatywnego, równoważnego zabezpieczenia. W przypadku Skype wiadomości są szyfrowane przy użyciu 256-bitowego szyfrowania AES; dlatego ten aspekt zgodności z HIPAA jest spełniony.
jednak Skype nie musi tworzyć kopii zapasowych wiadomości (i ePHI) wysyłanych za pośrednictwem platformy i nie prowadzi domyślnie ścieżki audytu zgodnej z HIPAA. Ponadto Platforma Skype musi być skonfigurowana tak, aby automatycznie wylogowywać użytkowników z systemu po okresie bezczynności. Skype dla firm może być zgodny z HIPAA, jeśli pakiet Enterprise E3 lub E5 zostanie kupiony. Pakiety te obejmują możliwość utworzenia archiwum, które przechowuje całą komunikację niezbędną do przestrzegania przepisów HIPAA.
czy Skype można uznać za platformę komunikacyjną zgodną z HIPAA?
czy Skype może być uznany za zgodny z HIPAA? W przypadku zakupu pakietu Enterprise E3 lub E5 i podpisania z firmą Microsoft umowy partnerskiej dotyczącej korzystania ze Skype ’ a Dla Firm program Skype może być zgodny ze standardem HIPAA.
wszyscy pracownicy korzystający ze Skype ’ a muszą zostać poinformowani o sposobie korzystania z platformy i ich obowiązkach wynikających z HIPAA. Platforma musi być skonfigurowana do utrzymywania ścieżki audytu, ustawienia zabezpieczeń muszą być odpowiednio skonfigurowane, Indywidualne logowania powinny być tworzone dla każdego użytkownika, a kopie zapasowe muszą być tworzone i utrzymywane.
nawet przy BAA i odpowiednim pakiecie nadal istnieje możliwość naruszenia zasad HIPAA za pomocą Skype for Business. Ponieważ istnieje wiele bezpiecznych opcji wiadomości tekstowych dostępnych dla podmiotów objętych ochroną, które zostały celowo stworzone do użytku w sektorze opieki zdrowotnej i w celu spełnienia wymagań HIPAA, mogą okazać się lepszym rozwiązaniem. Dzięki tym platformom zgodność z przepisami HIPAA jest znacznie łatwiejsza i znacznie trudniej jest omyłkowo naruszyć zasady i przepisy HIPAA.