plataformas de mensagens como o Skype são uma maneira eficiente de se comunicar entre indivíduos e grupos, mas as organizações de saúde devem usar apenas plataformas de comunicação para discutir informações relacionadas a pacientes que estão em conformidade com a HIPAA. Neste post, exploramos se o Skype é compatível com HIPAA e se pode ser usado por organizações de saúde para comunicar informações eletrônicas de saúde protegidas (ePHI) sem violar as regras da HIPAA.
a Microsoft é uma associada comercial da HIPAA?
em relação ao Skype, a Microsoft-fornecedora da plataforma – é uma associada comercial? Skype poderia ser pensado como uma exceção sob a regra HIPAA Conduit no sentido de que é apenas um canal através do qual a informação passa. Se fosse esse o caso, um contrato de associado comercial não seria necessário. No entanto, a OCR emitiu orientações que confirmam que a regra HIPAA conduit normalmente não se aplica a provedores de software como serviço e que eles são considerados associados de negócios sob a HIPAA. Portanto, é necessário um contrato de associado comercial antes que o Skype possa ser usado para comunicar o ePHI.
a Microsoft assinará um contrato de associado comercial compatível com HIPAA com entidades cobertas para o Office 365, e o Skype for Business pode ser incluído nesse contrato. Se um contrato de associado de negócios tiver sido obtido da Microsoft, as entidades cobertas pela HIPAA devem verificá-lo cuidadosamente para garantir que ele incorpore o Skype for Business. A Microsoft afirmou anteriormente que nem todos os BAAs são idênticos.
conformidade HIPAA e Skype: Os controles de criptografia, acesso e Auditoria
HIPAA não exigem o uso de criptografia para ePHI. A criptografia é um aspecto endereçável da conformidade HIPAA. Se a criptografia não for usada, uma salvaguarda alternativa e equivalente deve ser implementada. Com o Skype, as mensagens são criptografadas usando criptografia AES de 256 bits; portanto, esse aspecto da conformidade com o HIPAA está satisfeito.
no entanto, o Skype não faz necessariamente backup de mensagens (e ePHI) enviadas através da plataforma, e nem mantém uma trilha de auditoria compatível com HIPAA por padrão. Além disso, a plataforma Skype deve ser configurada para logar automaticamente os usuários fora do sistema após um período de inatividade. O Skype for Business pode ser tornado compatível com HIPAA se o pacote Enterprise E3 ou E5 for comprado. Esses pacotes incluem a capacidade de estabelecer um arquivo que armazena todas as comunicações necessárias para a conformidade com a HIPAA.
o Skype pode ser considerado uma plataforma de comunicações compatível com HIPAA?
o Skype pode ser considerado compatível com HIPAA? Se o pacote Enterprise E3 ou E5 for adquirido e um contrato de associado comercial for assinado com a Microsoft que cubra o uso do Skype for Business, o Skype poderá ser compatível com a HIPAA.
todos os funcionários que usam o Skype devem estar cientes de como a plataforma pode ser usada e suas responsabilidades sob o HIPAA. A plataforma deve ser configurada para manter uma trilha de auditoria, as configurações de segurança devem ser configuradas adequadamente, os logins individuais devem ser criados para cada usuário e os backups devem ser criados e mantidos.
mesmo com um BAA e o pacote adequado, ainda há potencial para que as regras do HIPAA sejam violadas usando o Skype for Business. Como existem muitas opções seguras de mensagens de texto disponíveis para entidades Cobertas que foram criadas propositalmente para uso pelo setor de saúde e para atender aos requisitos da HIPAA, elas podem ser uma opção melhor. Com essas plataformas, a conformidade com a HIPAA é muito mais fácil e é muito mais difícil violar erroneamente as regras e regulamentos da HIPAA.