platformele de mesagerie precum Skype sunt o modalitate eficientă de comunicare între indivizi și grupuri, dar organizațiile de asistență medicală trebuie să utilizeze platforme de comunicații numai pentru a discuta informații referitoare la pacienții care respectă HIPAA. În acest post vom explora dacă Skype este compatibil HIPAA și dacă poate fi utilizat de către organizațiile de asistență medicală pentru a comunica informații electronice de sănătate protejate (ePHI) fără a încălca regulile HIPAA.
este Microsoft un asociat de afaceri HIPAA?
în ceea ce privește Skype, Microsoft – furnizorul platformei – este un asociat de afaceri? Skype ar putea fi considerat o excepție sub regula HIPAA Conduit în sensul că este doar o conductă prin care trece informația. În acest caz, un acord de asociat de afaceri nu ar fi necesar. Cu toate acestea, OCR a emis îndrumări care confirmă că regula HIPAA conduit nu se aplică de obicei furnizorilor de software ca serviciu și că aceștia sunt considerați asociați de afaceri în cadrul HIPAA. Prin urmare, este necesar un acord de asociat de afaceri înainte ca Skype să poată fi utilizat pentru a comunica ePHI.
Microsoft va semna un acord asociat de afaceri compatibil HIPAA cu entitățile acoperite pentru Office 365, iar Skype for Business poate fi inclus în acel acord. Dacă un acord asociat de afaceri a fost obținut de la Microsoft, entitățile acoperite de HIPAA trebuie să îl verifice cu atenție pentru a se asigura că încorporează Skype for Business. Microsoft a declarat anterior că nu toate Baa-urile sunt identice.
conformitatea HIPAA și Skype: Controale de criptare, acces și Audit
HIPAA nu solicită utilizarea criptării pentru ePHI. Criptarea este un aspect adresabil al conformității HIPAA. Dacă nu se utilizează criptarea, este necesară implementarea unei garanții alternative echivalente. Cu Skype, mesajele sunt criptate folosind criptarea AES pe 256 de biți; prin urmare, acest aspect al conformității HIPAA este satisfăcut.
cu toate acestea, Skype nu face neapărat mesaje de rezervă (și ePHI) trimise prin intermediul platformei și nici nu păstrează în mod implicit o pistă de audit compatibilă cu HIPAA. În plus, platforma Skype trebuie configurată pentru a deconecta automat utilizatorii din sistem după o perioadă de inactivitate. Skype for Business poate fi compatibil cu HIPAA dacă pachetul Enterprise E3 sau E5 este cumpărat. Aceste pachete includ capacitatea de a stabili o arhivă care stochează toate comunicațiile necesare pentru conformitatea HIPAA.
Skype poate fi considerat o platformă de comunicații compatibilă cu HIPAA?
Skype poate fi considerat compatibil cu HIPAA? Dacă pachetul Enterprise E3 sau E5 este achiziționat și un acord de asociat de afaceri este semnat cu Microsoft care acoperă utilizarea Skype for Business, Skype poate fi compatibil cu HIPAA.
toți angajații care utilizează Skype trebuie să fie conștienți de modul în care platforma poate fi utilizată și de responsabilitățile lor în cadrul HIPAA. Platforma trebuie configurată pentru a menține o pistă de audit, setările de securitate trebuie configurate corespunzător, trebuie create Conectări individuale pentru fiecare utilizator și trebuie create și întreținute copii de rezervă.
chiar și cu un BAA și pachetul adecvat, există încă potențialul ca regulile HIPAA să fie încălcate folosind Skype for Business. Deoarece există multe opțiuni sigure de mesagerie text disponibile entităților acoperite care au fost create în mod intenționat pentru a fi utilizate de sectorul asistenței medicale și pentru a îndeplini cerințele HIPAA, acestea se pot dovedi a fi o opțiune mai bună. Cu aceste platforme, respectarea HIPAA se face mult mai ușor și este mult mai greu să încalce în mod eronat regulile și reglementările HIPAA.
