meddelandeplattformar som Skype är ett effektivt sätt att kommunicera mellan individer och grupper, men vårdorganisationer får bara använda kommunikationsplattformar för att diskutera information om patienter som överensstämmer med HIPAA. I det här inlägget undersöker vi om Skype är HIPAA-kompatibelt och om det kan användas av vårdorganisationer för att kommunicera elektronisk skyddad hälsoinformation (ePHI) utan att bryta mot HIPAA-reglerna.
är Microsoft en HIPAA Business Associate?
när det gäller Skype, är Microsoft – leverantören av plattformen-en affärspartner? Skype kan ses som ett undantag enligt HIPAA-Ledningsregeln i den meningen att det bara är en ledning genom vilken information passerar. Om så var fallet skulle det inte vara nödvändigt med ett affärspartneravtal. OCR har dock utfärdat vägledning som bekräftar att HIPAA-ledningsregeln vanligtvis inte gäller leverantörer av programvara som tjänst och att de anses vara affärspartners under HIPAA. Ett affärspartneravtal krävs därför innan Skype kan användas för att kommunicera ePHI.
Microsoft kommer att underteckna ett HIPAA-kompatibelt business associate-avtal med täckta enheter för Office 365, och Skype för företag kan ingå i det avtalet. Om ett affärspartneravtal har erhållits från Microsoft måste HIPAA-täckta enheter kontrollera det noggrant för att säkerställa att det innehåller Skype för företag. Microsoft har tidigare sagt att inte alla BAA är identiska.
HIPAA-efterlevnad och Skype: Kryptering, åtkomst och revisionskontroller
HIPAA kräver inte användning av kryptering för ePHI. Kryptering är en adresserbar aspekt av HIPAA-överensstämmelse. Om kryptering inte används krävs istället ett alternativt, likvärdigt skydd. Med Skype krypteras meddelanden med AES 256-bitars kryptering; därför är denna aspekt av HIPAA-överensstämmelse nöjd.
Skype säkerhetskopierar dock inte nödvändigtvis meddelanden (och ePHI) som skickas via plattformen, och det håller inte heller en HIPAA-kompatibel verifieringskedja som standard. Dessutom måste Skype-plattformen konfigureras för att automatiskt logga användare ut ur systemet efter en period av inaktivitet. Skype för företag kan göras HIPAA-kompatibelt om Enterprise E3-eller E5-paketet köps. Dessa paket inkluderar möjligheten att upprätta ett arkiv som lagrar all kommunikation som är nödvändig för HIPAA efterlevnad.
kan Skype anses vara en HIPAA-kompatibel kommunikationsplattform?
kan Skype anses vara HIPAA-kompatibelt? Om Enterprise E3-eller E5-paketet köps och ett Business associate-avtal tecknas med Microsoft som täcker användningen av Skype för företag kan Skype göras HIPAA-kompatibelt.
alla anställda som använder Skype måste göras medvetna om hur plattformen kan användas och deras ansvar enligt HIPAA. Plattformen måste konfigureras för att upprätthålla en verifieringskedja, säkerhetsinställningar måste konfigureras på lämpligt sätt, enskilda inloggningar ska skapas för varje användare och säkerhetskopior måste skapas och underhållas.
även med en BAA och rätt paket finns det fortfarande potential för HIPAA-regler att brytas med Skype för företag. Eftersom det finns många säkra textmeddelandealternativ tillgängliga för täckta enheter som avsiktligt har skapats för användning av hälso-och sjukvårdssektorn och för att uppfylla HIPAA-kraven, kan de visa sig vara ett bättre alternativ. Med dessa plattformar görs HIPAA-efterlevnad mycket enklare och det är mycket svårare att felaktigt bryta mot HIPAA-Regler och förordningar.