Muchos proveedores de atención médica prefieren usar mensajes de texto para comunicarse entre sí y con sus pacientes en dispositivos móviles personales porque es rápido, fácil y conveniente. Sin embargo, si los mensajes de texto contienen información médica protegida (PHI) de un paciente, el mensaje de texto debe cumplir con las reglas y las mejores prácticas de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) para prevenir el robo de identidad y las violaciones de datos.
Las reglas de HIPAA proporcionan regulaciones para ayudar a garantizar la privacidad y seguridad de los datos de salud, incluidos los datos en movimiento o transmisión (como los mensajes de texto). También ayudan a prevenir cualquier violación que pueda comprometer la información confidencial del paciente. De acuerdo con la Regla de Seguridad de HIPAA, una violación es una adquisición, acceso, uso o divulgación de PHI por parte de una persona no autorizada.
Una de las formas en que las organizaciones de atención médica pueden hacer cumplir el cumplimiento de la HIPAA a través de mensajes de texto es asegurando que todos los empleados, afiliados, médicos y contratistas y proveedores externos conozcan y apliquen las pautas de la HIPAA para establecer salvaguardias técnicas para proteger la información médica protegida. Esto es especialmente importante para los profesionales de la salud que envían y reciben mensajes de texto en cualquier dispositivo móvil.
A continuación se presentan cinco reglas de HIPAA relacionadas con los mensajes de texto que le ayudarán a comprender cómo administrar de forma segura la información de salud mientras aprovecha los beneficios de una solución de mensajería segura.
Las reglas de HIPAA Con respecto a los mensajes de texto
Establecen procedimientos y políticas para administrar quién está autorizado a acceder a la PHI al enviar mensajes de texto.
HIPAA requiere que las organizaciones de atención médica y los socios comerciales administren de forma segura quién tiene el privilegio y/o el derecho de acceder, cambiar o distribuir datos de salud confidenciales. El acceso a la información médica protegida debe limitarse solo a la cantidad de información necesaria para realizar un trabajo.
Depende de cada entidad cubierta determinar qué tipo de controles de acceso, software y sistemas utilizan para administrar el acceso autorizado a la información médica protegida en relación con el software de mensajería de texto. Sin embargo, la Regla de seguridad de HIPAA requiere las siguientes medidas de seguridad para garantizar el cumplimiento de HIPAA:
ID de usuario únicos: Alguien con un nombre o número de identificación de usuario único que pueda rastrearse debe acceder a la PHI. Esto permite a las entidades cubiertas responsabilizar a los usuarios autorizados de su actividad mientras están conectados a un sistema que contiene PHI. Los programas de mensajería de texto segura requieren que los usuarios autorizados utilicen una identificación única para acceder, enviar y recibir cualquier texto compatible con HIPAA.Procedimientos de acceso de emergencia: En caso de emergencia, las entidades cubiertas deben tener flujos de trabajo operativos para acceder a la información médica protegida. Estos deben tener en cuenta qué tipo de emergencias pueden requerir acceso urgente y a quién se le deben otorgar derechos de acceso a la información médica protegida en situaciones de emergencia.
cierre de sesión Automático: Cualquier software que contenga o esté integrado con PHI, incluida una plataforma segura de mensajes de texto, debe cerrar la sesión automáticamente a los usuarios después de un tiempo predeterminado de inactividad. Esto garantiza que nadie que no esté autorizado pueda acceder a la información médica protegida a través de mensajes de texto en el dispositivo de otra persona mientras esté abierto.Cifrado de mensajes: Para evitar el acceso no autorizado a PHI (o mensajes de texto), los mensajes de texto seguros deben estar cifrados. Esto hace que sea ilegible para cualquier persona a la que no se le haya concedido permiso para acceder a él, especialmente si un dispositivo es robado o perdido. Al enviar mensajes de texto de forma segura a otro usuario de la misma organización desde un dispositivo móvil u ordenador de la organización, tanto el remitente como el receptor deben cumplir los requisitos de cifrado para un mensaje que contenga información médica protegida en tránsito y en reposo.
Implemente controles de auditoría e informes para mensajes de texto compatibles con HIPAA.
La Regla de seguridad de HIPAA requiere que las entidades cubiertas y sus socios comerciales implementen controles de auditoría integrales y procedimientos de informes para documentar y revisar la actividad relacionada con el uso de la PHI. Esto les permite analizar, identificar y mitigar cualquier riesgo que pueda surgir en la infraestructura técnica y la seguridad del software de la tecnología relacionada con la información sanitaria protegida. La regla HIPAA se aplica a cualquier plataforma segura de mensajes de texto que envíe mensajes, almacene o administre información de salud protegida en computadoras personales o de la organización, incluidos los dispositivos móviles. Corresponde a la entidad cubierta determinar qué controles de auditoría son razonables y apropiados para proteger los datos de los pacientes durante el envío de mensajes.
Asegúrese de que la PHI no se cambie o destruya incorrectamente durante los mensajes de texto.
Mantener la integridad de la información de salud sensible es importante, por lo que la HIPAA establece que la PHI no debe ser «alterada o destruida de manera no autorizada». Si la información del paciente se modifica accidental o intencionalmente por un error humano o un fallo del sistema de información, la integridad de los datos se ve comprometida.
La Regla de seguridad de HIPAA requiere que las entidades cubiertas establezcan salvaguardias para garantizar la integridad de la PHI a través de procesos o funciones de seguridad. Con respecto a los mensajes de texto seguros que cumplen con HIPAA, deben existir salvaguardias técnicas para verificar que la integridad de los datos no corra el riesgo de verse comprometida cuando se distribuyen a través de mensajes seguros.
Proporcionar prueba de identidad antes de enviar y recibir mensajes.
De conformidad con la HIPAA, todos los usuarios que acceden a la PHI deben poder demostrar que son quienes dicen ser autenticando su identidad. Un programa seguro de mensajería de texto puede cumplir con esta regla al exigir a los usuarios que inicien sesión con algo único para ellos. Un usuario se autentica cuando las credenciales únicas coinciden con lo que está almacenado en el sistema. Los métodos de autenticación de conformidad con HIPAA pueden incluir:
- Contraseña o pin
- Tarjeta inteligente, clave o token
- Identificadores biométricos, como huellas dactilares, reconocimiento facial o patrón de voz
Para los profesionales de la salud que envían y reciben mensajes de texto compatibles con HIPAA desde sus dispositivos móviles, deben usar algún tipo de credencial para autenticar que son quienes dicen ser.
Protección contra el acceso no autorizado de PHI durante la transmisión.
Finalmente, cuando se trata de reglas HIPAA y mensajería segura, es importante establecer medidas de privacidad y seguridad que eviten el acceso no autorizado a la información médica protegida desde cualquier dispositivo móvil mientras se transmite electrónicamente para enviar mensajes de texto. Para cumplir con los requisitos al enviar mensajes de texto seguros, las entidades cubiertas deben cumplir con las dos especificaciones siguientes:
Proteger la integridad de la PHI durante la transmisión. Al igual que la Regla de seguridad de HIPAA para garantizar que la PHI permanezca sin cambios o destruida por usuarios no autorizados mientras se almacena o se accede a ella, las entidades cubiertas deben asegurarse de que «los datos que se envían son los mismos que los datos recibidos». Una forma en que las entidades cubiertas garantizan la integridad de los datos durante la transmisión cuando se envían mensajes es mediante el establecimiento de protocolos de comunicación de red.
Cifrar la PHI durante la transmisión. Y, al igual que las recomendaciones de HIPAA para minimizar el acceso no autorizado a la información médica protegida almacenada, las entidades cubiertas deben asegurarse de que la información médica protegida esté encriptada cuando se envíe por Internet. Debido a que los mensajes de texto seguros se basan en una conexión a Internet para enviar y recibir mensajes, HIPAA requiere que las entidades utilicen cifrado y otras medidas de seguridad razonables para garantizar que los datos estén codificados o sean ilegibles para cualquier usuario no autorizado. Depende de cada entidad determinar cómo usan el cifrado al evaluar cómo y cuándo se transmite la PHI a través de mensajes de texto, así como el nivel de riesgo involucrado.
Al comunicar información del paciente a través de mensajes de texto seguros en dispositivos móviles personales, es imprescindible seguir las pautas de HIPAA para evitar brechas de seguridad. Al cumplir con las reglas de HIPAA, las organizaciones y los profesionales de la salud pueden garantizar la seguridad de su práctica, al tiempo que ofrecen a los pacientes la comodidad de una comunicación fluida con sus proveedores.